Безопасность автоматизированных систем

метки: Информационный, Система, Безопасность, Информация, Защита, Автоматизированный, Данные, Средство

Современные компьютерные сети имеют сложную структуру, и как в любой системе, имеющей звенья – в ней могут появиться слабые и уязвимые места. Учитывая значимость коммерческой информации для компаний и вероятные проблемы в случае ее частичной утраты либо утечки – обеспечение сохранности ИТ-инфраструктуры представляется одной из главных задач для любого бизнеса [1] .

Компьютерные информационные технологии вносят ощутимые изменения в нашу жизнь. Информация – это товар, который можно приобрести, продать, обменять. При этом стоимость информации обычно в сотни раз превышает стоимость компьютерной системы, в которой она хранится [6] .

Безопасность информационных технологий – важная задача для многих организаций, использующих автоматизацию бизнес-процессов. Деятельность организации постоянно находится под угрозой, будь то случайные угрозы либо умышленно спровоцированные ситуации. Их возникновение может нанести вред организации и замедлить достижение установленных целей [4] .

Нарушения доступности, единства и конфиденциальности информации могут быть вызваны разными опасными воздействиями на информационные компьютерные системы [6] .

Информационные технологии должны быть безопасны настолько, насколько это возможно, так как в настоящее время от степени безопасности зависит благополучие, а иногда и жизнь многих людей. Такова цена за усложнение и повсеместное распространение автоматизированных систем обработки информации [6] .

1. Основные понятия

Термин информационная система используется и в широком, и в узком смыслах.

В широком смысле информационная система – это совокупность технического, программного и организационного обеспечения, и также персонала, предназначенная для своевременного обеспечения нужных людей нужной информацией.

Информационные системы и технологии

... построения систем; информационная система является динамичной и развивающейся; при построении информационной системы необходимо использовать системный подход; выходной продукцией информационной системы является информация, на основе которой принимаются решения; информационную систему следует воспринимать как человеко-компьютерную систему обработки информации. ...

Также в довольно широком смысле объясняет понятие информационной системы Федеральный закон РФ от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»: «информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств».

Информационную систему в узком смысле воспринимают как программно-аппаратную систему, которая предназначена для автоматизации целенаправленной деятельности конечных пользователей, которая гарантирует, в соответствии с заложенной в нее логикой обработки, возможность получения, модификации и хранения информации.

Главная задача информационной системы – удовлетворение конкретных информационных потребностей в рамках конкретной предметной области.

Инновационные информационные системы нереально представить без применения баз данных и СУБД, поэтому термин «информационная система» на практике соединяется по смыслу с термином «система баз данных».

В рамках компании, в идеале, должна функционировать единая корпоративная информационная система, которая способна удовлетворить все имеющиеся информационные потребности всех сотрудников, служб и подразделений. Но на практике создание такой информационной системы слишком затруднено либо даже невозможно, из-за чего на предприятии обычно функционируют несколько разных ИС, решающих отдельные группы задач: управление производством, финансово-хозяйственная деятельность и т. д. Часть задач бывает «покрыта» сразу несколькими ИС, часть задач — совсем не автоматизирована. Такая ситуация получила название «лоскутной автоматизации» и считается достаточно типичной для многих предприятий [3] .

Безопасная информационная система – это система, которая, во-первых, защищает данные от несанкционированного доступа, во-вторых, постоянно готова предоставить их своим пользователям, а в-третьих, надежно хранит информацию и гарантирует неизменность данных. Таким образом, безопасная система по определению обладает качествами конфиденциальности, доступности и целостности [2] .

Конфиденциальность – залог того, что секретные данные будут доступны лишь тем пользователям, которым этот доступ разрешен [2] .

Доступность – залог того, что авторизованные пользователи всегда получат доступ к данным [2] .

Целостность – гарантия сохранности данными правильных значений, которая обеспечивается запретом для неавторизованных пользователей каким либо образом видоизменять, модифицировать, разрушать либо создавать данные [2] .

1. Классификации информационных систем
   1. Классификация по архитектуре

По степени распределённости отличают:

Разработка базы данных и приложения для решения задачи «Автоматизация ...

... СПБ7]. Для реализации приложения по автоматизации обслуживания посетителей ресторана мы выбрали СУБД Paradox 7. Принцип хранения данных в Paradox сходен с принципами хранения данных в dBase — ... системе автоматизации ресторана появляется возможность исключить трудоемкие операции по учету, обеспечить гибкое управление политикой скидок и бонусов; становится возможным вести непрерывный мониторинг работы ...

