Организационно-методические указания по проведению занятия

12
3
Далее ⇒

Т А М Б О В С К И Й Г О С У Д А Р С Т В Е Н Н Ы Й

Т Е Х Н И Ч Е С К И Й У Н И В Е Р С И Т Е Т

Кафедра «Информационных систем и защиты информации»

Тема № 6 «Угрозы безопасности ОС»

Лекция № 10 «Основные понятия и положения защиты информации в операционных системах»

Обсуждено на заседании кафедры

протокол № ____ «____»____________2011 г.

Тамбов 2011

Цель лекции

Основной учебной целью является формирование представления о предмете и объекте защиты информации ОС, об угрозах ИБ, основных направлениях и методах реализации угроз.

Содержание

Введение. 4

6.1. Предмет и объект защиты информации. 4

6.2. Анализ угроз информационной безопасности. 7

6.2.1. Понятие угрозы информационной безопасности. 7

6.2.2. Методы обеспечения информационной безопасности. 14

6.2.2.1. Структуризация методов обеспечения информационной безопасности. 14

6.2.2.2. Классификация злоумышленников. 15

6.2.2.3. Основные направления и методы реализации угроз ИБ. 15

Контрольные вопросы.. 15

Учебно – материальное обеспечение

1. Персональная ЭВМ

2. LCD-проектор

3. Набор тематических слайдов

Организационно-методические указания по проведению занятия

На данную лекцию выносится основной теоретический материал о предмете и объекте защиты информации ОС, об угрозах ИБ, основных направлениях и методах реализации угроз.. Лекция проводится в стандартной наглядно-объяснительной форме с использованием элементов проблемного подхода к обучению.

В начале лекции необходимо довести тему занятия и записать ее на доске, цель лекции, рассматриваемые вопросы и используемую литературу.

Основная часть лекции проводится методом устного изложения учебного материала и сопровождается демонстрацией графических материалов изображенных на стендах. В процессе изложения материала необходимо обращать внимание на степень активности восприятия учебного материала, следить за темпом изложения. Изложение учебного материала по каждому вопросу должно заканчиваться кратким выводом и ответом на неясные вопросы.

В лекции № 10 рассматриваются два вопроса.

При рассмотрении первого вопроса акцентировать внимание на единстве понятий обеспечения безопасности ОС..

При изложении второго вопроса заострить внимание на основных угрозах ИБ, а также основных направлениях и методах их реализации.

Введение

Информационная безопасность – сравнительно молодая, быстро развивающаяся область информационных технологий. Под информационной безопасностью будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

С методологической точки зрения правильный подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.

Информационная безопасность – многогранная область деятельности, в которой успех может принести только систематический, комплексный подход. Для решения данной проблемы рассматриваются меры законодательного, административного, процедурного и программно–технического уровня.

Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.

6.1. Предмет и объект защиты информации

Успех практически любой деятельности в немалой степени зависит от умения распоряжаться такой ценностью, как информация. В законе РФ «Об информации, информатизации и защите информации» определено:

«информационные ресурсы являются объектами собственности граждан, организаций, общественных объединений, государства»;

«информация – сведения о лицах, предметах, событиях, явлениях и процессах (независимо от формы их представления), отраженные на материальных носителях, используемые в целях получения знаний и практических решений».

Информация имеет ряд особенностей:

- не материальна;

- хранится и передается с помощью материальных носителей;

- любой материальный объект содержит информацию о самом себе либо о другом объекте.

Информации присущи следующие свойства:

Ценность информации определяется степенью ее полезности для владельца. Законом РФ «Об информации, информатизации и защите информации» гарантируется право собственника информации на ее использование и защиту от доступа к ней других лиц (организаций). Если доступ к информации ограничен, то такая информация называется конфиденциальной. Конфиденциальная информация может содержать государственную или коммерческую тайну.

Достоверность информации определяется достаточной для владельца точностью отражать объекты и процессы окружающего мира в определенных временных и пространственных рамках. Информация, искаженно представляющая действительность, может нанести владельцу значительный материальный и моральный ущерб. Если информация искажена умышленно, то ее называют дезинформацией.

Своевременность информации, т.е. соответствие ценности и достоверности определенному временному периоду.

Данное свойство определяется выражением:

С(t)=C₀e^-2.3^t^/^t,

где C₀ – ценность информации в момент ее возникновения, t – время от момента возникновения информации до момента определения ее стоимости, t – время от момента возникновения информации до момента ее устаревания.

Предметом защиты является информация, хранящаяся, обрабатываемая и передаваемая в компьютерных (информационных) системах. Особенностями данного вида информации являются:

двоичное представление информации внутри системы, независимо от физической сущности носителей исходной информации;

высокая степень автоматизации обработки и передачи информации;

концентрация большого количества информации в КС.

Объектом защиты информации является компьютерная (информационная) система или автоматизированная система обработки информации (АСОИ).

Информационная система – это организационно-упорядоченная совокупность информационных ресурсов, технических средств, технологий и персонала, реализующих информационные процессы в традиционном или автоматизированном режиме для удовлетворения информационных потребностей пользователей.

Информационная безопасность АСОИ – состояние рассматриваемой автоматизированной системы, при котором она, с одной стороны, способна противостоять дестабилизирующему воздействию внешних и внутренних информационных угроз, а с другой − ее наличие и функционирование не создает информационных угроз для элементов самой системы и внешней среды.

Информационная безопасность достигается проведением соответствующего уровня политики информационной безопасности.

Под политикой информационной безопасности понимают совокупность норм, правил и практических рекомендаций, регламентирующих работу средств защиты АСОИ от заданного множества угроз безопасности.

Система защиты информации – совокупность правовых норм, организационных мер и мероприятий, технических, программных и криптографических средств и методов, обеспечивающих защищенность информации в системе в соответствии с принятой политикой безопасности.

Основные положения безопасности информационных систем.

Что касается подходов к реализации защитных мероприятий по обеспечению безопасности информационных систем, то сложилась трехэтапная (трехстадийная) разработка таких мер.

Первая стадия – выработка требований – включает:

- определение состава средств информационной системы;

- анализ уязвимых элементов ИС;

- оценка угроз (выявление проблем, возникающих при наличия уязвимых мест);

- анализ риска (прогноз возможных последствий, вызывающих эти проблемы).

Вторая стадия – определение способов защиты – включает ответы на следующие вопросы:

- Какие угрозы должны быть устранены и в какой мере?

- Какие ресурсы системы должны быть защищаемы и в какой степени?

- С помощью каких средств должна быть реализована защита?

- Какова должна быть полная стоимость реализации защиты и затраты на эксплуатацию с учетом потенциальных угроз?

Третья стадия – определение функций, процедур и средств безопасности, реализуемых в виде некоторых механизмов защиты.
12
3
Далее ⇒