Автор работы: Пользователь скрыл имя, 02 Июля 2014 в 18:02, курсовая работа
Проблема информационной компьютерной безопасности не нова - специалисты занимаются ею с того самого момента, как компьютер начал обрабатывать данные, ценность которых высока для пользователя. Однако за последние годы в связи с развитием сетей, ростом спроса на электронные услуги ситуация в сфере информационной безопасности серьезно обострилась, а вопрос стандартизации подходов к ее решению стал особенно актуальным как для разработчиков, так и для пользователей ИТ-средств.
Введение 3
1. Стандарты информационной безопасности 4
1.1. Понятие безопасности информации 4
1.2. Международный стандарт информационной безопасности 5
1.3. Особенности процесса стандартизации в интернете 7
1.4. Стандарты безопасности в интернете 8
1.5. Особенности российского рынка 10
1.6. Государственные стандарты 12
1.7. Практическая важность стандартов безопасности 14
2. Безопасность программного обеспечения и человеческий фактор. Психология программирования 15
2.1. Человеческий фактор 15
2.2. Хакеры и группы хакеров 16
2.3. Портрет харека 18
2.4. Информационная война 20
2.5. Психология программирования 24
Заключение 27
Список литературы 28
Очевидно, что создание безопасных ИТ, обрабатывающих конфиденциальную информацию, не содержащую государственной тайны, исключительно важно для экономико-финансовой жизни современной России. Применение в России гармонизированного стандарта ISO 15408 ("Common Criteria"), отражающего новейшие мировые достижения оценки информационной безопасности, позволит:
1.6. Государственные стандарты
Среди различных стандартов по безопасности информационных технологий, существующих в нашей стране, следует выделить ряд документов, регламентирующих защиту взаимосвязи открытых систем (Таблица 1, строки 1-3). К ним можно добавить нормативные документы по средствам, системам и критериям оценки защищенности средств вычислительной техники и автоматизированных систем (cм. Таблицу 1, строки 4-8). Последняя группа документов, также как и многие ранее созданные зарубежные стандарты, ориентирована преимущественно на защиту государственной тайны.
№ |
Номер документа |
Описание |
1 |
ГОСТ Р ИСО 7498-2-99 |
Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации |
2 |
ГОСТ Р ИСО/МЭК 9594-8-98 |
Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации |
3 |
ГОСТ Р ИСО/МЭК 9594-9-95 |
Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 9. Дублирование |
4 |
- |
Руководящий документ Гостехкоммиссии "РД. СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации" (Гостехкомиссия России, 1997) |
5 |
ГОСТ Р 50739-95 |
"Средства вычислительной |
6 |
ГОСТ 28147-89 |
Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования |
7 |
ГОСТ Р 34.10-94 |
Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной подписи на базе асимметричного криптографического алгоритма |
8 |
ГОСТ Р 34.11-94 |
Информационная технология. Криптографическая защита информации. Функция хэширования |
Таблица 1. Нормативные документы, регламентирующие оценку защищенности ИТ.
1.7. Практическая важность
Чтобы продемонстрировать практическую важность перечисленных положений, приведем перечень стандартов безопасности, применяющихся в комплексе реализации электронных банковских услуг InterBank
Протокол SSL (TLS) может использоваться в качестве защиты канала обмена информацией в системах RS-Portal и "Интернет-Клиент". Стандарты ГОСТ 28147-89, ГОСТ Р 34.10-94 и ГОСТ Р 34.11-94, регламентирующие шифрование данных и механизм электронно-цифровой подписи, реализованы во всех системах криптозащиты подсистем типа "клиент-банк" ("Клиент DOS", "Клиент Windows", "Интернет-Клиент").
С помощью протокола IPSec можно прозрачно защитить любой канал обмена информацией между клиентом и банком, использующий сетевой протокол IP. Это относится как к интернет-системам (RS-Portal и "Интернет-Клиент"), так и к системе электронной почты RS-Mail, поддерживающей работу по IP.
Надеемся, что приведенная в статье информация поможет вам оценить надежность ваших систем, а силы и время разработчиков будут направлены на создание действительно лучших средств, которые станут новой ступенью на пути развития технологии информационной безопасности.