• настольные ( desktop ), или локальные ИС, в которых все компоненты (БД, СУБД, клиентские приложения) находятся на одном компьютере;
• распределённые ( distributed ) ИС, в которых компоненты распределены по нескольким компьютерам.

Распределённые ИС, в свою очередь, разделяют на:

• файл-серверные ИС (ИС с архитектурой «файл-сервер»);
• клиент-серверные ИС (ИС с архитектурой «клиент-сервер»).

В файл-серверных ИС база данных находится на файловом сервере, а СУБД и клиентские приложения находятся на рабочих станциях.

В клиент-серверных ИС база данных и СУБД находятся на сервере, а на рабочих станциях находятся клиентские приложения.

В свою очередь, клиент-серверные ИС разделяют на двухзвенные и многозвенные .

В двухзвенных ИС всего два типа «звеньев»: сервер баз данных, на котором находятся БД и СУБД и рабочие станции, на которых находятся клиентские приложения . Клиентские приложения обращаются к СУБД напрямую.

В многозвенных ИС добавляются промежуточные «звенья»: серверы приложений. Пользовательские клиентские приложения не обращаются к СУБД напрямую, они взаимодействуют с промежуточными звеньями. Типичный пример применения многозвенности — современные веб-приложения, использующие базы данных. В таких приложениях помимо звена СУБД и клиентского звена, выполняющегося в веб-браузере, имеется как минимум одно промежуточное звено — веб-сервер с соответствующим серверным ПО [3] .

1. Классификация по степени автоматизации

По степени автоматизации ИС делятся на:

• автоматизированные : информационные системы, в которых автоматизация может быть неполной (то есть требуется постоянное вмешательство персонала);
• автоматические : информационные системы, в которых автоматизация является полной, то есть вмешательство персонала не требуется или требуется только эпизодически.

«Ручные ИС» («без компьютера») существовать не могут, поскольку существующие определения предписывают обязательное наличие в составе ИС аппаратно-программных средств. Вследствие этого понятия «автоматизированная информационная система», «компьютерная информационная система» и просто «информационная система» являются синонимами [3] .

Защита информации в автоматизированных системах обработки данных: ...

... Методы и средства защиты информации Понятие «защита информации в вычислительных системах» предполагает проведение мероприятий в двух взаимосвязанных направлениях: безопасность данных и целостность данных. Безопасность данных связана с их защитой от намеренного ...

1. Классификация по характеру обработки данных

По характеру обработки данных ИС делятся на:

• информационно-справочные , или информационно-поисковые ИС , в которых нет сложных алгоритмов обработки данных, а целью системы является поиск и выдача информации в удобном виде;
• ИС обработки данных , или решающие ИС , в которых данные подвергаются обработке по сложным алгоритмам. К таким системам в первую очередь относят автоматизированные системы управления и системы поддержки принятия решений [3] .

1. Классификация по сфере применения

Поскольку ИС создаются для удовлетворения информационных потребностей в рамках конкретной предметной области, то каждой предметной области (сфере применения) соответствует свой тип ИС. Перечислять все эти типы не имеет смысла, так как количество предметных областей велико, но можно указать в качестве примера следующие типы ИС:

• Экономическая информационная система — информационная система, предназначенная для выполнения функций управления на предприятии.
• Медицинская информационная система — информационная система, предназначенная для использования в лечебном или лечебно-профилактическом учреждении.
• Географическая информационная система — информационная система, обеспечивающая сбор, хранение, обработку, доступ, отображение и распространение пространственно-координированных данных (пространственных данных ) [3] .

1. Классификация по охвату задач (масштабности)

• Персональная ИС предназначена для решения некоторого круга задач одного человека.
• Групповая ИС ориентирована на коллективное использование информации членами рабочей группы или подразделения.
• Корпоративная ИС в идеале охватывает все информационные процессы целого предприятия, достигая их полной согласованности, безызбыточности и прозрачности. Такие системы иногда называют системами комплексной автоматизации предприятия [3] .

1. Основные угрозы информационной безопасности

Современная информационная система представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты автоматизированной информационной системы можно разбить на следующие группы:

Разработка комплексной системы защиты информации объекта защиты

... защита информации - это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Целью курсовой работы является: Разработать комплексную систему защиты информации, ... информационным ... Разработка системы ... программы; незаконное скачивание и распространение за пределами предприятия лицензионных программ ...

• аппаратные средства — компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства — дисководы, принтеры, контроллеры, кабели, линии связи и т.д.);
• программное обеспечение — приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;
• данные — хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.;
• персонал — обслуживающий персонал и пользователи.

