- •Учебно-методическое пособие по дисциплине "Компьютерные информационные технологии"
- •I. Проблемы защиты информации
- •1.1 Понятие интеллектуальной собственности и секретность информации
- •1.2. Носители и потенциальные источники утечки информации
- •1.3. Каналы утечки и способы получения информации
- •1) Легальные способы:
- •2) Полулегальные (сомнительные) способы:
- •3) Нелегальные (криминальные) способы:
- •1.4. Побочные технические каналы утечки информации
- •1.5. Угрозы информационным ресурсам корпорации
- •1.6. Оценка последствий реализации угроз информации
- •Категории важности информации
- •1.7. Средства и способы несанкционированного доступа к информационным ресурсам
- •Беззаходовые средства разведки Средства подсматривания
- •Средства подслушивания
- •Заходовые средства разведки
- •Последствия несанкционированного доступа к информации
- •2.1. Модель действий нарушителя
- •Классы прочности защиты
- •2.2. Простейшая модель защиты информационного объекта
- •2.3. Модель одноуровневой многозвенной защиты
- •2.4. Модель многоуровневой однозвенной защиты
- •2.5. Модель многоуровневой многозвенной защиты
- •2.6. Общие принципы построения системы защиты
- •2.7. Этапы построения системы защиты
- •3. Законодательные меры защиты информации
- •3.1. Законодательно-правовые документы по защите информации
- •3.2. Объекты интеллектуальной собственности, охраняемые законодательством
- •3.3. Понятие коммерческой тайны
- •Утверждаю
- •Перечень сведений, составляющих коммерческую тайну корпорации
- •3.4. Ответственность за разглашение коммерческой тайны
- •4. Административные и финансовые меры защиты информации
- •4.1. Политика информационной безопасности корпорации
- •4.2. Служба безопасности
- •4.3. Группа охраны
- •4.4. Пропускной режим
- •4.5. Работа с сотрудниками
- •Обязательство
- •О неразглашении коммерческой тайны корпорации
- •4.6. Работа с документами
- •4.7. Организация работы технических средств
- •4.8. Финансовые меры защиты информации
- •5. Физические и технические средства защиты
- •5.1. Физические средства и способы защиты информации
- •5.2. Технические средства и способы защиты информации
- •6. Защита информации в автоматизированных системах обработки информации
- •6.1. Каналы утечки информации в асои
- •6.2. Основные принципы проектирования защиты в асои
- •6.3. Программные средства защиты
- •6.3.1. Защита ресурсов асои от несанкционированного доступа
- •6.3.2. Резервное копирование и архивация информации
- •6.3.3. Защита от вредоносных программ
- •6.4. Аппаратные средства защиты
- •6.5. Шифрование информации
- •7. Защита локальных сетей и интрасетей
- •7.1. Умышленные угрозы локальным сетям и интрасетям из Internet
- •7.2. Общие принципы обеспечения информационной безопасности в лвс и интрасети
- •7.3. Защита систем управления базами данных
- •7.4. Защита каналов связи
- •Литература
- •Оглавление
- •1. Проблемы защиты информации…………………….3
- •2. Основы теории защиты информации
- •4. Административные и финансовые меры
- •6. Защита информации в автоматизированных
6. Защита информации в автоматизированных системах обработки информации
6.1. Каналы утечки информации в асои
Аппаратные и программные средства и методы защиты информации в АСОИ непосредственно связаны с ЭВМ и средствами коммуникаций.
На рис. 5 показана типовая структурная схема корпоративной (локальной) сети, где обозначено:
БП - блок питания;
ВЗУ - внешнее запоминающее устройство (НГМД, НЖМД, НОД, стример);
Д - датчики наведенных сигналов в сетях теплоснабжения, канализации, охранной и пожарной сигнализации, контуре заземления, сети электропитания;
КЗ - контур заземления;
КС - канализационная сеть;
М - модем;
МК - мусорная корзина;
Мон - монитор;
ПВВ - порт ввода/вывода;
ПК -персональный компьютер;
РЗ – радиозакладка, настраиваемая на определенную частоту;
СВУ - сетевые внешние устройства;
СОПС - система охранной и пожарной сигнализации;
СОТ - средства оргтехники;
СРВ – сервер сети;
СТС - система теплоснабжения;
СЭП - система электропитания;
ТФКС – телефонный канал связи;
УВв - устройства ввода;
УРг - устройства регистрации;
ЦУС - центр управления сетью.