2. Безопасность программного обеспечения и человеческий фактор. Психология программирования
2.1. Человеческий фактор
Преднамеренные и непреднамеренные нарушения безопасности программного обеспечения безопасности компьютерных систем большинство отечественных и зарубежных специалистов связывают с деятельностью человека. При этом технические сбои аппаратных средств КС, ошибки программного обеспечения и т.п. часто рассматриваются лишь как второстепенные факторы, связанные с проявлением угроз безопасности.
С некоторой степенью условности злоумышленников в данном случае можно разделить на два основных класса:
Хакеры - это люди, увлеченные компьютерной и телекоммуникационной техникой, имеющие хорошие навыки в программировании и довольно любознательные. Их деятельность в большинстве случаев не приносит особого вреда компьютерным системам. Ко второму классу можно отнести отечественные, зарубежные и международные криминальные сообщества и группы, а также правительственные организации и службы, которые осуществляют свою деятельность в рамках концепции "информационной войны". К этому же классу можно отнести и сотрудников самих предприятий и фирм, ведущих разработку или эксплуатацию программного обеспечения.
Хакеры часто образуют небольшие группы. Иногда эти группы периодически собираются, а в больших городах хакеры и группы хакеров встречаются регулярно. Но основная форма взаимодействия осуществляется через Интернет, а ранее - через электронные доски BBS. Как правило, каждая группа хакеров имеет свой определенный (часто критический) взгляд на другие группы. Хакеры часто прячут свои изобретения от хакеров других групп и даже от соперников в своей группе.
Существуют несколько типов хакеров. Это хакеры, которые:
Группы хакеров, с некоторой степенью условности, можно разделить на следующие:
Ниже приводится два обобщенных портрета хакера, один характеризует скорее зарубежных хакеров-любителей, в то время как второй - это обобщенный портрет отечественного злонамеренного хакера, составленный Экспертно-криминалистическим центром МВД России.
В первом случае отмечается, что многие хакеры обладают следующими особенностями:
Рис. 1. Возрастное распределение обнаруженных компьютерных преступников
Обобщенный портрет отечественного хакера выглядит следующим образом: это мужчина в возрасте от 15 до 45 лет, либо имеющий многолетний опыт работы на компьютере, либо почти не обладающий таким опытом; в прошлом к уголовной ответственности не привлекался; является яркой, мыслящей личностью, способной принимать ответственные решения; хороший, добросовестный работник; по характеру нетерпимый к насмешкам и к потере своего социального статуса в рамках окружающей его группы людей; любит уединенную работу; приходит на службу первым и уходит последним; часто задерживается на работе после окончании рабочего дня и очень редко использует отпуска и отгулы.
В настоящее время за рубежом в рамках создания новейших оборонных технологий и видов оружия активно проводятся работы по созданию так называемых средств не летального воздействия. Эти средства позволяют без нанесения разрушающих ударов (например, современным оружием массового поражения) по живой силе и технике вероятного противника выводить из строя и/или блокировать его вооружение и военную технику, а также нарушать заданные стратегии управления войсками.
Одним из новых видов оружия не летального воздействия является информационное оружие, представляющее собой совокупность средств поражающего воздействия на информационный ресурс противника. Воздействию информационным оружием могут быть подвержены прежде всего компьютерные и телекоммуникационные системы противника. При этом центральными объектами воздействия являются программное обеспечение, структуры данных, средства вычислительной техники и обработки информации, а также каналы связи.
Появление информационного оружия приводит к изменению сущности и характера современных войн и появлению нового вида вооруженного конфликта - информационная война.
Несомненным является то, что информационная война, включающая информационную борьбу в мирное и военное время, изменит и характер военной доктрины ведущих государств мира. Многими зарубежными странами привносится в доктрину концепция выигрывать войны, сохраняя жизни своих солдат, за счет технического превосходства.
Ввиду того, что в мировой практике нет прецедента ведения широкомасштабной информационной войны, а имеются лишь некоторые прогнозы и зафиксированы отдельные случаи применения информационного оружия в ходе вооруженных конфликтов и деятельности крупных коммерческих организаций, анализ содержания информационной войны за рубежом возможен по отдельным публикациям, т.к. по некоторым данным информация по этой проблеме за рубежом строго засекречена.
Анализ современных методов ведения информационной борьбы позволяет сделать вывод о том, что к прогнозируемым формам информационной войны можно отнести следующие:
Информация о работе Стандартизация технологии безопасности информационных систем