Опасные воздействия на компьютерную информационную систему можно подразделить на случайные и преднамеренные. Анализ опыта проектирования, изготовления и эксплуатации информационных систем показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни системы. Причинами случайных воздействий при эксплуатации могут быть:

• аварийные ситуации из-за стихийных бедствий и отключений электропитания;
• отказы и сбои аппаратуры;
• ошибки в программном обеспечении;
• ошибки в работе персонала;
• помехи в линиях связи из-за воздействий внешней среды.

Современная информационная система представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты автоматизированной информационной системы можно разбить на следующие группы:

• аппаратные средства — компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства — дисководы, принтеры, контроллеры, кабели, линии связи и т.д.);
• программное обеспечение — приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;
• данные — хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.;
• персонал — обслуживающий персонал и пользователи.

Опасные воздействия на компьютерную информационную систему можно подразделить на случайные и преднамеренные. Анализ опыта проектирования, изготовления и эксплуатации информационных систем показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни системы. Причинами случайных воздействий при эксплуатации могут быть:

Технические средства защиты от утечки информации

... курсовой работы 1. Теоретическая часть «Технические средства защиты от утечки информации» 1.1. Возможные каналы утечки информации По мере развития и усложнения средств, методов и форм автоматизации процессов обработки информации, повышается её уязвимость. Возникает уязвимость ...

• аварийные ситуации из-за стихийных бедствий и отключений электропитания;
• отказы и сбои аппаратуры;
• ошибки в программном обеспечении;
• ошибки в работе персонала;
• помехи в линиях связи из-за воздействий внешней среды.

Преднамеренные воздействия — это целенаправленные действия нарушителя. В качестве нарушителя могут выступать служащий, гость, конкурент, работник. Действия нарушителя могут быть обусловлены различными мотивами:

• недовольством служащего собственной карьерой;
• взяткой;
• любопытством;
• конкурентной борьбой;
• рвением самоутвердиться любой ценой.

Можно составить гипотетическую модель потенциального нарушителя:

• квалификация нарушителя на уровне разработчика данной системы;
• нарушителем может быть как стороннее лицо, так и легитимный пользователь системы;
• нарушителю известна информация о принципах работы системы;
• нарушитель выбирает более слабое звено в защите.

Наиболее часто встречаемым и многообразным видом компьютерных нарушений считается несанкционированный доступ (НСД).

НСД использует любую оплошность в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке. Проведем классификацию каналов НСД, по которым можно осуществить хищение, изменение или уничтожение информации:

• Через человека:

хищение носителей информации;

чтение информации с экрана либо клавиатуры;

чтение информации из распечатки.

• Через программу:

перехват паролей;

Защита информации в телефонных сетях

... защищенности телефонных сетей, определение требований к защите информации, разработка способов и средств защиты информации, а также построение архитектуры системы защиты информации. 1. Анализ защищенности телефонных сетей 1.1 ... ряд очевидных преимуществ: повышение эффективности процессов управления, обработки и передачи данных и т.п. В наше время уже невозможно представить крупную организацию ...

дешифровка зашифрованной информации;

копирование информации с носителя.

• Через аппаратуру:

подключение специально разработанных аппаратных средств, обеспечивающих доступ к информации;

перехват побочных электромагнитных излучений от аппаратуры, линий связи, сетей электропитания и т.д.

Особенно следует остановиться на угрозах, которым могут подвергаться компьютерные сети. Главная особенность любой компьютерной сети состоит в том, что ее составляющие распределены в пространстве. Связь между узлами сети осуществляется физически – с помощью сетевых линий и программно – с помощью механизма сообщений. При этом управляющие сообщения и данные, пересылаемые между узлами сети, передаются в виде пакетов обмена. Компьютерные сети отличительны тем, что против них предпринимают так именуемые удаленные атаки. Нарушитель может пребывать за тысячи километров от атакуемого объекта, при этом нападению может подвергаться не только определенный компьютер, но и информация, передающаяся по сетевым каналам связи [6] .

1. Обеспечение информационной безопасности

Формирование режима информационной безопасности — проблема комплексная. Меры по ее решению можно подразделить на 5 уровней:

1. законодательный (законы, нормативные акты, стандарты и т.п.);

2. нравственно-моральный (различные нормы поведения, неисполнение которых ведет к падению престижа определенного человека либо целой организации);

3. административный (деяния общего характера, предпринимаемые руководством организации);

4. физический (механические, электро- и электронно-механические преграды на вероятных путях проникновения возможных нарушителей);

5. аппаратно-программный (электронные устройства и особые программы защиты информации).

