Автор работы: Пользователь скрыл имя, 23 Сентября 2012 в 11:34, курсовая работа
В связи с развитием высоких технологий, человечество всячески старается сделать свою жизнь более удобной и автоматизированной. В настоящее время, электронные носители информации активно вытесняют бумажные, так как имеют значительное преимущество перед ними по объёму хранимой информации, удельной стоимости, простоте использования, а также удобному потребителю виде (форматирование, сортировка и т.д.). В связи с этим особую актуальность приобретает проблема защиты информации на электронных носителях.
Одним словом, возникновение индустрии обработки информации с железной необходимостью привело к возникновению индустрии средств защиты информации
Введение 3
1. Теоретическая часть. Современные методы защиты информации. Электронная цифровая подпись.
1.1 Безопасность информации. Угрозы безопасности информации…..4
1.2 Методы обеспечения безопасности информации 5
1.3 Средства обеспечения безопасности информации….…………….7
1.4 Электpонная цифpовая подпись 10
2. Практическая часть (вариант 8)
2.1. Постановка задачи
2.2. Компьютерная модель решения задачи
2.3. Результаты компьютерного эксперимента и их анализ
Заключение 21
Список литературы
Приложения…………...…………………………………………………23
Введение 3
1. Теоретическая часть. Современные методы защиты информации. Электронная цифровая подпись.
1.1 Безопасность информации. Угрозы безопасности информации…..4
1.2 Методы обеспечения безопасности информации 5
1.3 Средства обеспечения безопасности информации….…………….7
1.4 Электpонная цифpовая подпись 10
2. Практическая часть (вариант 8)
2.1. Постановка задачи
2.2. Компьютерная модель решения задачи
2.3. Результаты компьютерного эксперимента и их анализ
Заключение 21
Список литературы
Приложения…………...…………………………………
В связи с развитием высоких технологий, человечество всячески старается сделать свою жизнь более удобной и автоматизированной. В настоящее время, электронные носители информации активно вытесняют бумажные, так как имеют значительное преимущество перед ними по объёму хранимой информации, удельной стоимости, простоте использования, а также удобному потребителю виде (форматирование, сортировка и т.д.). В связи с этим особую актуальность приобретает проблема защиты информации на электронных носителях.
Одним словом, возникновение индустрии обработки информации с железной необходимостью привело к возникновению индустрии средств защиты информации.
В связи с этим, целью нашей работы является определение основных современных средств защиты информации. Объектами изучения нашей работы будут: безопасность информации, методы и средства ее защиты. Особое внимание в работе будет уделено такому средству защиты как электронная цифровая подпись.
В практической части будет решена поставленная задача, путем освоения основных функций Microsoft Office Excele.
Под безопасностью информационных систем (ИС) понимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного получения) информации, модификации или физического разрушения ее компонентов. Иначе говоря, это способность противодействовать различным возмущающим воздействиям на ИС. [1, С. 442]
Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.
Угрозы могут быть объективными (случайными), независимо от воли и желания людей, и субъективными (преднамеренными, умышленными), т.е специально созданными.
Виды умышленных угроз безопасности информации
Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов ИС, не оказывая при этом влияния на ее функционирование. Например, несанкционированный доступ к базам данных, прослушивание каналов связи и т.д.
Активные угрозы имеют целью нарушение нормального функционирования ИС путем целенаправленного воздействия на ее компоненты. К активным угрозам относятся, например, вывод из строя компьютера или его операционной системы, искажение сведений в БнД, разрушение программного обеспечения (ПО) компьютеров, нарушение работы линий связи и т.д.
Источником активных угроз могут быть действия взломщиков, вредоносные программы и т.п.
Умышленные угрозы подразделяются также на внутренние (возникающие внутри управляемой организации) и внешние.
Внутренние угрозы чаще всего определяются социальной напряженностью и тяжелым моральным климатом.
Внешние угрозы могут определяться злонамеренными действиями конкурентов, экономическими условиями и другими причинами (например, стихийными бедствиями). По данным зарубежных источников,
получил широкое распространение промышленный шпионаж — это наносящие ущерб владельцу коммерческой тайны незаконные сбор, присвоение и передача сведений, составляющих коммерческую тайну, лицом, не уполномоченным на это ее владельцем.
К основным угрозам безопасности информации и нормального функционирования ИС относятся:
• утечка конфиденциальной информации;
• компрометация информации;
• несанкционированное использование информационных ресурсов;
• ошибочное использование информационных ресурсов;
• несанкционированный обмен информацией между абонентами;
• отказ от информации;
• нарушение информационного обслуживания;
• незаконное использование привилегий.
Защита от умышленных угроз — это своего рода соревнование обороны и нападения: кто больше знает, предусматривает действенные меры, тот и выигрывает.
Существует ряд методов и способов защиты информации.
Препятствие — метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).
Управление доступом — методы защиты информации регулированием использования всех ресурсов ИС и ИТ. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации. Управление доступом включает следующие функции защиты:
• идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);
• опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
• проверку полномочий (проверка соответствия дня недели, времени суток; запрашиваемых ресурсов и процедур установленному регламенту);
• разрешение и создание условий работы в пределах установленного регламента;
• регистрацию (протоколирование) обращений к защищаемым ресурсам;
• реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.) при попытках несанкционированных действий.
