Защита информации в экономических информационных системах

 

Федеральное агентство  по образованию

Государственное образовательное  учреждение

высшего профессионального образования

«НИЖЕГОРОДСКИЙ ГОСУДАРСТВЕННЫЙ  УНИВЕРСИТЕТ

 им. Н.И. ЛОБАЧЕВСКОГО»

 

 

Финансовый Факультет

Курсовая работа

 

 

По дисциплине: Автоматизированные Информационные Системы.

 

 

                                                                                                                             

на тему: «Защита информации в экономических информационных системах».

 

 

 

                                                             Выполнил:

                                                                       студент 4 курса,

                                                                    группы 13 …..

                                                                              дневного отделения,

                                                                     специальности 

                                                                              «Финансы и кредит» 

                                                              …….

                                                                                    Проверил:

                                                                                     Ясенев В.Н.

 

 

 

 

 

 

 

Нижний Новгород

2011 год

Содержание

Введение	3
Глава 1. Теоретические аспекты защиты информации	5
1.1. Понятие защиты  информации, информационной безопасности	5
1.2. Виды угроз, объекты и задачи	14
1.3. Классификация вирусов по видам	17
Глава 2. Методы и средства защиты	22
2.1.Организационно-техническое  обеспечение компьютерной безопасности	22
2.2. Электронная цифровая  подпись и особенности ее применения 2.3. Государственное регулирование  информационной безопасности Глава3. Программные  продукты для обеспечения информационной безопасности 3.1. Программные брандмауэры (на примере Firewall) 3.2. Реализация политики  безопасности 3.3. Совершенствование  системы защиты информации	28   34   39 39 43 45
Заключение	50
Список использованной литературы	52
Приложения	55

 

 

 

 

 

 

 

 

 

 

 

 

Введение

 

Защита информации в  современных условиях становится все  более сложной проблемой, что  обусловлено рядом обстоятельств, основными из которых являются: массовое распространение средств электронной вычислительной техники (ЭВТ); усложнение шифровальных технологий; необходимость защиты не только государственной и военной тайны, но и промышленной, коммерческой и финансовой тайн; расширяющиеся возможности несанкционированных действий над информацией.

Кроме того, в настоящее  время получили широкое распространение средства и методы несанкционированного и негласного добывания информации. Они находят все большее применение не только в деятельности государственных правоохранительных органов, но и в деятельности разного рода преступных группировок.

Необходимо помнить, что  естественные каналы утечки информации образуются спонтанно, в силу специфических обстоятельств, сложившихся на объекте защиты. Что касается искусственных каналов утечки информации, то они создаются преднамеренно с применением активных методов и способов получения информации. Активные способы предполагают намеренное создание технического канала утечки информации с использованием специальных технических средств. К ним можно отнести незаконное подключение к каналам, проводам и линиям связи, высокочастотное навязывание и облучение, установка в технических средствах и помещениях микрофонов и телефонных закладных устройств, а также несанкционированный доступ к информации, обрабатываемой в автоматизированных системах (АС) и т.д.

Поэтому особую роль и место в деятельности по защите информации занимают мероприятия по созданию комплексной защиты, учитывающие угрозы национальной и международной безопасности и стабильности, в том числе обществу, личности, государству, демократическим ценностям и общественным институтам, суверенитету, экономике, финансовым учреждениям, развитию государства.

Казалось бы, на первый взгляд, ничего нового в этом нет. Требуются  лишь известные усилия соответствующих органов, сил и средств, а также их соответствующее обеспечение всем необходимым.

Вместе с тем, проблемных вопросов по защите информации множество, их решение зависит от объективных и субъективных факторов, в том числе и дефицит возможностей.

Таким образом, проблема зашиты информации и обеспечения конфиденциальности приобретает актуальность.

Для достижения поставленной цели необходимо решить определенный круг задач:

• Рассмотреть теоретические аспекты защиты информации;
• Изучить методы и средства защиты;
• Рассмотреть программный продукт, обеспечивающий информационную безопасность.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Глава 1. Теоретические  аспекты защиты информации

 

1.1. Понятие защиты информации, информационной безопасности

 

Прогресс в новейших информационных технологиях делает весьма уязвимым любое общество. Каждый прорыв человечества в будущее не освобождает его от груза прошлых ошибок и нерешенных проблем. Когда экономические войны из-за интеграции национальных экономик стали слишком опасными и убыточными, а глобальный военный конфликт вообще способен привести к исчезновению жизни на планете, война переходит в иную плоскость - информационную.

Информационная  война - информационное противоборство с целью нанесения ущерба важным структурам противника, подрыва его политической и социальной систем, а также дестабилизации общества и государства противника.

Информационное  противоборство - форма межгосударственного соперничества, реализуемая посредством оказания информационного воздействия на системы управления других государств и их вооруженных сил, а также на политическое и военное руководство и общество в целом, информационную инфраструктуру и средства массовой информации этих государств для достижения выгодных для себя целей при одновременной защите от аналогичных действий от своего информационного пространства.