Единая совокупность всех этих мер, нацеленных на противодействие угрозам безопасности с целью сведения к минимуму возможности вреда, образуют систему защиты.

Надежная система защиты обязана соответствовать следующим принципам:

• Стоимость средств защиты обязана быть меньше, чем размеры вероятного ущерба.

Каждый пользователь обязан иметь минимальный набор привилегий, необходимый для работы.

• Защита тем более эффективна, чем легче пользователю с ней работать.
• Возможность отключения в аварийных случаях.
• Специалисты, имеющие отношение к системе защиты обязаны полностью представлять себе принципы ее функционирования и в случае возникновения затруднительных ситуаций правильно на них реагировать.
• Под защитой обязана находиться вся система обработки информации.
• Разработчики системы защиты, не обязаны быть в числе тех, кого эта система будет контролировать.
• Система защиты обязана предоставлять подтверждения корректности своей работы.
• Лица, занимающиеся обеспечением информационной безопасности, обязаны нести личную ответственность.
• Объекты защиты целесообразно делить на категории так, чтобы нарушение защиты в одной из групп никак не влияло на безопасность остальных.
• Надежная система защиты обязана быть полностью протестирована и согласована.
• Защита становится наиболее действенной и гибкой, если она допускает модифицирование собственных параметров со стороны администратора.
• Система защиты должна разрабатываться, исходя из предположения, что пользователи будут совершать серьезные ошибки и, вообще, имеют наихудшие намерения.
• Более важные и критические решения обязаны приниматься человеком.
• Наличие механизмов защиты должно быть по возможности скрыто от пользователей, работа которых находится под контролем [6] .

1. Аппаратно-программные средства защиты информации

Невзирая на то, что современные ОС для персональных компьютеров, такие, как Windows 2000, Windows XP и Windows NT, имеют личные подсистемы защиты, актуальность создания дополнительных средств защиты сохраняется. Дело в том, что большая часть систем не способны защитить данные, оказавшиеся за их пределами, к примеру при сетевом информационном обмене.

Установка и настройка программ защиты операционной системы windows

... на компьютер и поэтому отключать систему защиты (а такая опция предусмотрена) не рекомендуется. В состав Windows 7 входит браузер Internet Explorer 8, который характеризуется развитыми средствами обеспечения безопасности. Достаточно ...

Аппаратно-программные средства защиты информации можно разбить на 5 групп:

1. Системы идентификации (распознавания) и аутентификации (проверки подлинности) пользователей.

2. Системы шифрования дисковых данных.

3. Системы шифрования данных, передаваемых по сетям.

4. Системы аутентификации электронных данных.

5. Средства управления криптографическими ключами [6] .

1. 1. Системы идентификации и аутентификации пользователей

Используются для ограничения доступа случайных и незаконных пользователей к ресурсам компьютерной системы. Общий алгоритм работы таковых систем заключается в том, чтобы получить от пользователя информацию, подтверждающую его личность, проверить ее достоверность и потом предоставить (либо не предоставить) данному пользователю возможность работы с системой.

Безопасность движения и тормозные системы

... тормозного оборудования, в частности пневматической и механической части тормозов вагонов. Лист Изм. Лист № документа Подпись Дата 1. ТОРМОЗНОЕ ОБОРУДОВАНИЕ ВАГОНА Тормозное оборудование каждой единицы подвижного состава представляет собой систему, ... надежности, безопасности действия тормозов с хорошей их управляемостью позволит повысить в ближайшей перспективе скорости движения пассажирских поездов ...

При построении этих систем возникает проблема выбора информации, на базе которой осуществляются процедуры идентификации и аутентификации пользователя. Можно отметить следующие типы:

• секретная информация, которой владеет пользователь (пароль, секретный ключ, индивидуальный идентификатор и т.п.);
• пользователь обязан запомнить эту информацию либо же для нее могут быть применены особые средства хранения;

— физиологические характеристики человека (отпечатки пальцев, рисунок радужной оболочки глаза и т.п.) либо особенности поведения (особенности работы на клавиатуре и т.п.).

Системы, базирующиеся на первом типе информации, считаются классическими. Системы, использующие 2-ой тип информации, называют биометрическими. Следует отметить наметившуюся тенденцию опережающего становления биометрических систем идентификации [6] .

1. Системы шифрования дисковых данных

Чтобы сделать информацию бесполезной для противника, используется совокупность способов преобразования данных, именуемая криптографией [от греч. kryptos — скрытый и grapho — пишу].

