Информационная безопасность отчет по практике
Обеспечение информационной безопасности Отчет по практике
Отчёт по практике*
| Код | 382149 |
| Дата создания | 2017 |
| Страниц | 40 |
| Мы сможем обработать ваш заказ 8 октября в 7:00 [мск] Файлы будут доступны для скачивания только после обработки заказа. |
если нужна дипломная, напишите - сделаем. ...
Введение 1 Характеристика предприятия 2 Угрозы информационной безопасности предприятия и описание возможного ущерба от их реализации 3. Анализ системы обеспечения информационной безопасности и выбор метода ее модернизации 4. Основные элементы концепции информационной безопасности ООО «-» Заключение Приложение Цель практики - изучить основы организации информационной безопасности предприятия и предложить меры по ее повышению. Задачи работы: - Проанализировать структуру предприятия и дать характеристику его информационных технологий. - Выявить угрозы информационной безопасности предприятия и описать возможный ущерб от их реализации. - Проанализировать систему обеспечения информационной безопасности и выбрать методы ее модернизации. - Сформулировать концепцию информационной безопасности предприятия. - Определить основные мероприятия по совершенствованию системы информационной безопасности. - Провести обоснование экономической эффективности проекта. Объект исследования - проблемы информационной безопасности предприятия ООО «-».Предмет исследования - процесс организации информационной безопасн ости предприятия.
- Планирование и контроль сроков обучения и аттестации персонала. - Хранение документации, подтверждающей прохождение обучения и его результатов. - Ведение учета занятий, проведенных сотрудниками предприятия. - Получение отзывов сотрудников о качестве проведенного обучения. - Реализация распределения прав доступа к программному обеспечению. - Удаленное проведение инструктажа позволит экономить рабочее время. - Мгновенное оповещение об изменениях в рабочей документации, инструкциях повысит осведомленность сотрудников и снизит вероятность неправильного использования документации. - Контроль сроков действия контрактов сотрудников. - Использование данных о пользователях совместно с системами контроля и управления доступом. В месте с тем, в ООО «-» для разработки подходящей защиты информации не учитывается природа возможных угроз, а также формы и способы их возникновения. Организация информационной безопасности на предприятии не обеспечена множественный уровень защиты. В результате «злоумышленнику» легко проникать в защищённую часть. Перечень сведений, касающихся информации конфиденциального характера, утверждается руководителем предприятия. Однако любые нарушения в этой области не караются определенными санкциями. На предприятии в настоящее время не разработаны специальные утилиты, круглосуточно отслеживающие состояние сети и любые предупреждения систем информационной безопасности. Структура доступа к информации должна быть многоуровневой, в связи с чем к ней должно быть разрешение допускать лишь избранных сотрудников. Однако, право полного доступа ко всему объему на предприятии имеют практически весь персонал. Противостояние возможным угрозам информационной безопасности возложено на отдел информационного обеспечения и осуществляется с использованием современного набора средств и методов. В ООО «-» используются следующие средства технической защиты: антивирусные программы, антиспамовые фильтры, средства электронно-цифровой подписи. Организационно-правовое обеспечение информационной безопасности предприятия включает мероприятия, связанные с согласованием его целей, миссии, принципов, методов и направлений деятельности. Определение перечисленных категорий взаимосвязано с разработкой и нормативным закреплением правил поведения сотрудников внутри самой организации и за ее пределами. На любой стадии функционирования предприятия, начиная с его создания, необходимо осуществить весь комплекс организационно-правовых мер по защите информации. Таким образом, ООО «-» уделяет определенное внимание системе своей информационной безопасности. В частности, проведенная автоматизация позволила ООО «-»: перевести значительную часть бумажного документооборота в электронную форму; сэкономить время и средства на проведении расчетов, ведении первичной бухгалтерии; оперативно получать данных по всем участкам работы и постоянно контролировать показатели деятельности компании; гарантировать конфиденциальность и сохранность большого объема информации. Для обеспечения защиты информации в ООО «-» используются следующие методы: 1) Препятствие. Метод представляет собой использование физической силы с целью защиты информации от преступных действий злоумышленников с помощью запрета на доступ к информационным носителям и аппаратуре. 2) Управление доступом - метод, который основан на использовании регулирующих ресурсов автоматизированной системы, предотвращающих доступ к информационным носителям. Управление доступом осуществляется с помощью таких функций, как: Идентификация личности пользователя, работающего персонала и систем информационных ресурсов такими мерами, как присвоение каждому пользователю и объекту личного идентификатора; Аутентификация, которая устанавливает принадлежность субъекта или объекта к заявленному им идентификатору; - Проверка соответствия полномочий, которая заключается в установлении точного времени суток, дня недели и ресурсов для проведения запланированных регламентом процедур; - Доступ для проведения работ установленных регламентом и создание необходимых условий для их проведения; - Регистрация в виде письменного протоколирования обращений к доступу защитных ресурсов; - Реагирование на попытку несанкционированных действий в виде шумовой сигнализации, отключения, отказа в запросе и в задержке работ. 3) Регламентация - метод информационной защиты, при котором доступ к хранению и передаче данных при несанкционированном запросе сводится к минимуму. 4) Принуждение - это метод, который вынуждает пользователей при доступе к закрытой информации соблюдать определенные правила. Нарушение установленного протокола приводит к штрафным санкциям, административной и уголовной ответственности. 5) Побуждение - метод, который основан на этических и моральных нормах, накладывающих запрет на использование запрещенной информации, и побуждает соблюдать установленные правила. Все перечисленные методы защиты направлены на обеспечение максимальной безопасности всей информационной системы организации и осуществляются с помощью разных защитных механизмов. Вместе с обычными механическими системами, для работы которого необходимо участие человека, параллельно внедряются и электронные полностью автоматизированные системы физической защиты. С помощью электронной системы проводится территориальная защита объекта, организовывается пропускной режим, охрана помещений, наблюдение, пожарная безопасность и сигнализационные устройства. Защита оборудования, входящего в общую автоматизированную систему информационной безопасности, и переносных устройств (магнитных лент или флешек) осуществляется с помощью специальных механизмов. Но все используемые средства и методы достаточно устарели и нуждаются в модернизации. К перечню наиболее актуальных организационно-правовых мероприятий по обеспечению информационной безопасности ООО «-» относятся следующие: оформление трудовых соглашений с сотрудниками с четко выраженными обязательствами о неразглашении ценных сведений. В трудовом договоре четко прописаны пункты о неразглашении служебной информации; содержание в штате отдела информационного обеспечения, сотрудники которого имеют специальные знания и опыт в сфере обеспечения безопасности конфиденциальной информации предприятия; контроль и ограничение доступа к системным областям. Информационная система, которая внедрена в ООО «-», подразумевает хранение и использование больших объемов информации, а также доступ к ним широкого круга лиц. В то же время защита данных от несанкционированного доступа является важнейшей задачей при функционировании информационной системы. Взаимодействие пользователей и программных приложений с базами данных осуществляется под контролем системы управления базами данных (СУБД), которая является доминирующим инструментом в обеспечении требуемого уровня безопасности информационной системы. Один из важнейших аспектов обеспечения информационной безопасности в ООО «-» - разграничение доступа к информации. Т.