Обеспечение информационной безопасности на предприятии

Размещено на http://www.allbest.ru/

Введение

Применение в системе управления государственных, муниципальных и коммерческих структур вычислительных систем требует наличия мощных систем обработки и передачи данных. Решение этой задачи привело к созданию единой инфраструктуры. Её использование позволило людям, имеющим компьютер и модем, получить доступ к информации крупнейших библиотек и баз данных мира, оперативно выполнять сложнейшие расчёты, быстро обмениваться информацией с другими респондентами сети независимо от расстояния и страны проживания.

Но такие системы повлекли за собой ряд проблем, одна из которых - безопасность обработки и передачи данных. В настоящее время над проблемой защищённости передаваемой по сетям информации работает большое количество специалистов практически во всех экономически развитых странах мира. Можно сказать, что информационная безопасность сформировалась в отдельную быстро развивающуюся дисциплину. Однако, несмотря на усилия многочисленных организаций, занимающихся защитой информации, обеспечение информационной безопасности продолжает оставаться чрезвычайно острой проблемой.

Объектом исследования является информация, хранящаяся на сервере управляющей компании.

Предметом исследования является информационная безопасность сервера.

Целью контрольной работы является анализ защищённости сервера, определение требований к защите информации, разработка способов и средств защиты информации, а также построение архитектуры системы защиты информации.

Сервер - это компьютер, выделенный из группы персональных компьютеров (или рабочих станций) для выполнения какой-либо сервисной задачи без непосредственного участия человека.

На сервере управляющей компании хранится следующего рода информация:

· персональные данные сотрудников предприятия и партнёров;

· сообщения о деятельности предприятия;

· конструкторская и технологическая документация, перспективные планы развития, модернизации производства, реализации продукции и другие сведения, составляющие научно-техническую и технологическую информацию, связанную с деятельностью предприятия;

· финансовая документация, бухгалтерская отчётность, аналитические материалы исследований о конкурентах и эффективности работы на финансовых рынках;

· другие сведения, составляющие деловую информацию о внутренней деятельности предприятия.

Для того чтобы эффективно обеспечить защиту информации, хранящейся на сервере, необходимо в первую очередь рассмотреть и проанализировать все факторы, представляющие угрозу информационной безопасности.

1.Анализ защищённости сервера управляющей компании

1.1 Виды угроз

Угроза - это возможность возникновения такой ситуации, следствием которой может стать нарушение безопасности информации. Угрозы информационной безопасности могут возникать на разных этапах жизненного цикла информационных систем и со стороны разных источников.

Всё множество потенциальных угроз безопасности информации, хранящейся на сервере, можно разделить на 2 основных вида.

Случайные (непреднамеренные) угрозы, которые не связаны с преднамеренными действиями злоумышленников и реализуются в случайные моменты времени.

К случайным угрозам относятся:

· Стихийные бедствия и аварии;

· Сбои и отказы;

· Ошибки при разработке компьютерных систем (КС), алгоритмические и программные ошибки;

· Ошибки пользователей и обслуживающего персонала.

Преднамеренные угрозы, связанные с целенаправленными действиями нарушителя. Данный вид угроз изучен недостаточно, очень динамичен и постоянно пополняется новыми угрозами.

Среди преднамеренных угроз, в первую очередь, выделяют шпионаж, диверсии, несанкционированный доступ к информации, а также внедрение вирусов и других разрушающих программных воздействий.

1.2 Характер происхождения угроз

Характер происхождения угроз определяется типом каналов связи, по которым передаётся информация, способам воздействия угроз на объект информационной безопасности, а также причинами, обстоятельствами и условиями дестабилизирующего воздействия на информацию.

В свою очередь, каналы связи подразделяются на:

· проводные;

· волоконно - оптические;

· беспроводные (радиотехнические).

Способы воздействия угроз на объекты информационной безопасности подразделяются на информационные, программно-математические, физические и организационно-правовые.

К информационным способам относятся:

· несанкционированный доступ к информационным ресурсам;

· манипулирование информацией (дезинформация, сокрытие или искажение информации);

· нарушение технологии обработки информации.