Системы шифрования могут осуществлять криптографические преобразования данных на уровне файлов либо на уровне дисков. К программам первого типа можно отнести архиваторы типа ARJ и RAR, которые разрешают применять криптографические методы для защиты архивных файлов. Образцом систем второго типа может работать программа шифрования Diskreet, входящая в состав популярного программного пакета Norton Utilities, Best Crypt.

Иным классификационным признаком систем шифрования дисковых данных считается метод их функционирования. По методике функционирования системы шифрования дисковых данных делят на 2 класса:

• системы «прозрачного» шифрования;

— системы, специально вызываемые для осуществления шифрования.

В системах прозрачного шифрования (шифрования «на лету») криптографические преобразования осуществляются в режиме реального времени, незаметно для пользователя. К примеру, пользователь записывает подготовленный в текстовом редакторе документ на защищаемый диск, а система защиты в процессе записи выполняет его шифрование.

Системы второго класса традиционно представляют собой утилиты, которые нужно специально вызывать для выполнения шифрования. К ним относятся, к примеру, архиваторы со встроенными средствами парольной защиты.

Большая часть систем, предлагающих установить пароль на документ, не шифрует информацию, а лишь обеспечивает запрос пароля при доступе к документу. К таковым системам относится MS Office, 1C и почти все остальные [6] .

1. Системы шифрования данных, передаваемых по сетям

Различают 2 главных метода шифрования: канальное шифрование и оконечное (абонентское) шифрование.

В случае канального шифрования защищается вся информация, передаваемая по каналу связи, включая служебную. Данный метод шифрования обладает следующим плюсом — встраивание процедур шифрования на канальный уровень позволяет применять аппаратные средства, что способствует увеличению производительности системы. Но у данного подхода есть и значительные недочеты:

• шифрование служебных данных осложняет механизм маршрутизации сетевых пакетов и требует расшифрования данных в устройствах промежуточной коммуникации (шлюзах, ретрансляторах и т.п.);

• шифрование служебной информации может привести к появлению статистических закономерностей в шифрованных данных, что влияет на надежность защиты и накладывает ограничения на использование криптографических алгоритмов.

Оконечное (абонентское) шифрование позволяет обеспечить конфиденциальность данных, передаваемых между 2-мя абонентами. В данном случае защищается лишь содержание сообщений, вся служебная информация остается открытой. Недочетом является вероятность анализировать информацию о структуре обмена сообщениями, к примеру об отправителе и получателе, о времени и критериях передачи данных, а также о размере передаваемых данных [6] .

1. Системы аутентификации электронных данных

При обмене информацией по сетям появляется проблема аутентификации автора документа и самого документа, т.е. констатация подлинности автора и проверка отсутствия изменений в полученном документе. Для аутентификации данных используют код аутентификации сообщения (имитовставку) либо электронную подпись.

Имитовставка производится из открытых данных посредством особого преобразования шифрования с применением секретного ключа и передается по каналу связи в конце зашифрованных данных. Имитовставка проверяется получателем, обладающим секретным ключом, путем повторения операции, сделанной раньше отправителем, над полученными открытыми данными.

Электронная цифровая подпись дает собой относительно маленькое количество дополнительной аутентифицирующей информации, передаваемой совместно с подписываемым текстом. Отправитель создает цифровую подпись, применяя секретный ключ отправителя. Адресат проверяет подпись, применяя открытый ключ отправителя.

Таким образом, для реализации имитовставки применяются принципы инвариантного шифрования, а для реализации электронной подписи — асимметричного. [6] .

1. Средства управления криптографическими ключами

Безопасность какой угодно криптосистемы обусловливается используемыми криптографическими ключами. В случае ненадежного управления ключами преступник имеет возможность овладеть ключевой информацией и заполучить полный доступ ко всей информации в системе либо сети.

Различают следующие виды функций управления ключами: генерация, хранение, и распределение ключей.

Методы генерации ключей для симметричных и асимметричных криптосистем разнообразны. Для генерации ключей симметричных криптосистем применяются аппаратные и программные средства генерации случайных чисел. Генерация ключей для асимметричных криптосистем наиболее сложна, так как ключи обязаны обладать определенными математическими свойствами.

Функция хранения подразумевает организацию безопасного хранения, учета и удаления ключевой информации. Для обеспечения безопасного хранения ключей используют их шифрование с помощью остальных ключей. Подобный подход приводит к концепции иерархии ключей. В иерархию ключей традиционно входит основной ключ (т.е. мастер-ключ), ключ шифрования ключей и ключ шифрования данных. Следует подметить, что генерация и хранение мастер-ключа считается критическим вопросом криптозащиты.