е. каждый сотрудник имеет доступ к открытой только для него информации. В состав культурно-интеллектуального обеспечения информационной безопасности входят мероприятия по обеспечению кадрового состава предприятия высокоспециализированными подготовленными специалистами; созданию атмосферы, способствующей поднятию корпоративного духа в рабочем коллективе; обучение сотрудников. В настоящее время ООО «-» не достаточно уделяют должного внимания данному направлению. Как показал проведенный анализ ООО «-», обучением сотрудников основам компьютерной грамотности и безопасной работе в информационной системе предприятие не занимается. Диагностика существующей системы обучения персонала ООО «-» выявила отсутствие системы обучения персонала по вопросам обеспечения информационной безопасности. При этом система подготовки кадров не только должна быть технически оснащенной и укомплектованной квалифицированными кадрами, не только гибко реагировать на информационные нововведения, она должна быть предметной и адресной. Кроме того, важное значение имеет активное желание и готовность персонала повышению уровня знаний при работе с информационными системами, поскольку учить людей, не имеющих желания, неэффективно и экономически невыгодно. Среди основных проблем в сфере защиты информации ООО «-» можно выделить следующие: непонимание сотрудниками предприятия важности обеспечения защиты информации; несоответствие целей и задач, стоящих перед персоналом отдела информационного обеспечения и сотрудниками других отделов; недостаточная подготовка сотрудников предприятия в вопросах информационной безопасности; существующая управленческая иерархия (подчиненность отдела информационного обеспечения Зам. директора по финансово-экономическим и общим вопросам) способствует недостаточному вниманию со стороны руководства обеспечению информационной безопасности. 4 Основные элементы концепции информационной безопасности ООО «-» Поскольку информационная безопасность ООО «-» с точки зрения предмета нашего исследования представляет собой совокупность мер организационного и программно-технического уровня, направленных на защиту информационных ресурсов предприятия от угроз информационной безопасности, то концепции обеспечения информационной безопасности предприятия должна, на наш взгляд, осуществляться на основе утвержденных конкретных программ и планов по надежному обеспечению указанных мер. С учетом уже имеющейся практики обеспечения информационной безопасности ООО «-» предлагаемую концепцию мы связываем с комплексом мер обеспечения информационной безопасности; с предотвращением, выявлением, реагированием и расследованием нарушений ИБ; распределением ответственности и порядка взаимодействия сотрудников ООО «-», с разработкой механизма контроля политики информационной безопасности, обеспечением безопасности корпоративной сети и каналов взаимодействия с другими системами и другими мероприятиями. Как было выявлено, основными факторами, влияющими на информационную безопасность ООО «-», являются: - расширение сотрудничества предприятия с партнерами; - автоматизация бизнес-процессов на предприятии; - расширение кооперации исполнителей при построении и развитии информационной инфраструктуры предприятия; - рост объемов информации предприятия, передаваемой по открытым каналам связи; - рост компьютерных преступлений. Для нейтрализации негативных факторов предлагаются следующие меры обеспечения информационной безопасности. 1. Организационные меры обеспечения информационной безопасности Система обеспечения информационной безопасности (СОИБ) реализуется путем сочетания мер организационного и программно-технического уровней. Организационные меры состоят из мер административного уровня и процедурных мер защиты информации. Основой мер административного уровня, то есть мер, предпринимаемых руководством предприятия, является политика информационной безопасности. Под политикой информационной безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Политика безопасности определяет стратегию предприятия в области ИБ, а также ту меру внимания и количество ресурсов, которую руководство считает целесообразным выделить. Политика безопасности предприятия определяется предлагаемой концепции, а также другими нормативными и организационно-распорядительными документами предприятия, разрабатываемыми на основе настоящей концепции. К числу таких документов относятся следующие: - мероприятия защиты от несанкционированного доступа (НСД) к информации; - мероприятия по предоставлению доступа пользователей в ИС; - мероприятия управления паролями; - мероприятия восстановления работоспособности технических средств в случае аварии; - мероприятия резервного копирования и восстановления данных; - мероприятия по предоставлению доступа к ресурсам сети Интернет; - мероприятия по управлению доступом к информационным ресурсам ИС предприятия; - внесение изменений в программное обеспечение; - управление доступом к АРМ пользователя; - политика использования электронной почты; - политика анализа защищенности ИС предприятия; - инструкция, определяющая порядок и правила регистрации распечатываемых документов, содержащих конфиденциальную информацию, в соответствии с перечнем информации, составляющей конфиденциальную и служебную информацию; - должностные инструкции для операторов, администраторов и инженеров, осуществляющих эксплуатацию и обслуживание ИС предприятия; - Инструкции для операторов, администраторов и инженеров по обеспечению режима информационной безопасности; - Документированная процедура контроля целостности программной и информационной частей ИС предприятия. 2. Процедуры по обеспечения информационной безопасности. К процедурному уровню относятся меры безопасности, реализуемые сотрудниками предприятия. Выделяются следующие группы процедурных мер, направленных на обеспечение информационной безопасности: - управление персоналом; - физическая защита; - поддержание работоспособности; - реагирование на нарушения режима безопасности; - планирование восстановительных работ. В рамках управления персоналом ООО «-» для каждой должности должны существовать квалификационные требования по информационной безопасности. В должностные инструкции должны входить разделы, касающиеся защиты информации. Каждого сотрудника предприятия необходимо обучить мерам обеспечения информационной безопасности теоретически и отработать выполнение этих мер практически. К механизмам контроля политики информационной безопасности следует отнести: - распределение ролей и ответственности за обеспечение информационной безопасности; - обучение и тренинги по информационной безопасности; - информирование об инцидентах безопасности; - управление непрерывностью бизнеса. Программно-технические средства защиты предлагается располагать на следующих рубежах: - защита внешнего периметра корпоративной сети передачи данных (КСПД); - защита внутренних сетевых сервисов и информационных обменов; - защита серверов и рабочих станций; - защита системных ресурсов и локальных приложений на серверах и рабочих станциях; - защита выделенного сегмента руководства компании. На программно-техническом уровне выполнение защитных функций информационный систем (ИС) осуществляется следующими служебными сервисами обеспечения информационной безопасности: - идентификация/аутентификация пользователей информационный систем (ИС); - разграничение доступа объектов и субъектов информационного обмена; - протоколирование/аудит действий легальных пользователей; - экранирование информационных потоков и ресурсов КСПД; - туннелирование информационных потоков; - шифрование информационных потоков, критической информации; - контроль целостности; - контроль защищенности; - управление системой обеспечения информационной безопасности (СОИБ) ООО «-». Распределение ответственности и порядок взаимодействия. Ответственным за разработку мер и контроль над обеспечением защиты информации является руководитель отдела информационных технологий (ОИТ). Специалистами ОИТ должны осуществляться следующие виды работ по защите информации: Контроль защищенности ИТ инфраструктуры предприятия от угроз ИБ осуществляется посредством: - проведения аудита безопасности ИС; - контроля выполнения правил утвержденных политик безопасности администраторами и пользователями корпоративной сети; - контроля доступа к сетевым ресурсам. Предотвращение, выявление, реагирование и расследование нарушений ИБ посредством: - анализа и мониторинга журналов аудита критичных компонентов корпоративной сети, включая активное сетевое оборудование, серверы, рабочие станции и т.