А. Артемов - Информационная безопасность. Курс лекций
- Название:Информационная безопасность. Курс лекций
- Автор:
- Жанр:
- Издательство:Литагент «МАБИВ»50b47336-5b4f-11e4-af45-002590591ed2
- Год:2014
- Город:Орел
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
А. Артемов - Информационная безопасность. Курс лекций краткое содержание
Информатизация социально-политической, экономической и военной деятельности страны и, как следствие, бурное развитие информационных систем сопровождаются существенным ростом посягательств на информацию как со стороны иностранных государств, так и со стороны преступных элементов и граждан, не имеющих доступа к ней. Несомненно, в создавшейся обстановке одной из первоочередных задач, стоящих перед правовым государством, является разрешение глубокого противоречия между реально существующим и необходимым уровнем защищенности информационных потребностей личности, общества и самого государства, обеспечение их ИБ.
Предназначено для преподавателей и студентов вузов по специальности «Информационная безопасность», специалистов по безопасности, менеджеров и руководителей компаний.
Информационная безопасность. Курс лекций - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
1. От чего надо защищать систему?
2. Что надо защищать в самой системе?
3. Как надо защищать систему (при помощи каких методов и средств)?
При выработке подходов к решению проблемы безопасности следует всегда исходить из того, что конечной целью применения любых мер противодействия угрозам является защита владельца и законных пользователей АСОИБ от нанесения им материального или морального ущерба в результате случайных или преднамеренных воздействий на нее.
Обеспечение безопасности АСОИБ в целом предполагает создание препятствий для любого несанкционированного вмешательства в процесс ее функционирования, а также попыток хищения, модификации, выведения из строя или разрушения ее компонентов. То есть защиту всех компонентов системы: оборудования, программного обеспечения, данных и персонала. В этом смысле, защита информации от несанкционированного доступа является только частью общей проблемы обеспечения безопасности АСОИБ, а борьбу следует вести не только с «несанкционированным доступом» (к информации), а шире, – с «несанкционированными действиями».
Обычно различают внешнюю и внутреннюю безопасность АСОИБ. Внешняя безопасность включает защиту АСОИБ от стихийных бедствий (пожар, наводнение и т. п.) и от проникновения злоумышленников извне с целями хищения, получения доступа к носителям информации или вывода системы из строя. Предметом внутренней безопасности является обеспечение надежной и корректной работы системы, целостности ее программ и данных.
Все усилия по обеспечению внутренней безопасности АСОИБ фокусируются на создании надежных и удобных механизмов регламентации деятельности всех ее пользователей и обслуживающего персонала, соблюдении установленной в организации дисциплины прямого или косвенного доступа к ресурсам системы и к информации.
Вопрос 3. Принципы защиты банковских автоматизированных систем
Каждую систему обработки информации защиты следует разрабатывать индивидуально учитывая следующие особенности:
✓ организационную структуру банка;
✓ объем и характер информационных потоков (внутри банка в целом, внутри отделов, между отделами, внешних);
✓ количество и характер выполняемых операций: аналитических и повседневных (один из ключевых показателей активности банка – число банковских операций в день, является основой для определения параметров системы);
✓ количество и функциональные обязанности персонала;
✓ количество и характер клиентов;
✓ график суточной нагрузки. Защита АСОИБ должна разрабатываться для каждой системы индивидуально, но в соответствии с общими правилами. Построение защиты предполагает следующие этапы:
– анализ риска, заканчивающийся разработкой проекта системы защиты и планов защиты, непрерывной работы и восстановления;
– реализация системы защиты на основе результатов анализа риска;
– постоянный контроль за работой системы защиты и АСОИБ в целом (программный, системный и административный).
На каждом этапе реализуются определенные требования к защите; их точное соблюдение приводит к созданию безопасной системы.
На сегодняшний день защита АСОИБ – это самостоятельное направление исследований. Поэтому легче и дешевле использовать для выполнения работ по защите специалистов, чем дважды учить своих людей (сначала их будут учить преподаватели, а потом они будут учиться на своих ошибках).
Главное при защите АСОИБ специалистами – наличие опыта у администрации системы. Обычно, профессионалы склонны преувеличивать реальность угроз безопасности АСОИБ и не обращать внимания на такие «несущественные детали» как удобство ее эксплуатации, гибкость управления системой защиты и т. д., без чего применение системы защиты становится трудным делом. Построение системы защиты – это процесс поиска компромисса между уровнем защищенности АСОИБ и сохранением возможности работы в ней. Здравый смысл помогает преодолеть большинство препятствий на этом пути.
Для обеспечения непрерывной защиты информации в АСОИБ целесообразно создать из специалистов группу информационной безопасности. На эту группу возлагаются обязанности по сопровождению системы защиты, ведения реквизитов защиты, обнаружения и расследования нарушений политики безопасности и т. д.
Один из самых важных прикладных аспектов теории защиты – защита сети. При этом, с одной стороны, сеть должна восприниматься как единая система и, следовательно, ее защита также должна строиться по единому плану. С другой стороны, каждый узел сети должен быть защищен индивидуально.
Защита конкретной сети должна строиться с учетом конкретных особенностей: назначения, топологии, особенностей конфигурации, потоков информации, количества пользователей, режима работы и т. д.
Кроме того, существуют специфические особенности защиты информации на микрокомпьютерах, в базах данных. Нельзя также упускать из виду такие аспекты, как физическая защита компьютеров, периферийных устройств, дисплейных и машинных залов. Иногда бывает необходим и «экзотический» вид защиты – от электромагнитного излучения или защита каналов связи.
Основные этапы построения системы защиты заключаются в следующем:
Анализ → Разработка системы защиты (планирование) → Реализация системы защиты → Сопровождение системы защиты.
Этап анализа возможных угроз АСОИБ необходим для фиксирования на определенный момент времени состояния АСОИБ (конфигурации аппаратных и программных средств, технологии обработки информации) и определения возможных воздействий на каждый компонент системы. Обеспечить защиту АСОИБ от всех воздействий на нее невозможно, хотя бы потому, что невозможно полностью установить перечень угроз и способов их реализации. Поэтому надо выбрать из всего множества возможных воздействий лишь те, которые могут реально произойти и нанести серьезный ущерб владельцам и пользователям системы.
На этапе планирования формируется система защиты как единая совокупность мер противодействия различной природы.
По способам осуществления все меры обеспечения безопасности компьютерных систем подразделяются на: правовые, морально-этические, административные, физические и технические (аппаратные и программные) [7, с.28].
Вопрос 4. Безопасность компьютерных сетей в банке
Классификация сетей.
Сети компьютеров имеют множество преимуществ перед совокупностью отдельных систем, в их числе следующие:
✓ Разделение ресурсов. Пользователи сети могут иметь доступ к определенным ресурсам всех узлов сети. В их числе, например, наборы данных, свободная память на удаленных узлах, вычислительная мощность удаленных процессоров и т. д. Это позволяет экономить значительные средства за счет оптимизации использования ресурсов и их динамического перераспределения в процессе работы.
Читать дальшеИнтервал:
Закладка:
