Актуальность вопросов информационной безопасности. Программное и аппаратное обеспечения сети ООО "Минерал". Построение модели корпоративной безопасности и защиты от несанкционированного доступа. Технические решения по защите информационной системы.
Аннотация к работе
Любая деятельность человека, организации, государства основывается на информации. В современном обществе информация представляет также орудие конкурентной борьбы. Предотвращение утечки информации основывается на четком представлении о механизмах ее утечки, возможностях тех или иных каналов утечки, определении рациональных способов защиты информации и средств их реализации. Эксперты по вопросам информатики считают, что сбор экономической информации о конкурентах и защита собственных информационных ресурсов - главные задачи обеспечения экономики государства. Положение усугубляется доступностью технических средств шпионажа, простотой их изготовления, а также, массовым характером применения технических устройств снятия информации и средств несанкционированного доступа в конкурентной борьбе коммерческих фирм.Корпоративный подход к функционированию современного предприятия предполагает построение информационной среды, связывающий в единую структуру основные информационные потоки, в основе которой находится корпоративная сеть - коммуникационная система, принадлежащая и управляемая в соответствии с определенным регламентом.Корпоративные информационные системы (КИС) - это интегрированные системы управления территориально распределенной корпорацией, основанные на углубленном анализе данных, широком использовании систем информационной поддержки принятия решений, электронных документообороте и делопроизводстве. К первому классу в основном относятся современные ERP системы [12]. Enterprise Resource Planning System - Система планирования ресурсов предприятия) - корпоративная информационная система, предназначенная для автоматизации учета и управления. Используемый в ERP-системах программный инструментарий позволяет проводить производственное планирование, моделировать поток заказов и оценивать возможность их реализации в службах и подразделениях предприятия, увязывая его со сбытом. В основе ERP-систем лежит принцип создания единого хранилища данных, содержащего всю корпоративную бизнес-информацию и обеспечивающего одновременный доступ к ней любого необходимого количества сотрудников предприятия, наделенных соответствующими полномочиями.Основными факторами, способствующими повышению уязвимости информации, являются [3]: резкое увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации;Независимо от того, из какого источника получена информация и на каком носителе она представлена, она должна соответствовать определенному регламенту и удовлетворять определенным требованиям: достоверность, т.е. строго соответствовать действующему законодательству и правоприменительным документам; полнота, т.е. отражение всех важнейших аспектов объекта исследования и результаты их познания; своевременность (оперативность) - иначе информация потеряет свое практическое значение; структурированность - свойство, позволяющее выделять информацию из получаемых сигналов; смысл и ценность [8]. Однако, с точки зрения сетевой безопасности [9] наиболее важными особенностями информации являются ее: конфиденциальность; целостность; доступность. К конфиденциальной информации можно отнести следующие данные: личная информация пользователей, учетные записи (имена и пароли), данные о кредитных картах, бухгалтерская информация. Конфиденциальность должна достигаться физическим или логическим разграничением доступа к закрытой информации или шифрование трафика идущего через сеть, например: · использование механизмов безопасности для предотвращения неавторизированного доступа к сетевым ресурсам; К задачам обеспечения целостности, например, относят защиту от изменения внешнего вида вебсайта; проникновения в транзакцию электронной коммерции; изменение финансовых записей, которые хранятся в электронном виде. несанкционированный доступ информационная безопасностьВ информационном законодательстве центральное место занимает Федеральный закон №149-ФЗ "Об информации, информационных технологиях и о защите информации". Документированной информацией или документом называется зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать. Перечень и необходимый уровень защиты обрабатываемых информационных ресурсов содержащих сведения, составляющие конфиденциальную информацию (служебную информацию, персональные данные и коммерческие сведения), определяется следующим образом: · перечень сведений, отнесенных к служебной информации, определяется пометкой "Для служебного пользования"; По режимам доступа социальная информация подразделяется на открытую информацию (без ограничения), информацию с ограничением доступа; закрытую; государственную тайну; конфиденциальная информацию; коммерческую тайну; профессиональную тайну; служебную тайну. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность и в силу неизвестности ее третьим лицам к ней нет свободного доступа на законном основа
План
Оглавление
Введение
1. Общесистемный раздел
1.1 Общие вопросы обеспечения информационной безопасности
1.1.1 Корпоративный подход к системам и безопасность
1.1.2 Актуальность вопросов информационной безопасности
1.1.3 Особенности защищаемой информации
1.1.4 Правовая классификация защищаемой информации