п.; - мониторинга сетевого трафика с целью выявления сетевых атак; - контроля процесса создания новых учетных записей пользователей и предоставления доступа к ресурсам корпоративной сети; - опроса пользователей и администраторов информационных систем; - внедрения и эксплуатации специализированных программных и программно-технических средств защиты информации; - координации деятельности всех структурных подразделений ООО «-» по поддержанию режима ИБ. - менеджером информационной безопасности осуществляется планирование и реализация организационных мер по обеспечению ИБ, включая - анализ и управление информационными рисками; - разработку, внедрение, контроль исполнения и поддержание в актуальном состоянии политик, руководств, концепций, процедур, регламентов и других организационно-распорядительных документов по обеспечению ИБ; - разработку планов мероприятий по повышению уровня ИБ ООО «-»; - обучение пользователей информационных систем, с целью повышения их осведомленности в вопросах ИБ. Наряду с ОИТ, в разработке и согласовании организационно-распорядительных и нормативных документов по защите информации, включая составление перечней информационных ресурсов подлежащих защите, также должны участвовать следующие подразделения предприятия: - служба безопасности; - юрист; - отдел кадров; - функциональные подразделения, в которых обрабатывается информация, требующая защиты. Специалисты по защите информации должны проходить регулярную переподготовку и обучение. Предоставление, изменение, отмена и контроль доступа к ресурсам корпоративной сети передачи данных производится сотрудниками ОИТ исключительно по утвержденным заявкам, в соответствии с «Политикой предоставления доступа пользователей в КСПД». Сотрудники ОИТ отвечают за осуществление настройки параметров информационной безопасности серверов и рабочих станций корпоративной сети передачи данных, в соответствии с утвержденными корпоративными стандартами, определяющими требуемые уровни обеспечения защиты информации для различных структурных и функциональных компонентов корпоративной сети. Характеристика каналов взаимодействия с другими системами и точек входа в ИС предприятия используются следующие каналы взаимодействия с внешними сетями: - выделенный магистральный канал взаимодействия с корпоративной сетью, посредством использования технологии VPN; - резервная линия связи с сетью Интернет; - коммутируемый канал связи, посредством использования технологии GPRS. Доступ к информационным ресурсам сети Интернет открыт для всех пользователей ИС, посредством использования кеширующего прокси сервера на основе программного обеспечения Squid. Обеспечение внешних подключений корпоративной сети передачи данных предприятия к сети Интернет и другим внешним сетям, предоставление сотрудникам удаленного доступа к корпоративной сети и организация VPN-каналов связи осуществляется сотрудниками ОИТ с соблюдением требований информационной безопасности, определяемых «Политикой предоставления доступа к ресурсам сети Интернет» и «Политикой управления доступом к информационным ресурсам КСПД». Договоры на обслуживание клиентов заключаются по утвержденной типовой форме функциональными подразделениями. Если договоры предполагают электронное обслуживание с использованием технологических ресурсов предприятия, то организация и контроль процедур безопасности осуществляется сотрудниками ОИТ. При взаимодействии со сторонними организациями в случаях, когда сотрудникам этих организаций предоставляется доступ к конфиденциальной информации, либо к ИС ООО «-», с этими организациями должно быть заключено «Соглашение о конфиденциальности», либо «Соглашение о соблюдении режима ИБ при выполнении работ в ИС». Подготовка типовых вариантов этих соглашений осуществляется ОИТ предприятия, совместно с юристом. Порядок категорирования защищаемой информации. Для ООО «-» существуют следующие категории информационных ресурсов, подлежащих защите в предприятия: - информация, составляющая коммерческую тайну; - информация, составляющая служебную тайну; - персональные данные сотрудников; - конфиденциальная информация (включая коммерческую тайну, служебную тайну и персональные данные), принадлежащая третьей стороне; - данные, критичные для функционирования ИС и работы бизнес подразделений.без
Пожалуйста, внимательно изучайте содержание и фрагменты работы. Деньги за приобретённые готовые работы по причине несоответствия данной работы вашим требованиям или её уникальности не возвращаются.* Категория работы носит оценочный характер в соответствии с качественными и количественными параметрами предоставляемого материала, который не является научным трудом, не является выпускной квалификационной работой и представляет собой результат обработки, структурирования и форматирования собранной информации, но может использоваться в качестве источника для подготовки работы указанной тематики.
Другие отчёты по практике
Обеспечение информационной безопасности Отчет по практике
Отчёт по практике*
| Код | 382617 |
| Дата создания | 2017 |
| Страниц | 46 |
| Мы сможем обработать ваш заказ 8 октября в 7:00 [мск] Файлы будут доступны для скачивания только после обработки заказа. |
оригинальность 75% ...
Введение 1 Структура предприятия и характеристика его информационных технологий 2 Угрозы информационной безопасности предприятия и описание возможного ущерба от их реализации 3. Анализ системы обеспечения информационной безопасности и выбор метода ее модернизации 4 Основные подходы к формированию концепции информационной безопасности 5 Основные элементы концепции информационной безопасности «-» Заключение Приложение. Концепция информационной безопасности «-». Цель практики - изучить основы организации информационной безопасности предприятия и предложить меры по ее повышению. Задачи: - Проанализировать структуру предприятия и дать характеристику его информационных технологий. - Выявить угрозы информационной безопасности предприятия и описать возможный ущерб от их реализации. - Проанализировать систему обеспечения информационной безопасности и выбрать методы ее модернизации. - Сформулировать концепцию информационной безопасности предприятия. - Определить основные мероприятия по совершенствованию системы информационной безопасности. - Провести обоснование экономической эффективности проекта. перевести значительную часть бумажного документооборота в электронную форму; сэкономить время и средства на проведении расчетов, ведении первичной бухгалтерии; оперативно получать данных по всем участкам работы и постоянно контролировать показатели деятельности компании; гарантировать конфиденциальность и сохранность большого объема информации. Для обеспечения защиты информации в «-» используются следующие методы: 1) Препятствие. Метод представляет собой использование физической силы с целью защиты информации от преступных действий злоумышленников с помощью запрета на доступ к информационным носителям и аппаратуре. 2) Управление доступом - метод, который основан на использовании регулирующих ресурсов автоматизированной системы, предотвращающих доступ к информационным носителям. Управление доступом осуществляется с помощью таких функций, как: Идентификация личности пользователя, работающего персонала и систем информационных ресурсов такими мерами, как присвоение каждому пользователю и объекту личного идентификатора; Аутентификация, которая устанавливает принадлежность субъекта или объекта к заявленному им идентификатору; - Проверка соответствия полномочий, которая заключается в установлении точного времени суток, дня недели и ресурсов для проведения запланированных регламентом процедур; - Доступ для проведения работ установленных регламентом и создание необходимых условий для их проведения; - Регистрация в виде письменного протоколирования обращений к доступу защитных ресурсов; - Реагирование на попытку несанкционированных действий в виде шумовой сигнализации, отключения, отказа в запросе и в задержке работ. 3) Регламентация - метод информационной защиты, при котором доступ к хранению и передаче данных при несанкционированном запросе сводится к минимуму. 4) Принуждение - это метод, который вынуждает пользователей при доступе к закрытой информации соблюдать определенные правила. Нарушение установленного протокола приводит к штрафным санкциям, административной и уголовной ответственности. 5) Побуждение - метод, который основан на этических и моральных нормах, накладывающих запрет на использование запрещенной информации, и побуждает соблюдать установленные правила. Все перечисленные методы защиты направлены на обеспечение максимальной безопасности всей информационной системы организации и осуществляются с помощью разных защитных механизмов. Вместе с обычными механическими системами, для работы которого необходимо участие человека, параллельно внедряются и электронные полностью автоматизированные системы физической защиты. С помощью электронной системы проводится территориальная защита объекта, организовывается пропускной режим, охрана помещений, наблюдение, пожарная безопасность и сигнализационные устройства. Защита оборудования, входящего в общую автоматизированную систему информационной безопасности, и переносных устройств (магнитных лент или флешек) осуществляется с помощью специальных механизмов. Но все используемые средства и методы достаточно устарели и нуждаются в модернизации. К перечню наиболее актуальных организационно-правовых мероприятий по обеспечению информационной безопасности «-» относятся следующие: оформление трудовых соглашений с сотрудниками с четко выраженными обязательствами о неразглашении ценных сведений. В трудовом договоре четко прописаны пункты о неразглашении служебной информации; содержание в штате отдела информационного обеспечения, сотрудники которого имеют специальные знания и опыт в сфере обеспечения безопасности конфиденциальной информации предприятия; контроль и ограничение доступа к системным областям. Информационная система, которая внедрена в «-», подразумевает хранение и использование больших объемов информации, а также доступ к ним широкого круга лиц. В то же время защита данных от несанкционированного доступа является важнейшей задачей при функционировании информационной системы. Взаимодействие пользователей и программных приложений с базами данных осуществляется под контролем системы управления базами данных (СУБД), которая является доминирующим инструментом в обеспечении требуемого уровня безопасности информационной системы. Один из важнейших аспектов обеспечения информационной безопасности в «-» - разграничение доступа к информации. Т.