Безопасность корпоративных информационных систем

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

Ф ГОУВПО «Благовещенский государственный педагогический университет»

Физико-математический факультет

Кафедра информатики и методики преподавания информатики

 

 

 

 

Курсовая работа

по теме: Безопасность корпоративных информационных систем

 

 

 

 

 

Исполнитель

студент группы 4 ИС    _________    _________    Л. С. Авдейчик

дата                             подпись

 

Руководитель :

ст. преподаватель          _________    _________    А. А. Ягелло

дата                            подпись

 

 

 

 

 

 

 

Благовещенск 2014

Содержание

 

 

 

 

Введение

 

 

Основные объективные причины, определяющие актуальность изучения вопросов безопасности корпоративных информационных систем это:

1. Высокие темпы роста парка ЭВМ, находящихся в эксплуатации, как количественно, так и качественно.
2. Расширение областей использования ЭВМ. Широкое применение вычислительной техники в самых различных сферах человеческой деятельности объясняется рядом причин:

1. развитием собственно вычислительной техники, которая позволяет решать задачи, связанные с управлением производством, различными технологическими процессами и системами, обработкой цифровой и символьной информации практически во всех областях науки и техники;

2. постоянно возрастающем в соответствии с экспоненциальным законом объемом информации, который человек должен воспринимать и перерабатывать в процессе своей деятельности;
3. более эффективным использованием трудовых и стоимостных ресурсов в экономике, возможностью решения новых научных проблем, принятия обоснованных решений на различных уровнях управления.

3. Высокая степень концентрации информации в центрах ее обработки. На современном этапе особое значение имеют банки данных, предназначенные для централизованного накопления и коллективного много-аспектного использования данных. Банк данных представляет собой человеко-машинную систему, включающую внутренних пользователей, в том числе и администрацию банка данных, а также технологию информационного процесса на базе ЭВМ и других средств вычислительной техники.

4. Количественное и качественное совершенствование способов доступа пользователя к ресурсам ЭВМ. Если к ЭВМ первого поколения имели доступ обслуживающий персонал и пользователи, находящиеся непосредственно в машинном зале, то современные системы обработки данных (СОД) могут обслуживать абонентов, удаленных на сотни и тысячи километров. Количество абонентов, пользующихся услугами системы одновременно, может быть очень большим. Стало возможным взаимное сопряжение различных ЭВМ при обмене информацией. Такие взаимосвязанные ЭВМ с подключенными к ним удаленными абонентскими терминальными устройствами образуют сложные информационно-вычислительные сети, распределенные на большой территории. Очевидно, что в этих системах такими организационными мерами, как поддержание строгого режима в помещениях, где установлены ЭВМ, исключить несанкционированный доступ к информации практически невозможно.
5. Усложнение вычислительного процесса на ЭВМ. Еще недавно ЭВМ работали в основном в однопрограммном режиме. Современные ЭВМ могут работать в мультипрограммном режиме (одновременно решается несколько задач), в мультипроцессорном режиме (создаются условия для решения задачи несколькими параллельно работающими процессорами), а также в режиме разделения времени, когда в одной и той же ЭВМ одновременно может обращаться большое количество абонентов.

Целью курсовой работы является изучение обеспечения информационной безопасности в корпоративных информационных системах.

Для достижения поставленной цели необходимо рассмотреть следующие задачи:

• основные понятия в области информационной безопасности,
• изучить основные угрозы в области информационной безопасности,
• изучить способы обеспечения информационной безопасности в корпоративных информационных сетях.

1 Основные понятия

 

 

Словосочетание "информационная безопасность" в разных контекстах может иметь различный смысл. В Доктрине информационной безопасности Российской Федерации термин "информационная безопасность" используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

В Законе РФ "Об участии в международном информационном обмене" (закон утратил силу, в настоящее время действует "Об информации, информационных технологиях и о защите информации") информационная безопасность определяется аналогичным образом – как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

Под информационной безопасностью далее будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры [7].

Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Правильный с методологической точки зрения подход к проблемам информационной безопасности, начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.

Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.

Информационная безопасность зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал.

В определении информационной безопасности перед существительным "ущерб" стоит прилагательное "неприемлемый". Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. С чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.

Информационная безопасность – многогранная область деятельности, в которой успех может принести только системный, комплексный подход.

Интересы субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.

Доступность – это возможность за приемлемое время получить требуемую информационную услугу. Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если предоставить эти услуги пользователям становится невозможно, этонаносит ущерб всем субъектам информационных отношений. Поэтому, доступность - важнейший элемент информационной безопасности. Особенно ярко ведущая роль доступности проявляется системах управления (производством, транспортом и т.д.) Весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.д.).

Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения. Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений. Целостность оказывается важнейшим аспектом информационной безопасности в тех случаях, когда информация служит "руководством к действию". Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Неприемлемо и искажение официальной информации, будь то текст закона или страница web-сервера какой-либо правительственной организации.

Конфиденциальность – это защита от несанкционированного доступа к информации. Конфиденциальные моменты есть у многих организаций и отдельных пользователей (например, пароли).

Угроза - потенциальная возможность определенным образом нарушить информационную безопасность. Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (таких, например, как возможность доступа посторонних лиц к критически важному оборудованию или ошибки в программном обеспечении).

Атака – попытка реализации угрозы.

Злоумышленник – тот, кто пытается реализовать атаку. Потенциальные злоумышленники – источники угроз.

Окно опасности - промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется. Пока существует окно опасности, возможны успешные атаки на информационную систему. Если речь идет об ошибках в ПО, то окно опасности "открывается" с появлением средств использования ошибки и ликвидируется при наложении заплат, ее исправляющих. Для большинства уязвимых мест окно опасности существует сравнительно долго (несколько дней, иногда - недель), поскольку за это время должны произойти следующие события:

1. должно стать известно о средствах использования пробела в защите;

2. должны быть выпущены соответствующие заплаты;

3. заплаты должны быть установлены в защищаемой ИС.

Новые уязвимые места и средства их использования появляются постоянно, а это значит, что почти всегда существуют окна опасности и что отслеживание таких окон должно производиться постоянно, а выпуск и наложение заплат - как можно более оперативно.

Некоторые угрозы нельзя считать следствием каких-то ошибок или просчетов. Они существуют в силу самой природы современных ИС.

2 Типы угроз

 

 

Иметь представление о возможных угрозах, а также об уязвимых местах, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности. Слишком много мифов существует в сфере информационных технологий ("Проблема 2000"), поэтому незнание в данном случае ведет к перерасходу средств и, что еще хуже, к концентрации ресурсов там, где они не особенно нужны, за счет ослабления действительно уязвимых направлений.

 

2.1 Классификация угроз

 

 

В курсе «Основы информационной безопасности» угрозы классифицируют [7]:

1. по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;

2. по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);

3. по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера);

4. по расположению источника угроз (внутри/вне рассматриваемой ИС).

Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.

Иногда такие ошибки и являются собственно угрозами (неправильно введенные данные или ошибка в программе, вызвавшая крах системы), иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники(таковы обычно ошибки администрирования). По некоторым данным, до 65% потерь - следствие непреднамеренных ошибок.

Пожары и наводнения не приносят столько бед, сколько безграмотность и небрежность в работе.

Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками - максимальная автоматизация и строгий контроль.

 

2.1.1 Основные угрозы доступности информации

 

 

Угрозы доступности классифицируются по компонентам ИС, на которые нацелены угрозы:

1. отказ пользователей;
2. внутренний отказ информационной системы;

3. отказ поддерживающей инфраструктуры.

Обычно применительно к пользователям рассматриваются следующие угрозы:

1. нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками);

2. невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.);

3. невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.).