Распределение — самый серьезный процесс в управлении ключами. Этот процесс обязан гарантировать скрытность распределяемых ключей, а также быть оперативным и точным. Между пользователями сети ключи распределяют 2-мя методами:

• с помощью непосредственного обмена сеансовыми ключами;
• используя 1 или некоторое количество центров распределения ключей [6] .

1. Основные факторы, определяющие технологическую безопасность информационных систем
   1. Проблемы обеспечения технологической безопасности информационных систем

Обширное внедрение информационных технологий в жизнь нынешного общества привело к выходу в свет ряда общих проблем информационной безопасности:

• необходимо обеспечивать непрерывность и корректность функционирования главнейших информационных систем (ИС), которые обеспечивают безопасность людей и экологической обстановки;

• нужно обеспечить защиту материальных прав людей, предприятий и государства в соответствии с притязаниями гражданского, административного и хозяйственного права (включая защиту секретов и интеллектуальной собственности);

— нужно защитить гражданские права и свободы, гарантированные функционирующим законодательством (включая право на доступ к информации).

Вероятная слабость ИС по отношению к ненамеренным и предумышленным негативным воздействиям выдвинула проблемы информационной безопасности в разряд главнейших, стратегических, определяющих принципиальную вероятность и эффективность использования ряда ИС в гражданских и военных секторах экономики.

Требования по обеспечению безопасности в разных ИС могут значительно различаться, однако они постоянно направлены на достижение 3-х главных свойств:

• целостность – информация, на основе которой принимаются решения, должна быть правдивой и точной, защищенной от возможных непреднамеренных и злоумышленных искажений;

• доступность (готовность) – информация и соответствующие автоматизированные службы обязаны быть доступны, готовы к работе всегда, когда в них возникает необходимость;

— конфиденциальность – засекреченная информация должна быть доступна лишь тому, кому она предназначена.

Для решения проблем информационной безопасности необходимо сочетание законодательных, организационных, технологических и стандартизационных мероприятий.

Так сложилось, что главное внимание в теории и практике обеспечения безопасности применения информационных технологий и систем сосредоточено на защите от враждебных разрушений, искажений и хищений программных средств и информации баз данных. Для этого изобретены и развиваются проблемно-ориентированные методы и средства защиты:

• от неразрешенного доступа;

• от разных видов вирусов;

• от утечки информации по каналам электромагнитного излучения

и т. д. При этом имеется в виду наличие лиц, заинтересованных в доступе к программам и данным с целью их несанкционированного использования, хищения, искажения либо ликвидирования.

В то же время, на настоящие сложные системы воздействуют и ненамеренные (непредумышленные) дестабилизирующие причины, способные вызвать аномалии функционирования и в том числе и катастрофические исходы, иногда наиболее тяжелые, нежели последствия злоумышленных деяний. Катастрофы типа Чернобыльской, смерти гражданского самолета под Междуреченском, подводной лодки «Комсомолец» и почти все остальные имеют все шансы быть квалифицированы как результаты принципиальных системных и алгоритмических погрешностей проектирования в сочетании с не предусмотренными разработчиками случайными дестабилизирующими факторами при неимении злоумышленного воздействия заинтересованных персон. Эти факторы имеют собственную природу, характерные черты, свойства;

следовательно, они требуют самостоятельного анализа и адекватных способов и средств защиты. В итоге в теории и практике формируется особенное направление обеспечения безопасности информационных систем при ненамеренных дестабилизирующих воздействиях и отсутствии злоумышленного влияния на ИС.

Настоящая работа посвящена современным способам выявления и предупреждения непредумышленных угроз безопасности функционирования программных средств (ПС) и баз данных (БД), сокращения соответствующих рисков до возможного уровня и определения реального достигнутой степени безопасности использования ИС. В связи с этим мы станем разговаривать об алгоритмической и программно-технологической безопасности, применяя для лаконичности термины «технологическая безопасность» либо попросту «безопасность». В качестве главной непредумышленной угрозы будет рассматриваться существование внутренних дефектов ПС и БД, вызванных оплошностями проектирования и реализации.

За рамками данной работы остаются конкретные угрозы безопасности со стороны аппаратуры, а также способы и средства обеспечения аппаратной отказоустойчивости вычислительных комплексов и распределенных информационных систем. Подчеркнем также, что на практике нужно сочетать способы и средства обеспечения безопасности ИС при учете как ненамеренных, так и злоумышленных воздействий с целью создания равнопрочных по защищенности систем.