е. каждый сотрудник имеет доступ к открытой только для него информации. В состав культурно-интеллектуального обеспечения информационной безопасности входят мероприятия по обеспечению кадрового состава предприятия высокоспециализированными подготовленными специалистами; созданию атмосферы, способствующей поднятию корпоративного духа в рабочем коллективе; обучение сотрудников. В настоящее время «-» не достаточно уделяют должного внимания данному направлению. Как показал проведенный анализ «-», обучением сотрудников основам компьютерной грамотности и безопасной работе в информационной системе предприятие не занимается. Диагностика существующей системы обучения персонала «-» выявила отсутствие системы обучения персонала по вопросам обеспечения информационной безопасности. При этом система подготовки кадров не только должна быть технически оснащенной и укомплектованной квалифицированными кадрами, не только гибко реагировать на информационные нововведения, она должна быть предметной и адресной. Кроме того, важное значение имеет активное желание и готовность персонала повышению уровня знаний при работе с информационными системами, поскольку учить людей, не имеющих желания, неэффективно и экономически невыгодно. Среди основных проблем в сфере защиты информации «-» можно выделить следующие: непонимание сотрудниками предприятия важности обеспечения защиты информации; несоответствие целей и задач, стоящих перед персоналом отдела информационного обеспечения и сотрудниками других отделов; недостаточная подготовка сотрудников предприятия в вопросах информационной безопасности; существующая управленческая иерархия (подчиненность отдела информационного обеспечения Зам. директора по финансово-экономическим и общим вопросам) способствует недостаточному вниманию со стороны руководства обеспечению информационной безопасности. 4 Основные подходы к формированию концепции информационной безопасности В литературе по проблеме формирования концепций информационной безопасности (далее – ИБ) преобладает комплексный подход к построению системы обеспечения ИБ «-», который нами понимается следующим образом. На основании него система обеспечения ИБ организации рассматривается как целый комплекс принятых управленческих решений, направленных на выявление и предотвращение внешних и внутренних угроз. Эффективность принятых мер основывается на определении таких факторов, как степень и характер угрозы, аналитическая оценка кризисной ситуации и рассматривание других неблагоприятных моментов, представляющих опасность для развития предприятия и достижения поставленных целей. Обобщив подходы к концепции ИБ в изученных источниках, заключаем, что в нашем представлении концепция информационной безопасности «-» должна заключаться в: - формировании на указанных в приложении принципах, исходя из комплексного подхода к построению системы обеспечения информационной безопасности; - учете факторов, влияющие на структуру и организацию системы безопасности; - обеспечении функционирования ряда подразделений - таких, как: служба безопасности в организации и компьютерная безопасность. Обеспечение информационной безопасности «-» должна базироваться на принятии таких мер, как: Качественная безопасность информации для специалистов - это система мер, которая обеспечивает: - Защиту от противоправных действий. - Соблюдение законов во избежание правового наказания и наложения санкций. - Защиту от криминальных действий конкурентов. - Защиту от недобросовестности сотрудников. Эти меры применяются в следующих сферах: - Производственной (для сбережения материальных ценностей). - Коммерческой (для оценки партнерских отношений и правовой защиты личных интересов). - Информационной (для определения ценности полученной информации, ее дальнейшего использования и передачи, как дополнительный способ от хищения). Обеспечение безопасности информации «-» должно основываться на следующих критериях: - Соблюдение конфиденциальности и защита интеллектуальной собственности. - Предоставление физической охраны для персонала предприятия. - Защита и сохранность имущественных ценностей. Предлагаемая концепция для «-» будет достигаться: 1. При условии: - Организации процесса, ориентированного на лишение какой-либо возможности в получении конкурентом ценной информации о намерениях предприятия, о торговых и производственных возможностях, способствующих развитие и осуществление поставленных предприятием целей и задач. - Привлечение к процессу по защите и безопасности всего персонала, а не только службы безопасности. - Все используемые средства для защиты должны быть доступными для пользователей и простыми для технического обслуживания. - Каждого пользователя нужно обеспечить минимальными привилегиями, необходимыми для выполнения конкретной работы. - Система защиты должна быть автономной. - Необходимо предусмотреть возможность отключения защитных механизмов в ситуациях, когда они являются помехой для выполнения работ. - Разработчики системы безопасности должны учитывать максимальную степень враждебности окружения, то есть предполагать самые наихудшие намерения со стороны злоумышленников и возможность обойти все защитные механизмы. - Наличие и месторасположение защитных механизмов должно быть конфиденциальной информацией. Основы обеспечения информационной безопасности организации должны базироваться на таких функциональных направлениях, как: - Своевременная организация безопасности по предотвращению угроз для жизненно важных интересов организации со стороны криминальных лиц или конкурентов. В этом случае для обеспечения защиты используются такие методы информации, как деловая разведка и аналитическое прогнозирование ситуации. - Принятие мер по предотвращению внедрения агентуры и установки технических устройств с целью получения конфиденциальной информации и коммерческой тайны «-». Основными средствами защиты здесь являются строгий пропускной режим, бдительность охранной службы и применение технических защитных устройств. - Обеспечение личной охраны руководству и персоналу организации. Основными критериями для этого вида охраны являются организация предупреждающих мер, опыт и профессионализм охранника, системный подход к обеспечению безопасности. Система безопасности также обеспечивается работой таких подразделений, как: 1. Компьютерная безопасность. Работа этого подразделения основана на принятии технологических и административных мер, которые обеспечивают качественную работу всех аппаратных компьютерных систем, что позволяет создать единый, целостный, доступный и конфиденциальный ресурс. Безопасность данных - это защита информации от халатных, случайных, неавторизированных или умышленных разглашений данных или взлома системы. Безопасное программное обеспечение - это целый комплекс прикладных и общецелевых программных средств, направленных на обеспечение безопасной работы всех систем и безопасную обработку данных. Безопасность коммуникаций обеспечивается за счет аутентификации систем телекоммуникаций, предотвращающих доступность информации неавторизированным лицам, которая может быть выдана на телекоммуникационный запрос. 