Информационная  преступность - проведение информационных воздействий на информационное пространство или любой его элемент в противоправных целях. Как ее частный вид может рассматриваться информационный терроризм, то есть деятельность, проводимая в политических целях.

Информационное воздействие - акт применения информационного оружия.

Информационное  оружие - комплекс технических и других средств, методов и технологий, предназначенных для:

• установления контроля над информационными ресурсами потенциального противника;
• вмешательство в работу его систем  управления и информационных сетей, систем связи и т.п. в целях нарушения их работоспособности, вплоть до полного выведения из строя, изъятия, искажения содержащихся в них данных или направленного введения специальной информации;
• распространение выгодной информации и дезинформации в системе формирования общественного мнения и принятия решений;
• воздействие на сознание и психику политического и военного руководства, личного состава вооруженных сил, спецслужб и населения противостоящего государства, используемых для достижения превосходства над  противником или ослабления проводимых им информационных воздействий.

Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

Если исходить из классического  рассмотрения кибернетической модели любой управляемой системы, возмущающие  воздействия на нее могут носить случайный характер. Поэтому среди угроз безопасности информации следует выделять как один из видов угроз случайные, или непреднамеренные. Их источником могут быть выход из строя аппаратных средств, неправильные действия работников информационные системы (ИС) или ее пользователей, непреднамеренные ошибки в программном обеспечении и т.д. Такие угрозы тоже следует держать во внимании, т.к. ущерб от них может быть значительным. Однако в данной работе наибольшее внимание уделяется угрозам умышленным, которые в отличие от случайных преследуют цель нанесения ущерба управляемой системе или пользователям. Это делается нередко ради получения личной выгоды.

Человека, пытающегося  нарушить работу информационной системы  или получить несанкционированный  доступ к информации, обычно называют "компьютерным пиратом" (хакером).

Информационная безопасность включает:

• состояние защищенности информационного пространства, обеспечивающее его формирование и развитие в интересах граждан, организаций и государства;
• состояние инфраструктуры, при котором информация используется строго по назначению и не оказывает негативного воздействия на систему при ее использовании;
• состояние информации, при котором исключается или существенно затрудняется нарушение таких  ее свойств, как конфиденциальность, целостность и доступность;
• финансовую и экономическую составляющую (информационные сети и базы данных банков и банковских объединений, системы финансового обмена и финансовых расчетов).

Обеспечение информационной безопасности должно начинаться с выявления субъектов отношений, связанных с использованием информационных систем. Спектр их интересов может быть разделен на следующие основные категории: доступность (возможность за приемлемое время получить требуемую информационную услугу), целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения), конфиденциальность (защита от несанкционированного ознакомления).

Исходя из вышеизложенного, в наиболее общем виде информационная безопасность может быть определена как невозможность нанесения вреда свойствам объекта безопасности, обусловливаемым информацией и информационной инфраструктурой (рис. 1).

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Рис.1 Структура понятия «Информационная безопасность»

Понятие информационной безопасности в узком смысле этого слова подразумевает:

• надежность работы компьютера;
• сохранность ценных данных;
• защиту информации от внесения в нее изменений неуполномоченными лицами;
• сохранение тайны переписки в электронной связи.

Объектом информационной безопасности может быть коммерческое предприятие. Тогда содержание "информационной безопасности" будет заключаться в защищенности интересов собственника данного предприятия, удовлетворяемых с помощью информации, либо связанных с защитой от несанкционированного доступа тех сведений, которые представляются собственнику достаточно важными.

К объектам информационной безопасности на предприятии относят:

• информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне, и конфиденциальную информацию, представленную в виде информационных массивов и баз данных;
• средства и системы информатизации - средства вычислительной и организационной техники, сети и системы, общесистемное и прикладное программное обеспечение, автоматизированные системы управления предприятиями, системы связи и передачи данных, технические средства сбора, регистрации, передачи, обработки и отображения информации, а также их информативные физические поля.

При осуществлении коммерческой деятельности возникает информация, известность которой другим участникам рынка может существенно снизить доходность этой деятельности. В деятельности государства порождается информация, раскрытие которой может снизить эффективность проводимой политики. Подобная информация закрывается, и устанавливаемый режим ее использования призван предупредить возможность несанкционированного ознакомления с ней. В этом случае объектом безопасности выступает режим доступа к информации, а информационная безопасность заключается в невозможности нарушения этого режима. Примером могут служить информационно-телекоммуникационные системы и средства связи, предназначенные для обработки и передачи сведений, составляющих государственную тайну. Основным объектом безопасности в них является режим доступа к секретной информации. Информационная безопасность таких систем заключается в защищенности этой информации от несанкционированного доступа, уничтожения, изменения и других действий. Система обеспечения безопасности информации включает подсистемы: