Защита информации в информационной системе и анализ применяемых средств защиты информации

Информация является одним из наиболее ценных ресурсов любой компании, поэтому обеспечение защиты информации является одной из важнейших и приоритетных задач.

Безопасность информационной системы - это свойство, заключающее в способности системы обеспечить ее нормальное функционирование, то есть обеспечить целостность и секретность информации. Для обеспечения целостности и конфиденциальности информации необходимо обеспечить защиту информации от случайного уничтожения или несанкционированного доступа к ней.

Под целостностью понимается невозможность несанкционированного или случайного уничтожения, а также модификации информации. Под конфиденциальностью информации - невозможность утечки и несанкционированного завладения хранящейся, передаваемой или принимаемой информации.

Известны следующие источники угроз безопасности информационных систем:

- антропогенные источники, вызванные случайными или преднамеренными действиями субъектов;

- техногенные источники, приводящие к отказам и сбоям технических и программных средств из-за устаревших программных и аппаратных средств или ошибок в ПО;

- стихийные источники, вызванные природными катаклизмами или форс-мажорными обстоятельствами.

В свою очередь антропогенные источники угроз делятся:

на внутренние (воздействия со стороны сотрудников компании) и внешние (несанкционированное вмешательство посторонних лиц из внешних сетей общего назначения) источники;

на непреднамеренные (случайные) и преднамеренные действия субъектов.

Существует достаточно много возможных направлений утечки информации и путей несанкционированного доступа к ней в системах и сетях:

- перехват информации;

- модификация информации (исходное сообщение или документ изменяется или подменяется другим и отсылается адресату);

подмена авторства информации (кто-то может послать письмо или документ от вашего имени);

- использование недостатков операционных систем и прикладных программных средств;

- копирование носителей информации и файлов с преодолением мер защиты;

незаконное подключение к аппаратуре и линиям связи;

- маскировка под зарегистрированного пользователя и присвоение его полномочий;

- введение новых пользователей;

- внедрение компьютерных вирусов и так далее.

Для обеспечения безопасности информационных систем применяют системы защиты информации, которые представляют собой комплекс организационно - технологических мер, программно - технических средств и правовых норм, направленных на противодействие источникам угроз безопасности информации.

При комплексном подходе методы противодействия угрозам интегрируются, создавая архитектуру безопасности систем. Необходимо отметить, что любая системы защиты информации не является полностью безопасной. Всегда приходиться выбирать между уровнем защиты и эффективностью работы информационных систем.

К средствам защиты информации ИС от действий субъектов относятся:

- средства защита информации от несанкционированного доступа;

- защита информации в компьютерных сетях;

- криптографическая защита информации;

- электронная цифровая подпись;

- защита информации от компьютерных вирусов.

Средства защита информации от несанкционированного доступа

Получение доступа к ресурсам информационной системы предусматривает выполнение трех процедур: идентификация, аутентификация и авторизация.

Идентификация - присвоение пользователю (объекту или субъекту ресурсов) уникальных имен и кодов (идентификаторов).

Аутентификация - установление подлинности пользователя, представившего идентификатор или проверка того, что лицо или устройство, сообщившее идентификатор является действительно тем, за кого оно себя выдает. Наиболее распространенным способом аутентификации является присвоение пользователю пароля и хранение его в компьютере.

Авторизация - проверка полномочий или проверка права пользователя на доступ к конкретным ресурсам и выполнение определенных операций над ними. Авторизация проводится с целью разграничения прав доступа к сетевым и компьютерным ресурсам.

Защита информации в компьютерных сетях

Локальные сети предприятий очень часто подключаются к сети Интернет. Для защиты локальных сетей компаний, как правило, применяются межсетевые экраны - брандмауэры (firewalls). Экран (firewall) - это средство разграничения доступа, которое позволяет разделить сеть на две части (граница проходит между локальной сетью и сетью Интернет) и сформировать набор правил, определяющих условия прохождения пакетов из одной части в другую. Экраны могут быть реализованы как аппаратными средствами, так и программными.

Криптографическая защита информации

Для обеспечения секретности информации применяется ее шифрование или криптография. Для шифрования используется алгоритм или устройство, которое реализует определенный алгоритм. Управление шифрованием осуществляется с помощью изменяющегося кода ключа.

Извлечь зашифрованную информацию можно только с помощью ключа. Криптография - это очень эффективный метод, который повышает безопасность передачи данных в компьютерных сетях и при обмене информацией между удаленными компьютерами.

Электронная цифровая подпись

Для исключения возможности модификации исходного сообщения или подмены этого сообщения другим необходимо передавать сообщение вместе с электронной подписью. Электронная цифровая подпись - это последовательность символов, полученная в результате криптографического преобразования исходного сообщения с использованием закрытого ключа и позволяющая определять целостность сообщения и принадлежность его автору при помощи открытого ключа.

Другими словами сообщение, зашифрованное с помощью закрытого ключа, называется электронной цифровой подписью. Отправитель передает незашифрованное сообщение в исходном виде вместе с цифровой подписью. Получатель с помощью открытого ключа расшифровывает набор символов сообщения из цифровой подписи и сравнивает их с набором символов незашифрованного сообщения.

При полном совпадении символов можно утверждать, что полученное сообщение не модифицировано и принадлежит его автору.

Защита информации от компьютерных вирусов

Компьютерный вирус – это небольшая вредоносная программа, которая самостоятельно может создавать свои копии и внедрять их в программы (исполняемые файлы), документы, загрузочные сектора носителей данных и распространяться по каналам связи.

В зависимости от среды обитания основными типами компьютерных вирусов являются:

- Программные (поражают файлы с расширением .СОМ и .ЕХЕ) вирусы

- Загрузочные вирусы.

- Макровирусы.

- Сетевые вирусы.

Источниками вирусного заражения могут быть съемные носители и системы телекоммуникаций. К наиболее эффективным и популярным антивирусным программам относятся: Антивирус Касперского 7.0, AVAST, Norton AntiVirus и многие другие.

5 Разработать фрагменты по эксплуатации, инсталляции и настройке информационной системы (руководство программисту/системному администратору, руководство пользователя)

 

1. Собирать данные для анализа использования и функционирования информационной системы, участвовать в составлении отчетной документации, принимать участие в разработке проектной документации на модификацию информационной системы.

2. Взаимодействовать со специалистами смежного профиля при разработке методов, средств и технологий применения объектов профессиональной деятельности.

3. Производить модификацию отдельных модулей информационной системы в соответствии с рабочим заданием, документировать произведенные изменения.

4. Участвовать в экспериментальном тестировании информационной системы на этапе опытной эксплуатации, фиксировать выявленные ошибки кодирования в разрабатываемых модулях информационной системы.

5. Разрабатывать фрагменты документации по эксплуатации информационной системы.

6. Участвовать в оценке качества и экономической эффективности информационной системы.

7. Производить инсталляцию и настройку информационной системы в рамках своей компетенции, документировать результаты работ.

8. Консультировать пользователей информационной системы и разрабатывать фрагменты методики обученияпользователей информационной системы.

9. Выполнять регламенты по обновлению, техническому сопровождению и восстановлению данных информационной системы, работать с технической документацией.

10. Обеспечивать организацию доступа пользователей информационной системы в рамках своей компетенции.

Примерная программа профессионального модуля может быть использована в дополнительном профессиональном образовании и профессиональной подготовке по профессии рабочих 16199 Операторэлектронно-вычислительных и вычислительных машин, профессиональной подготовке работников в областях, связанных с эксплуатацией и разработкой информационных систем, при наличии среднего (полного) образования. Опыт работы не требуется.

Цели и задачи профессионального модуля – требования к результатам освоения модуля

С целью овладения указанным видом профессиональной деятельности и соответствующими профессиональными компетенциями обучающийся в ходе освоения профессионального модуля должен:

иметь практический опыт:

- инсталляции, настройки и сопровождения одной из информационных систем;

- выполнения регламентов по обновлению, техническому сопровождению и восстановлению данных информационной системы;

- сохранения и восстановления базы данных информационной системы;

- организации доступа пользователей к информационной системе в рамках компетенции конкретного пользователя;

Получить полный текст

- обеспечения сбора данных для анализа использования и функционирования информационной системы и участия в разработке проектной и отчетной документации;

- определения состава оборудования и программных средств разработки информационной системы;

использования инструментальных средств программирования информационной системы;

- участия в экспериментальном тестировании информационной системы на этапе опытной эксплуатации и нахождения ошибок кодирования в разрабатываемых модулях информационной системы;

- разработки фрагментов документации по эксплуатации информационной системы;

- участия в оценке качества и экономической эффективности информационной системы;

- модификации отдельных модулей информационный системы;

- взаимодействия со специалистами смежного профиля при разработке методов, средств и технологий применения объектов профессиональной деятельности.