Цель работы – выявить суть проблемы технологической безопасности, конкретизировать дестабилизирующие причины и представить главные методы, способные существенно увеличить защищенность ИС. Данная неувязка в значимой степени решается посредством способов, средств и стандартов, поддерживающих единый анализ, технологию разработки и сопровождения ПС и БД.

Для достижения определенной цели в следующих разделах рассматриваются исходные данные и причины, характеризующие технологическую безопасность сложных информационных систем:

• данные, определяющие технологическую безопасность информационных систем;

• требования, предъявляемые к архитектуре ПС и БД для обеспечения безопасности ИС;

• средства, необходимые для обеспечения технологической безопасности ИС;

• внутренние и внешние дестабилизирующие причины, влияющие на безопасность функционирования программных средств и баз данных;

• способы и средства предотвращения и сокращения влияния опасностей безопасности ИС со стороны дефектов программ и данных;

• оперативные способы и средства увеличения технологической безопасности функционирования ПС и БД путем введения в ИС временной, программной и информационной избыточности;

• способы и средства определения истинной технологической безопасности функционирования критических ИС [7] .

1. Показатели технологической безопасности информационных систем

В сложных ПС и БД нереально гарантировать абсолютное отсутствие дефектов проектирования и реализации. В связи с этим актуальна тема установления метрики и определения ее значений, справедливо отражающих степень безопасности информационных систем при реальной либо потенциальной совокупности вероятных дефектов.

Особенно досконально безопасность ИС охарактеризовывает размер ущерба, вероятного при проявлении дестабилизирующих факторов и реализации определенных угроз безопасности, а также среднее время между проявлениями угроз, нарушающих безопасность. Но отобразить и измерить в достаточно общем виде вероятный ущерб при нарушении безопасности для критических ИС различных классов фактически невозможно, потому реализации угроз целесообразно характеризовать промежутками времени между их проявлениями, либо наработкой на отказы, отражающиеся на безопасности. Это роднит понятия и характеристики степени безопасности с показателями надежности ИС. Отличие заключается в том, что в показателях надежности предусматриваются все реализации отказов, а в характеристиках безопасности следует фиксировать лишь те отказы, которые сказались на безопасности. Статистически таковых отказов может существовать в несколько раз меньше, нежели учитываемых в значениях надежности, но способы, влияющие факторы и настоящие значения показателей надежности ПС и БД имеют все шансы служить ориентирами при оценке безопасности критических ИС. Потому ниже способы и оценки технологической безопасности ИС основываются на концепции надежности программ и баз данных.

Первой причиной нарушения работоспособности программ при предположении о безотказности аппаратуры постоянно является конфликт между настоящими исходными данными, подлежащими обработке, и программой, исполняющей эту обработку. Работоспособность ИС можно гарантировать при исходных данных, которые использовались при отладке и проверках. Реальные исходные данные могут иметь значения, отличные от заданных техническим заданием и от использованных при испытании программ и баз данных, в итоге чего функционирование последних тяжело предсказать заблаговременно и вероятны разные аномалии, завершающиеся отказами.

Главным принципом систематизации сбоев и отказов в программах при отсутствии физического уничтожения аппаратуры является деление по временному показателю длительности восстановления после хоть какого искажения программ, данных либо вычислительного процесса, отмечаемого как повреждение работоспособности. При продолжительности восстановления, меньшей заданного порога, аномалии при функционировании программ следует причислять к сбоям, а при восстановлении, превышающем по продолжительности пороговое значение, происходящее искажение соответствует отказу.

Некая часть отказов может никак не отражаться на безопасности применения ИС и исключаться довольно быстрым восстановлением работоспособности. Характеристики проявления и вероятная продолжительность восстановления после остальных видов отказов могут быть катастрофическими, квалифицируемыми как повреждение безопасности функционирования ИС. Довольно универсальным измеряемым параметром при этом остается время восстановления нормальной работоспособности. Таким образом, ориентировочно такие катастрофические отказы в восстанавливаемых ИС разрешено выделять по превышению некоторого возможного времени восстановления работоспособности, которое может отличаться от порогового времени, делящего сбои и отказы.

Классифицирование программных сбоев, отказов и нарушений безопасности по продолжительности восстановления приводит к необходимости анализа динамических черт пользователей исследуемой ИС, а также динамических черт функционирования программ и баз данных. Кратковременная зона перерыва нормальной выдачи информации и утраты работоспособности, которую надлежит рассматривать как зону сбоя, тем шире, чем более пассивный объект распологается под влиянием сообщений, подготовленных данной ИС. Пороговое время восстановления работоспособного состояния системы, при превышении которого нужно фиксировать отказ, близко к периоду решения задач для подготовки информации подходящему пользователю.