2. Служба безопасности в организации. В целом деятельность службы безопасности «-» может иметь одну из форм: - входить в структуру организации и финансироваться за ее счет; - существовать как отдельное коммерческое или государственное предприятие и работать в организации по договору с целью обеспечения безопасности отдельных объектов. Служба безопасности, входящая в состав «-», может иметь форму многофункциональной структуры, обеспечивающей полную безопасность предприятия. Обычно, такая форма службы безопасности присуща крупным финансовым компаниям со стабильной экономической ситуацией. Это инвестиционные фонды, коммерческие банки, финансово-промышленные группы - все, кто может использовать собственные технические средства и персонал. Служба безопасности как отдельная коммерческая организация, которая предоставляет услуги в сфере безопасности и защиты, может оказывать как комплексные, так и отдельные услуги. Она может полностью обеспечить организацию системы охраны или выполнять конкретные задания: определять, где установлены подслушивающие устройства; сопровождать транзитные перевозки; предоставлять личную охрану и другие услуги. К этой категории можно отнести частные сыскные и охранные агентства и некоторые государственные организации. Служба безопасности может выполнять следующий комплекс услуг. Первое направление - юридическая защита предпринимательской деятельности, которая представляет собой юридически грамотное оформление обязанностей, прав и условий для ведения деятельности (прав собственности на патент, лицензию, имущество, ведение бухгалтерской документации, регистрационных документов, соглашений, арендных договоров, уставов и другой документации). Реализация и внедрение данной защиты для безопасности предпринимательской деятельности очевидна, поскольку нормативно-правовая база в данных условиях нестабильна и требует определенной юридической защиты. Второе направление - физическая безопасность участников предпринимательской деятельности. В данном случае участниками или субъектами предпринимательской деятельности могут быть не только предприниматели, но и используемые ими ресурсы - материальные, финансовые, информационные. Безопасность интеллектуальных ресурсов также входит в эту категорию. Это обслуживающий персонал, работники предприятия, акционеры. Третье направление - информационно-коммерческая безопасность, которая представляет собой защиту информационных ресурсов предпринимателя и его интеллектуальной собственности. Четвертое направление - охрана и безопасность персонала и людей, работающих на предприятии. Это соблюдение техники безопасности, охраны труда, экологии, санитарии, деловых взаимоотношений, личной безопасности работников. Технические средства и организационные меры защиты представлены в прил. 2. На основании данной информации и проведенного исследования обеспечения безопасности в нашем предприятии можно сделать вывод, что универсального или идеального метода защиты на сегодняшний день не существует, однако мы все таки предложим концепцию информационной безопасности для «-». 5 Основные элементы концепции информационной безопасности «-» Поскольку информационная безопасность «-» с точки зрения предмета нашего исследования представляет собой совокупность мер организационного и программно-технического уровня, направленных на защиту информационных ресурсов предприятия от угроз информационной безопасности, то концепции обеспечения информационной безопасности предприятия должна, на наш взгляд, осуществляться на основе утвержденных конкретных программ и планов по надежному обеспечению указанных мер. С учетом уже имеющейся практики обеспечения информационной безопасности «-» предлагаемую концепцию мы связываем с комплексом мер обеспечения информационной безопасности; с предотвращением, выявлением, реагированием и расследованием нарушений ИБ; распределением ответственности и порядка взаимодействия сотрудников «-», с разработкой механизма контроля политики информационной безопасности, обеспечением безопасности корпоративной сети и каналов взаимодействия с другими системами и другими мероприятиями. Как было выявлено, основными факторами, влияющими на информационную безопасность «-», являются: - расширение сотрудничества предприятия с партнерами; - автоматизация бизнес-процессов на предприятии; - расширение кооперации исполнителей при построении и развитии информационной инфраструктуры предприятия; - рост объемов информации предприятия, передаваемой по открытым каналам связи; - рост компьютерных преступлений. Для нейтрализации негативных факторов предлагаются следующие меры обеспечения информационной безопасности. 1. Организационные меры обеспечения информационной безопасности Система обеспечения информационной безопасности (СОИБ) реализуется путем сочетания мер организационного и программно-технического уровней. Организационные меры состоят из мер административного уровня и процедурных мер защиты информации. Основой мер административного уровня, то есть мер, предпринимаемых руководством предприятия, является политика информационной безопасности. Под политикой информационной безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Политика безопасности определяет стратегию предприятия в области ИБ, а также ту меру внимания и количество ресурсов, которую руководство считает целесообразным выделить. Политика безопасности предприятия определяется предлагаемой концепции, а также другими нормативными и организационно-распорядительными документами предприятия, разрабатываемыми на основе настоящей концепции. К числу таких документов относятся следующие: - мероприятия защиты от несанкционированного доступа (НСД) к информации; - мероприятия по предоставлению доступа пользователей в ИС; - мероприятия управления паролями; - мероприятия восстановления работоспособности технических средств в случае аварии; - мероприятия резервного копирования и восстановления данных; - мероприятия по предоставлению доступа к ресурсам сети Интернет; - мероприятия по управлению доступом к информационным ресурсам ИС предприятия; - внесение изменений в программное обеспечение; - управление доступом к АРМ пользователя; - политика использования электронной почты; - политика анализа защищенности ИС предприятия; - инструкция, определяющая порядок и правила регистрации распечатываемых документов, содержащих конфиденциальную информацию, в соответствии с перечнем информации, составляющей конфиденциальную и служебную информацию; - должностные инструкции для операторов, администраторов и инженеров, осуществляющих эксплуатацию и обслуживание ИС предприятия; - Инструкции для операторов, администраторов и инженеров по обеспечению режима информационной безопасности; - Документированная процедура контроля целостности программной и информационной частей ИС предприятия. 2. Процедуры по обеспечения информационной безопасности. К процедурному уровню относятся меры безопасности, реализуемые сотрудниками предприятия. Выделяются следующие группы процедурных мер, направленных на обеспечение информационной безопасности: - управление персоналом; - физическая защита; - поддержание работоспособности; - реагирование на нарушения режима безопасности; - планирование восстановительных работ. В рамках управления персоналом «-» для каждой должности должны существовать квалификационные требования по информационной безопасности. В должностные инструкции должны входить разделы, касающиеся защиты информации. Каждого сотрудника предприятия необходимо обучить мерам обеспечения информационной безопасности теоретически и отработать выполнение этих мер практически. К механизмам контроля политики информационной безопасности следует отнести: - распределение ролей и ответственности за обеспечение информационной безопасности; - обучение и тренинги по информационной безопасности; - информирование об инцидентах безопасности; - управление непрерывностью бизнеса. Программно-технические средства защиты предлагается располагать на следующих рубежах: - защита внешнего периметра корпоративной сети передачи данных (КСПД); - защита внутренних сетевых сервисов и информационных обменов; - защита серверов и рабочих станций; - защита системных ресурсов и локальных приложений на серверах и рабочих станциях; - защита выделенного сегмента руководства компании. На программно-техническом уровне выполнение защитных функций информационный систем (ИС) осуществляется следующими служебными сервисами обеспечения информационной безопасности: - идентификация/аутентификация пользователей информационный систем (ИС); - разграничение доступа объектов и субъектов информационного обмена; - протоколирование/аудит действий легальных пользователей; - экранирование информационных потоков и ресурсов КСПД; - туннелирование информационных потоков;без
Пожалуйста, внимательно изучайте содержание и фрагменты работы. Деньги за приобретённые готовые работы по причине несоответствия данной работы вашим требованиям или её уникальности не возвращаются.* Категория работы носит оценочный характер в соответствии с качественными и количественными параметрами предоставляемого материала, который не является научным трудом, не является выпускной квалификационной работой и представляет собой результат обработки, структурирования и форматирования собранной информации, но может использоваться в качестве источника для подготовки работы указанной тематики.
Другие отчёты по практике
отчет по преддипломной практики в организации, Информационная безопасность - Отчет по практике
Содержание
Техническое задание на ВКР состоит в проектировании системы защиты информации, связанной с защитой и обработкой конфиденциальных документов криптографическими средствами на основе электронной подписи.
Исходные данные:
1. Политика информационной безопасности ________________
2. План расположения коммутационного оборудования ___________
3. Реализация взаимодействия элементов локально-вычислительной сети по средствам протокола IPSec
4. Проведение тестирования и верификации
5. Проведение анализа уязвимости локальной сети __________________
дипломного проекта
Введение
1. Аналитическая часть
1.1. Проблема информационной безопасности в сети интернет
1.2. Актуальность проблемы обеспечения информационной безопасности
2. Теоретическая часть
2.2. Структура и принцип работы протоколов IPSec
2.3. Преимущества и недостатки использования IPSec.