Механизмы шифрования (маскировка) — криптографическое закрытие информации.
Эти методы защиты все шире применяются как при обработке, так и при хранении информации на магнитных носителях. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.
Противодействие атакам вредоносных программ предполагает комплекс разнообразных мер организационного характера и использование антивирусных программ. Цели принимаемых мер — это уменьшение вероятности инфицирования АИС, выявление фактов заражения системы; уменьшение последствий информационных инфекций, локализация или уничтожение вирусов; восстановление информации в ИС.
Регламентация — создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при которых нормы и стандарты по защите выполняются в наибольшей степени.
Принуждение — метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Побуждение — метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.
Вся совокупность технических средств подразделяется на аппаратные и физические.
Аппаратные средства — устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.
Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т.п.
Программные средства — это специальные программы и программные комплексы, предназначенные для защиты информации в ИС.
Как отмечалось, многие из них слиты с ПО самой ИС.
Из средств ПО системы защиты необходимо выделить еще программные средства, реализующие механизмы шифрования (криптографии).
Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.
Организационные средства осуществляют своим комплексом регламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становится невозможным или существенно затрудняется за счет проведения организационных мероприятий. Комплекс этих мер реализуется группой информационной безопасности, но должен находиться под контролем первого руководителя.
Морально-этические средства защиты включают всевозможные нормы поведения, которые традиционно сложились ранее, складываются по мере распространения ИС и ИТ в стране и в мире или специально разрабатываются. Морально-этические нормы могут быть неписаные (например, честность) либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обязательными для исполнения.
(Характерным примером таких предписаний является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США.)
Взаимоствязь между методами и средствами защиты информации можно представить в виде схемы (рис.1)
Рис.1 Взаимоствязь между методами и средствами защиты информации
Важнейшим методом защиты информации является маскировка. Маскировка осуществляется с программными средствами, к которым относятся:
- криптографические средства;
- уничтожение результатов решения задачи;
- регистрация работы технических и программных средств;
- разграничение доступа по паролям и ключам доступа;
- электронная подпись.
Криптография является основой любой защищенной системы. В общем смысле это технология составления закодированных сообщений и их расшифровки. Криптографический механизм включает две составляющие: алгоритм и ключ. Алгоритм не является секретным, более того он широко известен. Секретным является ключ.
В системах компьютерной безопасности используются три метода: симметричное шифрование, асимметричное шифрование, односторонние хэш-функции.
При использовании симметричного шифрования получатель и отправитель сообщения выбирают единый алгоритм, который будет использоваться для шифрования и расшифровки данных, и общий секретный ключ. Чаще всего этот метод используется для обеспечения конфиденциальности данных, хранящихся на машинных носителях. Для эффективного использования этого метода необходимо часто менять ключи, так как всегда существует риск их случайного раскрытия.
Ассиметричное шифрование называют еще системой с открытым ключом. Здесь для шифрования данных используется один ключ, а для расшифровки другой. Первый ключ является открытым и свободно распространяется для шифрования отправляемых данных. А второй ключ закрытый – для расшифровки данных. Системы ассиметричного шифрования характеризуются высокой безопасностью, но существенно меньшим быстродействием по сравнению с симметричными системами.
Односторонней хэш-функцией называется функция, которую легко рассчитать, но обратное преобразование требует непропорционально больших усилий. Односторонние хэш-функции лежат в основе технологии электронной цифровой подписи (ЭЦП). [1, С. 457]
Электpонной цифpовой подписью называется пpисоединяемое к тексту его кpиптогpафическое пpеобpазование, котоpое позволяет пpи получении текста дpугим пользователем пpовеpить автоpство и подлинность сообщения.
ЭЦП — электронный аналог собственноручной подписи — используемый в системах электронного документооборота для придания электронному документу юридической силы, равной бумажному документу, подписанного собственноручной подписью правомочного лица и/или скрепленного печатью. Документ (файл), подписанный ЭЦП, гарантированно защищен от изменений — проверка подписи мгновенно выявит расхождение. ЭЦП обеспечивает проверку целостности документов, конфиденциальность, установление лица, отправившего документ. Это позволяет усовершенствовать процедуру подготовки, доставки, учета и хранения документов, гарантировать их достоверность. Главное преимущество использование ЭЦП — значительное сокращение временных и финансовых затрат на оформление и обмен документацией. Таким образом, по функциональности ЭЦП даже превосходит обычную подпись. Предположим, что две стороны (назовем их условно «А» и «Б») решили организовать между собой обмен документами на машинных носителях. Как должен выстраиваться документооборот между этими сторонами? В первую очередь, стороны должны договориться об использовании средств ЭЦП. Лучше, если это будет программный или программно-аппаратный комплекс, сертифицированный в нашей стране. После того, как средство ЭЦП выбрано, стороны должны выполнить генерирование ключей — по открытому и секретному (личному) ключу ЭЦП для каждой стороны.