На рис. 5 цифрами указаны возможные каналы утечки информации, возникающие в результате пассивных и активных угроз объекту защиты:
1 - несанкционированный просмотр (фотографирование) информации;
2 - несанкционированный доступ к ВЗУ с целью просмотра и (или) копирования информации;
3 - несанкционированный удаленный доступ к ресурсам ПК с других ПК сети;
4 - ошибки в работе пользователя;
5 - ошибки в работе администратора сети;
6 - хищение съемных машинных носителей информации;
7 - хищение твердых копий и случайно выброшенной информации;
8 - высокочастотные электромагнитные излучения;
9 - низкочастотные электромагнитные излучения;
10 - акустические излучения;
11 - наводки в сетях теплоснабжения;
12 - наводки в канализационных сетях;
13 - наводки в сетях охранной и пожарной сигнализации;
14- наводки в контуре заземления;
15- наводки в сети электропитания.
Многообразие возможных каналов утечки информации требует очень внимательного подхода к решению задачи по защите информации в автоматизированных системах обработки информации.
6.2. Основные принципы проектирования защиты в асои
При проектировании АСОИ обычно уже известны места расположения технических средств и персонала, движение носителей информации, используемые коммуникационные средства, вид, важность и степень секретности информации. Поэтому основным требованием является параллельное проектирование АСОИ и её системы защиты. Таким образом, требования к системе защиты должны быть учтены в техническом задании на проектирование АСОИ. Следует заметить, что введение средств и методов защиты может снизить характеристики АСОИ, но не учет системы защиты при проектировании АСОИ может привести к более серьезным потерям для корпорации.
Вторым принципом является то, что руководство проектированием АСОИ и её защиты должны осуществлять лица одного уровня управления, иначе трудно достичь конструктивной согласованности в работе.
Разработка системы защиты в АСОИ требует комплексного подхода, и следовательно, привлечения специалистов разного профиля. При защите информации в АСОИ необходимо сочетание программных и аппаратных средств.
Создаваемая система защиты должна быть простой. Простота средств и методов защиты повышает её надежность, экономичность, удобство в использовании.
Сведения по защите информации в АСОИ должны быть закрыты и доступ к ним должны иметь только определенные сотрудники.
Опыт построения системы защиты АСОИ показывает, что должно быть организовано по крайней мере четыре контура защиты:
-
внешний контур, охватывающий всю территорию, на которой расположены сотрудники, документы и средства АСОИ;
-
контур сооружений и помещений для размещения АСОИ;
-
контур технических и программных средств АСОИ;
-
внутренний контур, связанный с процессами ввода/вывода, передачи и обработки информации.
Большое внимание следует уделить защите программного обеспечения АСОИ. Это связано со следующими обстоятельствами:
1) Программное обеспечение играет решающую роль в эффективной обработке информации.
2) Программное обеспечение все чаще становится коммерческой тайной корпорации.
3) Из всех компонентов АСОИ программное обеспечение наиболее уязвимо для угроз.
При анализе объекта для построения его системы защиты необходимо выяснить:
-
назначение и выполняемые функции АСОИ;
-
состав и выполняемые функции сотрудников;
-
структурную схему АСОИ;
-
структуру и состав информации, представляющей коммерческую тайну;
-
необходимое время сохранения коммерческой тайны;
-
технические и программные средства;
-
средства компьютерных сетей и коммуникаций;
-
условия размещения сотрудников и средств АСОИ;
-
режим работы АСОИ по времени;
-
режим работы АСОИ по назначению (пакетный, диалоговый, фоновый, с удаленным доступом и др.).
Выбор средств и методов защиты информации в АСОИ зависит также
от принятой модели действий нарушителя. В дополнение к модели нарушителя, описанной в 2.1, целесообразно учесть характеристики, непосредственно связанные с защитой АСОИ:
-
имеет (не имеет) нарушитель сведения о конкретных технических и программных средствах АСОИ;
-
имеет (не имеет) сведения о пароле пользователя;
-
имеет (не имеет) сведения о структуре доступа пользователя к ресурсам АСОИ;
-
имеет (не имеет) сведения о программных и аппаратных средствах защиты информации;
-
имеет (не имеет) ключи для дешифрования информации.
На основе анализа АСОИ и принятой модели действий нарушителя разрабатывается техническое задание на проектирование системы защиты. В техническом задании должна быть отражена необходимая прочность защиты. Элементы используемых средств и методов защиты АСОИ рассмотрены в последующих разделах.