3. Проектная часть
3.1. Этапы настройки и установки соединения IPSec
3.2. Тестирование производительности протокола IPSec
3.3. Настройка политики безопасности IPSec для работы в качестве межсетевого экрана.
4. Экономическая часть
4.1. Исходные данные для расчета затрат
4.2. Расчет затрат на проектирование системы
4.3. Расчет затрат на внедрение
4.4.
Расчет эксплуатационных расходов
4.5. Расчет и построение диаграммы общей стоимости системы
4.6. Расчет прибыли разработчика системы
Заключение
Список использованных источников
Приложение А. План расположения коммутационного оборудования ______________
Приложение Б. Схема локальной сети _________________________
Выдержка из текста
Практика производственная (преддипломная) пройдена в организации «____________________________________», специализирующемся на защите компьютерной информации организации.
Целями практики являются закрепление и углубление знаний, полученных в рамках обучения по специальности 10.02.03 «Информационная безопасность автоматизированных систем» в Профессионально-педагогическом колледже СГТУ имени Гагарина Ю.А.
Производственная (преддипломная) практика является завершающим этапом формирования компетенций, обеспечивая получение и анализ опыта, как по выполнению профессиональных функций, так и по вступлению в трудовые отношения.
Практика направлена на:
подготовку выпускника к выполнению основных профессиональных функций в соответствии с квалификационными требованиями;
ознакомление студентов непосредственно на предприятиях, в учреждениях и организациях с передовой техникой и технологией, с организацией труда и экономикой производственной деятельности;
изучение принципов проектирования автоматизированных информационных систем;
изучение технической и эксплуатационной документации;
приобретение практических навыков по использованию основных организационных, программно-аппаратных и инженерно-технических мер обеспечения защиты информации в конкретной сфере деятельности;
сбор необходимого материала для выполнения дипломного проекта в соответствии с полученными индивидуальными заданиями;
изучение использования правовых норм и стандартов по лицензированию в области обеспечения защиты государственной тайны, персональных данных и сертификации средств защиты информации;
освоение опыта эксплуатации компонентов подсистем безопасности автоматизированных систем;
закрепление и совершенствование знаний и практических навыков, полученных студентами в процессе обучения;
В процессе прохождения практики проведены следующие виды работ:
решены организационные вопросы по прохождению практик;
проведено знакомство со структурой, характером деятельности организации;
проведен сбор материалов для составления технического задания по теме дипломного проекта;
разработана система защиты на основе технического задания дипломного проекта;
проведены испытания, отладка и тестирование системы;
рассчитаны показатели экономической эффективности системы;
оформлен отчёт по практике.
Список использованной литературы
1. Зайцев Н.Л. Экономика организации / [Текст]: учеб. пособие / М.: Экзамен, 2012.
2. Чечевицына Л.Н., Хачадурова Е.В. Экономика организации. / [Текст]: учебник / Ростов н/Д.: Феникс, 2016 — 382 с.
3. Шухгальтер М.Л., Экономика предприятия / [Текст]: учеб. пособие / М.: Академия, 2013. 200 с.
4. Протокол IPSec [Электронный ресурс]
// www.intuit.ru/studies/courses/531/387/lecture/8998?page=4
5. IPSec — протокол защиты сетевого трафика на IP-уровне [Электронный ресурс]
//http://www.ixbt.com/comm/ipsecure.shtm
6. IPSEC как протокол защиты сетевого трафика [Электронный ресурс]
// www.ciscolab.ru/index.php?newsid=15
7. Изучаем и выявляем уязвимости протокола IPSec [Электронный ресурс]
// xakep.ru/2015/05/13/ipsec-security-flaws/
8. IPsec VPN. Основы. [Электронный ресурс]
// gamelton.com/2013/11/25/ipsec-vpn-basics/
Отчет по практике: Безопасность информационных систем 2
Безопасность информационных систем
Информационная система современной организации или предприятия является сложным образованием, построенным в многоуровневой архитектуре клиент-сервер, которое пользуется многочисленными внешними серверами, а также предоставляет во вне собственные серверы.
Современные информационные системы сложны, а значит, опасны уже сами по себе, даже без учета вмешательства злоумышленников. Постоянно обнаруживаются новые ошибки и уязвимые места в программном обеспечении. Приходится принимать во внимание чрезвычайно широкий спектр аппаратного и программного обеспечения, многочисленные связи между компонентами.
Под безопасностью ИС понимается защищенность системы, т.е. ее способность противостоять различным воздействиям.
Высокие темпы развития информационных технологий делают весьма актуально проблему защиты информации, ее пользователей, информационных ресурсов и каналов передачи данных, а также требуют постоянного совершенствования механизмов защиты.
Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Угроза — целенаправленное действие, которое повышает уязвимость накапливаемой, хранимой и обрабатываемой системы информации и приводит к ее случайному или предумышленному изменению или уничтожению.
Угрозы бывают случайные (непреднамеренные) и умышленные (преднамеренные).
Случайные угрозы:
ошибки обслуживающего персонала и пользователей;
случайное уничтожение или изменение данных;
сбои оборудования и электропитания;
сбои кабельной системы;
сбои дисковых систем;
сбои систем архивирования данных;
сбои работы серверов, рабочих станций, сетевого оборудования;
некорректная работа программного обеспечения;
заражение системы компьютерными вирусами;
неправильное хранение конфиденциальной информации.
Из случайных угроз самыми частыми и самыми опасными (с точки зрения размера ущерба) является пресловутый «человеческий фактор» — непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. По опубликованным данным до 65% информации бесследно исчезает именно из-за этого.
Трудно предсказуемыми источниками угроз информации являются аварии и стихийные бедствия. На безопасность ИС существенное влияние оказывает тот факт, что безошибочных программ, в принципе не существует. Это касается не только отдельных программ, но и целого ряда программных продуктов фирм, известных во всем мире, например, Microsoft. Информационно-аналитический сайт www.securitylab.ru постоянно публикует информацию об уязвимостях, найденных в операционных системах и приложениях. По данным этого источника, ежедневно обнаруживаются в среднем 5-10 новых уязвимостей.
Преднамеренные угрозы:
несанкционированный доступ к информации и сетевым ресурсам;
раскрытие и модификация данных и программ, их копирование;
раскрытие, модификация или подмена трафика вычислительной сети;
разработка и распространение компьютерных вирусов, ввод в программное обеспечение логических бомб;
кража магнитных носителей и технической документации;
разрушение архивной информации или умышленное ее уничтожение;
фальсификация сообщений, отказ от факта получения информации или изменение времени ее приема;
перехват и ознакомление с информацией, передаваемой по каналам связи;
незаконное использование привилегий;
несанкционированное использование информационных ресурсов.
Несанкционированный доступ( НСД ) — наиболее распространенный вид компьютерных нарушений. Он заключается в получении пользователем доступа к объекту, на который у него нет разрешения в соответствии с принятой в организации политикой безопасности. Обычно целью злоумышленника является нарушение конфиденциальности данных. Самое сложное — определить, кто и к каким данным может иметь доступ, а кто — нет. Наиболее распространенными путями несанкционированного доступа к информации являются:
применения подслушивающих устройств (закладок);
перехват электронных излучений;
дистанционное фотографирование;
перехват акустических излучений и восстановление текста принтера;
чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
копирование носителей информации с преодолением мер защиты;
маскировка под зарегистрированного пользователя;
маскировка под запросы системы;
использование программных ловушек;
использование недостатков языков программирования;
незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ к информации;
злоумышленный вывод из строя механизмов защиты;
информационные инфекции.
