Читайте также:
|
Автоматизированная система обработки информации (АС) - это организационно-техническая система, представляющая собой совокупность следующих взаимосвязанных компонентов:
технических средств обработки и передачи данных (средств вычислительной техники и связи);
методов и алгоритмов обработки в виде соответствующего программного обеспечения;
информации (массивов, наборов, баз данных) на различных носителях;
персонала и пользователей системы, объединенных по организационно-структурному, тематическому, технологическому или другим признакам для выполнения автоматизированной обработки информации (данных) с целью удовлетворения информационных потребностей субъектов информационных отношений.
Обработка информации в АС понимается как любая совокупность операций (прием, сбор, накопление, хранение, преобразование, отображение, выдача и т.п.), осуществляемых над информацией (сведениями, данными) с использованием средств АС.
Информация в АСОД имеет свой жизненный цикл. Удобно представить жизненный цикл информации в виде структурной схемы.
 |
Время жизни информации определяется владельцем АСОД в конкретных условиях эксплуатации.
Различные субъекты по отношению к определенной информации могут выступать в качестве (возможно одновременно):
источников (поставщиков) информации;
пользователей (потребителей) информации:
собственников (владельцев, распорядителей) информации;
физических и юридических лип, о которых собирается информация;
владельцев систем сбора и обработки информации и участников процессов обработки и передачи информации и т.д.
Для успешного осуществления своей деятельности по управлению объектами некоторой предметной области субъекты информационных отношений могут быть заинтересованы в обеспечении:
своевременного доступа (за приемлемое для них время) к необходимой им информации;
конфиденциальности (сохранения в тайне) определенной части информации;
достоверности (полноты, точности, адекватности, целостности) информации;
защиты от навязывания им ложной (недостоверной, искаженной) информации (то есть от дезинформации);
защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т.п.);
разграничения ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией;
возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации.
Для удовлетворения законных прав и перечисленных выше интересов субъектов (обеспечения их информационной безопасности) необходимо постоянно поддерживать следующие свойства информации и систем ее обработки:
доступность информации, то есть свойство системы (среды, средств и технологии ее обработки), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию поступающих от субъектов запросов всегда, когда в обращении к ним возникает необходимость;
целостность информации, то есть свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Точнее говоря, субъектов интересует обеспечение более широкого свойства - достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, то есть ее неискаженности. Однако, мы ограничимся только рассмотрением вопросов обеспечения целостности информации, так как вопросы обеспечения адекватности отображения выходят далеко за рамки проблемы обеспечения информационной безопасности;
конфиденциальность информация - субъективно определяемую (приписываемую) характеристику (свойство) информации, указывающую на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемую способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты законных интересов других субъектов информационных отношений.
Таким образом, под безопасностью автоматизированной системы обработки информации (компьютерной системы) будем понимать защищенность всех ее компонентов (технических средств, программного обеспечения, данных и персонала) от подобного рода нежелательных для соответствующих субъектов информационных отношений воздействий.
Безопасность любого компонента (ресурса) АС складывается из обеспечения трех его характеристик: конфиденциальности, целостности и доступности.
Конфиденциальность компонента системы заключается в том, что он доступен только тем субъектам доступа (пользователям, программам, процессам), которым предоставлены на то соответствующие полномочия.
Целостность компонента системы предполагает, что он может быть модифицирован только субъектом, имеющим для этого соответствующие права. Целостность является гарантией корректности (неизменности, работоспособности) компонента в любой момент времени.
Доступность компонента означает, что имеющий соответствующие полномочия субъект может в любое время без особых проблем получить доступ к необходимому компоненту системы (ресурсу).
Випадкові погрози безпеці інформації в АСОД.
Исследование и анализ многочисленных случаев воздействий на информацию и несанкционированного доступа к ней показывают, что их можно разделить на случайные и преднамеренные. Преднамеренные угрозы часто могут быть приведены в исполнение путем долговременной массированной атаки несанкционированными запросами или вирусами.