К программно-математическим способам:

· внедрение компьютерных вирусов;

· установка программных и закладных устройств;

· уничтожение или модификация данных в автоматизированных информационных системах.

К физическим способам:

· уничтожение, разрушение или хищение машинных и других оригинальных носителей информации;

· хищение программных или аппаратных ключей и средств криптографической защиты информации.

К организационно-правовым способам:

· невыполнение требований законодательства и задержки в принятии необходимых нормативно-правовых положений;

· неправомерное ограничение доступа к документам, содержащим важную для граждан и организаций информацию.

1.3 Классы каналов несанкционированного получения информации

Утечка информации, хранящаяся на сервере возможно по следующим каналам:

· Радиоканалы - это каналы передачи информации, при которой в качестве носителя информации используются радиоволны, свободно распространяемые в пространстве.

· Инфракрасный канал - это канал передачи данных, не требующий для своего функционирования проводных соединений.

· Проводные линии - это линии связи, состоящие из направленных средств передачи, предназначенные для организации связи.

В качестве проводных линий при передаче информации к внешним средствам регистрации могут быть использованы:

· сети переменного тока;

· линии телефонной связи;

· радиотрансляционные и технологические линии;

· специально проложенные проводные линии.

1.4 Источники появления угроз

Носителями угроз безопасности информации являются источники угроз. Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды. В качестве источников угроз могут выступать как субъекты (личность), так и объективные проявления.

Деление источников на субъективные и объективные оправдано, исходя из того, что субъективные уязвимости зависят от действий сотрудников. А объективные уязвимости зависят от особенностей построения и технических характеристик оборудования, применяемого на защищаемом объекте.

Основными источниками угроз безопасности информации, хранящейся на сервере управляющей компании:

· сбои и отказы оборудования;

· стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар и т.п.);

· ошибки проектирования и разработки компонентов (аппаратных средств, технологий обработки информации, программ, структур данных)

· преднамеренные действия нарушителей и злоумышленников.

1.5 Причины нарушения целостности информации

К причинам нарушения целостности информации, хранящейся на сервере, относят следующее:

· Материальный ущерб, связанный с несчастными случаями, вызывает частичный или полный вывод из строя оборудования или информационного ресурса.

· Кража и преднамеренная порча сервера.

· Аварии и выход из строя аппаратуры.

· Ошибки эксплуатации. Эти ошибки могут приобретать различные формы: нарушение защиты, переполнение файлов, ошибки языка управления данными, ошибки при подготовке и вводе информации, ошибки операционной системы, ошибки программы, аппаратные ошибки, ошибочное толкование инструкции и т.д.

1.6 Потенциально возможные злоумышленные действия

Наиболее потенциально возможные злоумышленные действия:

· Нарушение физической целостности (уничтожение, разрушение элементов).

· Нарушение логической целостности( уничтожение логических связей).

· Нарушение содержания (изменение передаваемой информации, ложная информация).

· Нарушение конфиденциальности.

2. Анализ методов и средств улучшения защищенности объекта защиты информации

2.1 Требования к защите информации

Прежде всего, необходима полная аутентификация и идентификация пользователей, терминалов, программ, а также основных процессов и процедур. Кроме того следует ограничить доступ к информации, используя совокупность следующих способов:

· Иерархическая классификация доступа;

· Классификации информации по важности и месту её возникновения;

· Указание ограничений к информационным объектам, например, пользователь может осуществлять только чтение файла без права записи в него;

· Определение программ и процедур, предоставленных только конкретным пользователям.

Кроме того к требованиям защиты информации, хранящейся на сервере, относятся:

· осуществление контроля за изменением в системе программного обеспечения;

· организация и поддержка взаимного контроля за выполнением правил защиты данных;

· осуществление записи протокола о доступе к серверу;

· организация систем обучения и повышения квалификации персонала;

· выполнение тестирования и верификации изменений в системе программного обеспечения и программах защиты.

2.2 Классификация автоматизированных систем

Автоматизированная система управления (АСУ) - это комплекс аппаратных и программных средств, а также персонала предназначенный для управления различными процессами в рамках технологического процесса, производства, предприятия.