Перечисленные выше пути несанкционированного доступа требуют специальных технических знаний и соответствующих аппаратных и программных разработок. Однако есть и достаточно примитивные пути несанкционированного доступа:
хищение носителей информации и документальных отходов;
склонение к сотрудничеству со стороны взломщиков;
подслушивание,
наблюдение и т.д.
Любые способы утечки конфиденциальной информации могут привести к значительному материальному и моральному ущербу, как для организации, так и для пользователей. Большинство из перечисленных путей несанкционированного доступа поддаются надежной блокировке при правильно разработанной и реализуемой на практике системе обеспечения безопасности.
Анализируя возможные угрозы с точки зрения наибольшей опасности, изощренности и разрушительности, следует выделить вредоносное программное обеспечение. Вредоносное программное обеспечение – это любая программа, написанная с целью нанесения ущерба или для использования ресурсов атакуемого компьютера. О вредоносном программном обеспечении известно больше, чем о каких-либо других опасностях и повреждениях компьютерной техники. Вредоносное программное обеспечение можно разделить на три группы: Компьютерные вирусы, хакерское ПО и спам.
Вирусы – самое старое вредоносное ПО, существует уже более 20 лет. Подробная классификация вирусов и их характеристика даны в курсе «Экономическая информатика»
Вредоносное действие вируса может проявиться в следующем:
-появление в процессе работы компьютера неожиданных эффектов (падение символов на экране, неожиданные звуковые эффекты, появление неожиданных картинок и т.п.);
-замедление работы компьютера;
-сбои и отказы в работе прикладных программ;
-порча исчезновение файлов с магнитного диска;
-вывод из строя операционной системы;
-разрушение файловой системы компьютера;
-вывод из строя аппаратуры компьютера.
Исторически сначала появились вирусы, поражающие программные файлы, потом загрузочные вирусы, распространяющиеся через загрузочные области магнитных дисков. Основным средством распространения являются дискеты. Позднее появились макровирусы, распространяющиеся с документами офисных приложений, таких, как MicrosoftЕхсе1. Для запуска вирусов этого вида достаточно открыть зараженный документ.
Наряду с совершенствованием механизмов распространения вирусов авторы-вирусописатели улучшали и улучшают скрытность вирусов. Один из способов повышения скрытности вируса, затрудняющий его обнаружение, — это использование шифрования. Шифрующиеся вирусы шифруют собственный код, используя различные ключи и алгоритмы шифрования. В результате каждая новая копия вируса приобретает новый вид. Внедрение ЛВС облегчило процедуру распространения вирусов. Достаточно заразить один компьютер и вирус начнет распространяться по сети, заражая все доступные сетевые диски.
Еще более благоприятную почву для распространения вирусов предоставляют Интернет и электронная почта. Зараженную программу (почтовый вирус) можно получить как приложение к электронному письму. Существуют вирусы, которые могут распространяться через электронную почту без использования приложений, так называемые черви. Для заражения машины не требуется запускать какой-либо приложенный файл, достаточно лишь просмотреть письмо. В его html-коде содержится автоматически запускающийся скрипт, выполняющий вредоносное действие. После активации червь рассылает письмо-ловушку по всем записям, находящимся в адресной книге на зараженном компьютере.
Сеть Интернет предоставляет дополнительные возможности для распространения вирусов. Использование технологии объектов ActiveХ создает потенциальную угрозу проникновения вирусов. Такой объект размещается на сервере WWW и при обращении к нему загружается в память удаленного компьютера. Объект ActiveХ представляет собой программу, которая автоматически запускается на компьютере удаленного пользователя и может делать там практически все что угодно. В частности, не исключено, что она может получить доступ к файловой системе и заразить компьютер вирусом.
--PAGE_BREAK--Программы, составленные на языке Java, не представляют угрозу для распространения вирусов, так как они не имеют доступа к файловой системе удаленного компьютера. Плата за безопасность — меньшая функциональность по сравнению с объектами ActiveХ.
Хакерское ПО— это инструмент для взлома и хищения конфиденциальных данных. Существуют инструменты для сбора данных о потенциальных жертвах и поиска уязвимостей в компьютерных сетях. К ним относятся программы для сканирования сети с целью определения IР-адресов компьютеров и «открытых» портов. Программы «прослушивания» сетевого трафика незаметно перехватывают IР-пакеты в сети и анализируют их в целях определения адресов отправителей и получателей и, может быть, выявления секретных данных типа имен и паролей, передаваемых в открытом виде. Формат почтовых сообщений является открытым, следовательно, электронное письмо может быть легко прочитано.
Есть инструменты хакеров, предназначенные для взлома компьютеров и сетей. К ним относятся программы подбора паролей, фальсификации IР-пакетов путем подмены адреса отправителя/ получателя. Отдельного рассмотрения требуют программы-троянцы (трояны), представляющие в настоящее время главную угрозу и занимающие лидирующее положение среди вредоносного ПО.
Название «троян» («троянский конь») возникло из-за того, что вначале вредоносный код маскировался в некоторой полезной или интересной программе, которую пользователь по доброй воле устанавливал на компьютер. Это могла быть какая-либо утилита, повышающая удобство работы на компьютере, или компьютерная игра. Сейчас троянцы распространяются и по электронной почте, также их можно загрузить на рабочий компьютер с какого-нибудь сайта, просматривая интересные страницы.
Троян незаметно для пользователя (под «прикрытием» полезной программы или будучи внедренным в операционную систему) выполняет ряд действий в интересах хакера:
соединение с сервером хакера и пересылка на него всех вводимых с клавиатуры данных, адресов электронной почты;
рассылка электронной почты по заданным адресам;
•выполнение команд, получаемых с хакерского сервера.
Таким образом, троян «открывает» компьютерную сеть или отдельный компьютер для хакера.
Спам заслуженно считается одной из важных проблем Интернета. Более 80% всех получаемых электронных писем являются спамом, т.е. ненужными пользователю. Природа спама такая же, как у телевизионной рекламы, и пока рассылка спама приносит деньги, вряд ли он может быть искоренен. Пользователю спам причиняет гораздо меньший вред, чем ранее рассмотренные вредоносные программы. В конечном итоге, удаление ненужных писем занимает не очень много времени — обычно несколько минут. Побочный эффект спама — удаление в общей массе мусора «нужных» писем. Но методы рассылки спама заслуживают внимания, так как в этот процесс может быть непроизвольно вовлечен компьютер пользователя.
Если раньше спамеры осуществляли рассылку писем со своих компьютеров и самостоятельно формировали списки рассылки, то теперь для этого используется вредоносное ПО. В качестве примера приведем схему работы спам-бота. Спам-бот — это троянская программа, осуществляющая рассылку спама с зараженного компьютера. Для распространения спам-ботов применяются почтовые и сетевые черви. После своего внедрения спам-бот устанавливает соединение с одним из заранее ему известных серверов, принадлежащих спамеру, и получает информацию об адресах серверов, с которых он должен запрашивать данные для рассылки. Далее он связывается с этими серверами, получает е-mail-адреса и шаблоны для писем и производит рассылку. В дополнение спам-бот отправит на сервер спамера отчет о недоставленных письмах и адреса из адресной книги зараженного компьютера для актуализации списков рассылки, используемых спамером.
Помимо специального ПО для взлома компьютерных сетей и внедрения вредоносного ПО хакеры активно применяют методы социальной инженерии. Самый простой пример — рассылка зараженных писем, в которых указана тема, интересующая получателя ели вызывающая у него любопытство (поздравительная открытка, приглашение куда-нибудь и т.п.). Главная задача — спровоцировать получателя открыть письмо.