Реализация угроз может привести к следующим последствиям:
разрушение (утрата) информации;
модификация (изменение информации на ложную, которая корректна по форме и содержанию, но имеет другой смысл);
ознакомление с ней посторонних лиц.
Цена указанных событий может быть самой различной: от невинных недоразумений до сотен тысяч долларов. Предупреждение приведенных последствий в автоматизированной системе и есть основная цель создания системы безопасности информации.
Для создания средств защиты информации необходимо определить природу угроз, формы и пути их возможного проявления и осуществления в автоматизированной системе.
Исследования опыта проектирования, изготовления, испытания и эксплуатации автоматизированных систем говорят о том, что информация в процессе ввода, хранения, обработки, вывода и передачи подвергается различным случайным воздействиям. В результате таких воздействий на аппаратном уровне происходят физические изменения уровней сигналов в цифровых кодах, несущих информацию.
Причинами случайных воздействий при эксплуатации автоматизированной системы могут быть:
- отказы и сбои аппаратуры;
- помехи на линиях связи от воздействий внешней среды;
ошибки человека как звена системы;
- схемные и системотехнические ошибки разработчиков;
- структурные, алгоритмические и программные ошибки;
- аварийные ситуации и другие воздействия.
К угрозам случайного характера следует также отнести аварийные ситуации, которые могут возникнуть на объекте размещения автоматизированной системы. К таким аварийным ситуациям относятся:
- отказ функционирования АСОД в целом, например выход из строя электропитания и освещения;
- стихийные бедствия;
- отказ системы жизнеобеспечения на объекте эксплуатации АСОД.
Вероятность этих событий связана прежде всего с правильным выбором места размещения АСОД, включая географическое положение, и организацией противопожарных мероприятий.
Навмисні погрози безпеці інформації в АСОД.
Преднамеренные угрозы связаны с действиями человека, причинами которых могут быть определенное недовольство своей жизненной ситуацией, сугубо материальный интерес или простое развлечение с самоутверждением своих способностей, как у хакеров и т. д.
Для большинства вычислительных систем характерны следующие штатные (законные) каналы доступа к информации:
-терминалы пользователей;
-терминалы администратора системы;
-терминалы оператора функционального контроля;
-средства отображения информации;
-средства документирования информации;
-средства загрузки программного обеспечения и вычислительный комплекс;
-носители информации;
-внешние каналы связи.
При отсутствии защиты нарушитель может воспользоваться как штатными, так и другими физическими каналами доступа. Возможные каналы несанкционированного доступа в вычислительной системе, через которые можно получить доступ к аппаратуре, ПО и осуществить хищение, разрушение, модификацию информации и ознакомление с нею:
-все перечисленные выше штатные ситуации при их использовании законными пользователями не по назначению, за пределами своих полномочий;
-все штатные средства при их использовании посторонними лицами;
-технологические пульты управления;
-внутренний монтаж аппаратуры;
-линии связи между аппаратными средствами данной вычислительной системы;
-побочные наводки информации на вспомогательных и посторонних коммуникациях;
-отходы обработки информации в виде бумажных и магнитных носителей.
Опасной является ситуация, когда нарушитель, который по своим функциональным обязанностям имеет законный доступ к одной части информации, а обращается к другой за пределами своих полномочий.
Исходя из выше сказанного можно сформулировать пять основных категорий преднамеренных угроз безопасности данных:
1 -раскрытие содержания передаваемых сообщений;
2 -анализ графика, позволяющий определить принадлежность отправителя и получателя данных к одной из групп пользователей сети, связанных общей задачей;
3 -изменение потока сообщений, что может привести к нарушению режима работы объекта, управляемого из удаленной ЭВМ;
4- неправомерный отказ в предоставлении услуг;
5- несанкционированное установление соединения.
Дата добавления: 2015-04-11; просмотров: 86 | Поможем написать вашу работу | Нарушение авторских прав |