уметь:

- осуществлять сопровождение информационной системы, настройку под конкретного пользователя, согласно технической документации;

- поддерживать документацию в актуальном состоянии;

- принимать решение о расширении функциональности информационной системы, о прекращении эксплуатации информационной системы или ее реинжиниринге;

- идентифицировать технические проблемы, возникающие в процессе эксплуатации системы;

- производить документирование на этапе сопровождения;

- осуществлять сохранение и восстановление базы данных информационной системы;

- составлять планы резервного копирования, определять интервал резервного копирования;

- организовывать разноуровневый доступ пользователей информационной системы в рамках своей компетенции

- манипулировать данными с использованием языка запросов баз данных, определять ограничения целостности данных;

- выделять жизненные циклы проектирования компьютерных систем;

- использовать методы и критерии оценивания предметной области и методы определения стратегии развития бизнес-процессов организации;

- строить архитектурную схему организации;

- проводить анализ предметной области;

- осуществлять выбор модели построения информационной системы и программных средств;

- оформлять программную и техническую документацию, с использованием стандартов оформления программной документации;

- применять требования нормативных документов к основным видам продукции (услуг) и процессов;

- применять документацию систем качества;

- применять основные правила и документы системы сертификации Российской Федерации;

знать:

- основные задачи сопровождения информационной системы;

- регламенты по обновлению и техническому сопровождению обслуживаемой информационной системы;

- типы тестирования;

- характеристики и атрибуты качества;

- методы обеспечения и контроля качества;

- терминологию и методы резервного копирования;

- отказы системы; восстановление информации в информационной системе;

- принципы организации разно-уровневого доступа в информационных системах, политику безопасности в современных информационных системах;

- цели автоматизации организации;

- задачи и функции информационных систем;

- типы организационных структур;

- реинжиниринг бизнес-процессов;

- основные модели построения информационных систем, их структуру, особенности и области применения;

- особенности программных средств используемых в разработке информационных систем;

- методы и средства проектирования информационных систем;

- основные понятия системного анализа;

- национальную и международную систему стандартизации и сертификации и систему обеспечения качества продукции, методы контроля качества.

 

 

Заключение

Выполняя эту курсовую работу, я развил навыки самостоятельного анализа поставленной задачи, выработал пути её решения на основе существующих программных продуктов, расширил знания, полученные мною в процессе теоретического обучения; выработал умение критически анализировать задачу и выбирать наиболее целесообразный метод ее решения.

В процессе прохождения производственной практики на предприятии ПАО «Оренбургнефть» мною были получены практические навыки:

технологического процесса сбора и обработки информации, применяемые на предприятии ПАО «Оренбургнефть», также сохранения и защиты полученной информации.

Также я ознакомился с деятельностью предприятия ПАО «Оренбургнефть»

 

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

 

1. Олимпиады по информатике. Задачи и решения: методические рекомендации для учителей и учащихся школ. — Красноярск, 1991.

2. Основы информатики и вычислительной техники. Ч. 1,2/ Под ред. А. П. Ершова и В. М. Монахова. — М.: Просвещение, 1988.

3. Основы информатики и вычислительной техники в базовой школе / Л. А. Залогова, С. В. Русаков , И. Г. Семакин и др. — Пермь, 1995.

4. Паппас К., Мюррей У. Программирование на С и C++. — Киев: «Ирина»; BHV, 2000.

5. Пильщиков В.Н. Сборник упражнений по языку Паскаль.— М.: Наука, 1989.

6. Подбельский В.В., Фомин С.С. Программирование на языке Си. — М.: Финансы и статистика, 1999.

7. Подбельский В.В. Язык Си++. — М.: Финансы и статистика, 1996.

8. Попов Б.В. TURBO PASCAL для школьников. Версия 7.0. — М.: Финансы и статистика, 1996.

9. Романов Е.Л. http://ermak.cs.nstu.ru/cprog — электронный учебник по дисциплине «Информатика».

10. Сборник задач по программированию / Авт.-сост. А П. Шестаков. — Пермь: Перм. ун-т, 1999.

11. Сычев Н. А. Задания для вступительных экзаменов по информатике в НГУ // Информатика и образование. — 1995. — №2;

12. Хонсбергер Р. Математические изюминки. — М.: Наука, 1992.

13. Шень А. Программирование: теоремы и задачи. — М.: МЦНМО, 1995.