В управляющей компании (ЖКХ) используют 2 вида автоматизированных систем. информационный безопасность защита

Автоматизированная система управления технологическим процессом или АСУ ТП - решает задачи оперативного управления и контроля техническими объектами в промышленности, энергетике, на транспорте.

Автоматизированная система управления производством (АСУ П) - решает задачи организации производства, включая основные производственные процессы, входящую и исходящую логистику. Осуществляет краткосрочное планирование выпуска с учётом производственных мощностей, анализ качества продукции, моделирование производственного процесса. Для решения этих задач применяются MIS и MES-системы, а также LIMS-системы.

2.3 Факторы, влияющие на требуемый уровень защиты информации

1. Факторы, обуславливаемые характером обрабатываемой информации.

1.1. Степень секретности.

1.2. Объёмы.

1.3. Интенсивность обработки.

2. Факторы, обуславливаемые архитектурой.

2.1. Геометрические размеры.

2.2. Территориальная распределённость.

2.3. Структурированность компонентов.

3. Факторы, обуславливаемые технологией обработки информации.

3.1. Масштаб

3.2. Стабильность.

3.3. Доступность.

4.4. Структурированность.

5. Факторы, обуславливаемые организацией работы.

5.1. Общая постановка дела.

5.2. Укомплектованность кадрами.

5.3. Уровень подготовки и воспитания кадров.

5.4. Уровень дисциплины.

2.4 Методы и средства защиты информации

Методы защиты информации:

Установка препятствия -- метод физического преграждения пути злоумышленнику к защищаемой информации, в т.ч. попыток с использованием технических средств съема информации и воздействия на нее.

Управление доступом -- метод защиты информации за счет регулирования использования всех информационных ресурсов, в т.ч. автоматизированной информационной системы предприятия. Управление доступом включает следующие функции защиты:

идентификацию пользователей, персонала и ресурсов информационной системы (присвоение каждому объекту персонального идентификатора);

аутентификацию (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

разрешение и создание условий работы в пределах установленного регламента;

регистрацию (протоколирование) обращений к защищаемым ресурсам;

реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.

Маскировка -- метод защиты информации с использованием инженерных, технических средств, а также путем криптографического закрытия информации.

Средства защиты информации: физические (инженерные) средства, технические средства обнаружения, источники бесперебойного питания, программно-аппаратные средства маскировки информации.

2.5 Архитектура системы защиты информации

Архитектура система защиты информации:

1. Ядро.

2. Подсистема ограничения доступа.

3. Подсистема криптографической защиты.

4. Подсистема обеспечения целостности.

5. Подсистема регистрации и учёта.

2.6 Рекомендации по повышению уровня защищенности объекта информатизации

1.Необходимо, прежде всего, узаконить круг лиц, допускаемых к тем или иным внутрифирменным секретам.

2. Заключить договор со специализированной организацией для проверки аппаратуры.

3. В случае поломки систем целесообразно приглашать проверенных специалистов.

4. Необходимо включить опцию блокировки учётной записи пользователя базы данных в случае серии неудачных попыток аутентификации.

5. Необходимо использовать различные пароли пользователя для доступа к компьютеру и к системе управления базы данных (СУБД).

6. Необходимо сменить номер слушающего порта для доступа клиентов к серверу базы данных в любой другой.

Заключение

В наши дни информация имеет большую ценность, поэтому её защите уделяется всё большее внимание на самых различных уровнях - и государственном, и коммерческом.

Проблемы, связанные с повышением безопасности информационной сферы являются сложными, многоплановыми и взаимосвязанными Они требуют постоянного, неослабевающего внимания со стороны государства и общества.

Развитие информационных технологий побуждает к постоянному приложение совместных усилий по совершенствованию методов и средств, позволяющих достоверно оценивать угрозы безопасности информационной сферы и адекватно реагировать на них.

Не последнее место наряду с множеством мероприятий, проводимых по защите информации, занимает организация защиты серверов.

Безопасность сервера важна так же, как и сетевая безопасность, так как большая часть жизненно важной информации компании находится именно на серверах. Если сервер скомпрометирован, все его данные могут оказаться в руках взломщика, который может их украсть и изменить.

Размещено на Allbest.ru

...