Метод фишинга используется для того, чтобы «выудить» у пользователя сведения для доступа к каким-либо ресурсам. Например, можно получить письмо, адрес отправителя в котором очень похож на адрес провайдера услуг Интернета, содержащее просьбу администратора подтвердить loginи пароль. Серьезную угрозу фишинг представляет для клиентов интернет-банков. Злоумышленник посылает письмо с подделанным обратным адресом, т.е. внешне письмо выглядит как посланное из банка. В письме сообщается, что требуется сменить пароль, и указан адрес сайта, на котором необходимо выполнить это действие. Перейдя по этой ссылке, клиент попадает на сайт, внешне не отличающийся от настоящего, и благополучно раскрывает свои персональные данные.
Недавно специалистами компании «Доктор Веб» был обнаружен компьютерный вирус, похищающий информацию о владельцах банковских карт прямо в банкоматах. По некоторым данным, вирус атаковал банкоматы уже нескольких российских банков. Служба вирусного мониторинга получила образец вируса через сервис онлайн-сканера и классифицировала его как Trojan.Skimer. Вредоносная программа собирает информацию о кредитных картах и PIN-кодах к ним, после чего отправляет ее злоумышленникам. В итоге те получают доступ к данным своих потенциальных жертв и могут лишить их всех имеющихся на карточке денег. По информации компании «Доктор Веб», это первый вирус, способный перехватывать данные о банковских картах пользователей, которые ранее пользовались зараженным банкоматом. Хотя вирусные атаки на банкоматы регистрировались и раньше, в худшем случае они просто выводили банкомат из строя, не угрожая пользователям.
В последнее время можно заметить снижение количества крупных всеобщих вирусных эпидемий и увеличение количества целенаправленных атак. Можно говорить о закате эры «вирусописателей-романтиков», создающих вирусы ради самоутверждения, и о появлении организованной киберпреступности. Растет число атак с последующим шантажом и вымогательством. Соответственно, все большее распространение получают вирусы (трояны) со шпионской функцией и развитыми средствами маскировки. Цель — создание распределенных сетей компьютеров-зомби (владельцы компьютеров и не подозревают об этом) для рассылки спама и проведения Dos-атак против выбранной компании.
В распространении вирусов намечается переход от почты и червей к сайтам, т.е. увеличивается количество взломов сайтов для размещения на них вредоносных кодов. Таким образом, можно говорить о том, что по мере увеличения роли информации и информационных систем в современном мире растут и угрозы их нормальному функционированию. В противовес угрозам развиваются методы и средства защиты информации и информационных систем.
Методы и средства защиты информационных систем
Сегодня рождается новая современная технология – технология защиты информации в компьютерных информационных системах и в сетях передачи данных, т.е. для защиты информации организовывается целый комплекс мер, использующих специальные средства, методы и мероприятия с целью предотвращения потери информации.
Организационные мероприятия и процедуры, используемые для решения проблемы безопасности информации, решаются на всех этапах проектирования и в процессе эксплуатации ИТ.
Современные ИТ обладают следующими основными признаками:
наличием информации различной степени конфиденциальности;
необходимостью криптографической защиты информации различной степени конфиденциальности при передаче данных;
иерархичностью полномочий субъектов доступа и программ к АРМ, файл-серверам, каналам связи и информации системы, необходимостью оперативного изменения этих полномочий;
— организацией обработки информации в диалоговом режиме, в режиме разделения времени между пользователями и в режиме реального времени;
обязательным управлением потоками информации как в локальных сетях, так и при передаче по каналам связи на далекие расстояния;
необходимостью регистрации и учета попыток несанкционированного доступа, событий в системе и документов, выводимых на печать;
обязательным обеспечением целостности программного обеспечения и информации в ИТ;
наличием средств восстановления системы защиты информации;
обязательным учетом магнитных носителей;
наличием физической охраны средств вычислительной техники и магнитных носителей.
Основными методами защитыинформации являются:
Препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации ( посты охраны на охраняемых объектах)
Управление доступом – включает:
идентификацию пользователей, персонала и ресурсов системы;
опознание ( установление подлинности) объекта или субъекта по предъявленному им идентификатору;
регистрацию ( протоколирование) обращений к защищаемым ресурсам; и т.д.
Маскировка — метод защиты информации путем ее криптографического закрытия (криптографические коды информации);
Регламентация – метод защиты информации, при которых возможности несанкционированного доступа к ней сводятся к минимуму (организационные – использование паролей, ключей правила разграничения доступа и т.д.);
Принуждение – материальная, административная или уголовная ответственности;
Побуждение — такой метод защиты формируется за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных.)
К основным средствам защитыотносят:
Технические средства – электрические, электромеханические и электронные устройства;
Физические средства – замки на дверях, решетки на окнах и т.д.
Программные средства (ПО), выполняющее функции защиты информации
Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники.(строительство помещений, проектирование компьютерной информационной системы банковской или любой другой деятельности)
Морально-этические средства – нормы и правила, которые сложились традиционно в обществе.
Законодательные средства – законодательные акты страны (против хакеров)
Создание системы информационной безопасности
В любой вычислительной сети важна защита информации от случайной порчи, потери, несанкционированного доступа. Возможных путей потери информации существует много: перехват электронных излучений, считывание информации другого пользователя, незаконное подключение и др.
Наиболее распространенными путями несанкционированного доступа к информации являются:
перехват электронных излучений;
принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей;
перехват акустических излучений и восстановление текста принтера;
хищение носителей информации и документальных отходов;
копирование носителей информации с преодолением мер защиты;
маскировка под зарегистрированного пользователя;
мистификация ( маскировка под запросы системы);
незаконное подключение к аппаратуре и линиям связи;
внедрение и использование компьютерных вирусов.
Основные виды защиты:
Защита информации от несанкционированного доступа путем: регистрации входа (выхода) субъектов доступа в систему (из системы) либо регистрацию загрузки и инициализации операционной системы и ее программного останова, регистрации и учета выдачи печатных (графических) документов на твердую копию и т.д.
Защита информации в системах связи путем криптографии и специальных связных протоколов.
Защита юридической значимости электронных документов путем применения «цифровых подписей» (шифрование данных криптографической контрольной суммой с использованием секретного ключа)
Защита данных от утечки по электромагнитным излучениям путем экранирования помещений;
Защита информации от компьютерных вирусов и других опасных воздействий по каналам распространения программ путем разграничения доступа, самоконтроля и самовосстановления, применения специальных программ – анализаторов или антивирусных, выслеживающих отклонения в деятельности прикладных программ и наличие вирусов, и по возможности их устранение.
Защита от несанкционированного копирования и распространения программ и ценной компьютерной информации путем парольной защиты, ключей, проверки рабочей ПЭВМ по ее уникальным характеристикам, шифрование файлов, содержащих исполняемый код программы и т.д.
Криптография – это наука об обеспечении секретности и/ или аутентичности (подлинности) передаваемых сообщений. Ее сущность в том, что передаваемое сообщение шифруется, преобразуется в шифрограмму (криптограмму), а при получении санкционированным пользователем дешифруется, т.е. превращается в исходный текст. Для этого используется специальный алгоритм. Действие такого алгоритма запускается уникальным числом, или битовой последовательностью,(шифрующим ключом). Шифрование может быть симметричным ( используется один и тот же ключ для шифрования и дешифрования) и ассиметричным (для шифрования используется один общедоступный ключ, а для дешифрования – другой секретный.)
Криптографические системы помогают решить проблему аутентификации принятой информации, т.к. подслушивающее лицо будет иметь дело только с зашифрованным текстом. Таким образом, истинный получатель, приняв эти сообщения, закрытые известным ему и отправителю ключом, будет надежно защищен от возможной дезинформации.