В теории надежности работоспособным именуется такое положение объекта, при котором он способен выполнять установленные функции с параметрами, поставленными требованиями технической документации. Надежность считается внутренним качеством систем, проявляющимся только во времени. Аспекты свойства становятся динамическими и в большей степени стохастическими, описывающими функционирование ИС в целом либо больших групп программ. Измеряемые интегральные характеристики качества программ в этом случае наиболее определенные и могут довольно буквально оцениваться экспериментально. Живучесть (устойчивость) более широко охарактеризовывает способность ИС к безотказному функционированию при наличии сбоев и отказов. Она зависит от значения не ликвидированных ошибок и способности ИС реагировать на проявления ошибок так, чтобы это никак не отображалось на показателях надежности и безопасности. Последнее обусловливается эффективностью контроля за доступом к данным, степенью обеспечивания их конфиденциальности и целостности, а также селекцией достоверных данных, поступающих из внешней среды, средствами обнаружения аномалий и эффективностью процессов восстановления функционирования ИС.

Восстанавливаемость характеризуется полнотой восстановления функционирования программ после перезапуска – рестарта после сбоя либо отказа. Повторный запуск обязан гарантировать возобновление обычного функционирования ИС, на что необходимы ресурсы ЭВМ и время. Потому полнота и длительность восстановления функционирования после сбоев и отказов отображают качество и безопасность ИС.

Обобщение черт отказов и восстановлений производится в аспекты коэффициент готовности. Этот показатель отображает возможность иметь восстанавливаемую систему в работоспособном состоянии в случайный момент времени. Значение коэффициента готовности соответствует доле времени полезной работы системы на довольно большом промежутке, содержащем отказы и восстановления.

Использование ключевых понятий теории надежности для оценки надежности и безопасности сложных ИС дает возможность получить ряд точных, отлично измеряемых интегральных характеристик качества программ. Приведенные аспекты применяются в основном при тестировании ИС и на заключительных фазах комплексной отладки. Их фактически нереально применять для оценки качества программных компонентов, решающих частные многофункциональные задачи [7] .

Заключение

Информация — это ресурс. Утрата секретной информации приносит моральный либо материальный ущерб.

Обстоятельства, содействующие неправомерному овладению секретной информацией, сводятся к ее разглашению, утечке и несанкционированному доступу к ее источникам.

В нынешних условиях безопасность информационных ресурсов может быть снабжена исключительно комплексной системной защиты информации.

Комплексная система защиты информации обязана быть: непрерывной, плановой, целенаправленной, конкретной, активной, надежной и др.

Система защиты информации обязана опираться на систему видов собственного обеспечения, способного воплотить ее функционирование не только в повседневных условиях, но и критических ситуациях.

Обилие условий, содействующих неправомерному овладению секретной информацией, вызывает необходимость применения не менее разнообразных методик, сил и средств для обеспечения информационной безопасности,

Методы обеспечения информационной безопасности обязаны быть нацелены на предсказывающий характер деяний, устремляемых на заблаговременные меры предупреждения вероятных угроз коммерческим секретам.

Главными целями защиты информации считаются обеспечение конфиденциальности, целостности, полноты и достаточности информационных ресурсов.

Обеспечение информационной безопасности достигается организационными, организационно-техническими и техническими мероприятиями, любое из которых гарантируется специфичными силами, средствами и мерами, владеющими соответствующими характеристиками.

Комплекс методов обеспечения информационной безопасности может быть подразделена на общие и частные, использование которых обусловливается масштабностью защитных действий [5] .

Список использованных источников

[Электронный ресурс]//URL: https://inzhpro.ru/referat/bezopasnost-avtomatizirovannyih-sistem/

1. Безопасность ИТ инфраструктуры. // «ИнфоТехника» / URL : http://infotechnika.ru/index.php?option=com_content&view=article&id=59&Itemid=14
   1. Введение в защиту информации. // S tud F iles: «Защита информации» / URL :
   2. Информационная безопасность // «Википедия» / URL : http://ru.wikipedia.org/wiki/%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0
   3. Информационная безопасность. // «Открытые технологии» / URL :
   4. Информационная безопасность / URL : http://www.neuch.ru/referat/6889.html
   5. Колесников Д. Защита информации в компьютерных системах [Электронный ресурс] // Информационная безопасность.-: URL : web.ru/p01.htm
   6. Липаев В. Программно-технологическая безопасность информационных систем [Электронный ресурс] / В. Липаев.-: URL :