1.1.5 Угрозы и уязвимости защищаемой информации
1.1.6 Несанкционированный доступ и утечка информации
1.1.7 Общие понятия о мероприятиях по защите информации
1.1.8 Методы (способы) и средства защиты информации
1.2 Обзор деятельности организации
1.2.1 Состав организации
1.2.2 Анализ инфраструктуры организации
1.2.3 Средства информационного обмена в фирме
1.2.4 Программное и аппаратное обеспечения сети ООО "Минерал"
1.3 Характеристика объекта защиты от НСД
1.3.1 Обеспечение конфиденциальности информации как основная цель защиты ООО "Минерал"
1.3.2 Программный уровень защиты
1.3.3 Программно-технический уровень защиты
1.4 Определение класса защиты инфраструктуры ООО "Минерал"
1.4.1 Классы и группы защищенности систем
1.4.2 Требования к классу защищенности 1Г
1.5 Цели и задачи дипломного проектирования
2. Специальный раздел
2.1 Построение модели корпоративной безопасности и защиты от НСД
2.1.1 Структура модели
2.1.2 Модель построения корпоративной системы защиты информации от НСД
2.1.3 Детализация потоков в инфраструктуре ООО "Минерал"
2.1.4 Определение информации, подверженной угрозам НСД
2.1.5 Детализация сетевого и программного обеспечения фирмы
2.1.6 Категории вероятных нарушителей режима доступа
2.1.7 Классификация и способы реализации угроз НСД по каналам утечки информации
2.1.8 Оценка актуальности угроз инфраструктуры ООО "Минерал" и мер по противодействию НСД
2.2 Технические решения по защите ИС
2.2.1 Разработка контекстных и DFD-диаграмма инфраструктуры ООО "Минерал" по направлению ИБ и защите от НСД
2.2.2 Структура СЗИ от НСД для ИСПДН
2.2.3 Установка межсетевого экрана - внешней защиты от НСД
2.2.4 Установка криптопровайдера в системе защиты данных от НСД
2.10 Работа с контейнером ключей и панель управления контейнерами
2.11 Добавление сертификата в контейнер и окно свойств сертификата
2.2.5 Установка средства обнаружения вторжений и антивируса
2.2.6 Перспектива установки комплексных СЗИ от НСД
2.3 Вывод по разделу
Заключение
Список использованных источников
Введение
Любая деятельность человека, организации, государства основывается на информации. В современном обществе информация представляет также орудие конкурентной борьбы. В ней побеждает тот, кто при прочих равных условиях владеет более полной, качественной и своевременной информацией. Предотвращение утечки информации основывается на четком представлении о механизмах ее утечки, возможностях тех или иных каналов утечки, определении рациональных способов защиты информации и средств их реализации.
Большинство современных компьютерных систем не имеют надежной защиты внутренних ресурсов. Поэтому, возрастает потенциальная уязвимость систем накопления информации и, даже, систем управления технологическими объектами. Эксперты по вопросам информатики считают, что сбор экономической информации о конкурентах и защита собственных информационных ресурсов - главные задачи обеспечения экономики государства. В случае полного рассекречивания компьютерных баз данных большая часть компаний будет разорена конкурентами за очень короткий срок.
Положение усугубляется доступностью технических средств шпионажа, простотой их изготовления, а также, массовым характером применения технических устройств снятия информации и средств несанкционированного доступа в конкурентной борьбе коммерческих фирм.
Несмотря на то, что современные ОС для персональных компьютеров, имеют собственные подсистемы защиты, актуальность создания дополнительных средств защиты сохраняется. Дело в том, что большинство систем не способны защитить данные, находящиеся за их пределами. И в этих случаях для защиты данных используются аппаратно-программные средства защиты информации.
Тема является актуальной по следующим причинам: · производственная информация имеет экономическую ценность;
· средства защиты информации обычно реагируют на уязвимости и "дыры", на их развитие определяется реакцией на те или иные разработки в области доступа к данным;
· постоянная потребность в информации, необходимой для качественного выполнения функций менеджмента и маркетинга;
· сложность задач информационного противодействия и оценки ущерба, недостатки компетентной аналитики и справочных ресурсов.
В связи с этим выбранная тема исследования, связанная с решением задачи защиты информации является важной и актуальной. Защищенная информационная система должна противостоять внутренним и внешним угрозам и воздействиям как естественного, так и искусственного происхождения и поддерживать предсказуемый уровень работоспособности независимо от этих воздействий. Подобная система должна быть устойчива к отказу различных блоков в результате специальных атак, а ответом на повреждение или угрозу должна быть адаптация или реконфигурация структуры системы. Корректно организованная защита информации фирмы непременно обеспечит и информационную безопасность последней от внешней среды. Целью данного дипломного проекта является повышение эффективности функционирования объекта ООО "Минерал" посредством выбора программно-технического решения по защите от несанкционированного доступа к информации.
Основными задачами для достижения цели исследования являются: 1. Анализ существующей на объекте информационной системы и средств ее защиты.
2. Рассмотрение существующих подходов к организации защиты от НСД.
3. Выбор и внедрение новых средств, исходя из проведенного анализа.