«Методы и средства защиты информации в сетях на примере ООО «Сервис-плюс» - Дипломная работа

Содержание

Введение 5

1 Приоритетные направления исследований и разработок в области защиты информации и компьютерной безопасности 8

1.1 Обзор методов и средств защиты информации в компьютерных сетях 10

1.2 Средства обеспечения информационной безопасности в Интернет 18

2 Сетевая безопасность 21

2.1 Атакуемые сетевые компоненты 22

2.1.1 Сервера 22

2.1.2 Рабочие станции 24

2.1.3 Среда передачи информации 25

2.1.4 Узлы коммутации сетей 27

2.2 Уровни сетевых атак согласно модели OSI 28

3 Практическая часть 32

3.1 Анализ ситуации в ООО «Сервис-плюс» в области информационной безопасности 32

3.2 Информационная безопасность 35

3.2.1 Политика ролей 35

3.2.2 Создание политики информационной безопасности 36

3.2.3 Методы обеспечения безотказности 40

3.3 Разработка ПО по шифрованию информации 41

Заключение 43

Глоссарий 47

Список используемых источников 52

Список сокращений 55

Приложение А 56

Приложение Б 57

Введение

В современном мире информация играет большую роль. Информация яв-ляется основой деятельности управленческих организаций, страховых обществ, банков, организаций социальной сферы и т. д. Во многих случаях информация представляет большой интерес для криминальных элементов. Все преступления начинаются с утечки информации. Необходимость сохранения различных видов тайн, обеспечение безопасности электронных документов, безопасность самих работников организации напрямую связаны со степенью информационной безопасности. Рост применения современных информационных технологий в различных сферах делает возможным распространение разных злоупотреблений, связанных с использованием вычислительной техники. Для противодействия им или хотя бы уменьшения ущерба необходимо грамотно выбирать меры и средства обеспечения защиты информации от умышленного разрушения, кражи, порчи, несанкционированного доступа, несанкционированного чтения и ко-пирования. Разработки в области теории защиты информационных объектов велись достаточно давно. Их результатами являются так называемые абстрактные модели защиты данных, в которых исследователи излагают общие идеи по этому вопросу.

Судя по растущему количеству публикаций и компаний, профессионально занимающихся защитой информации в компьютерных системах, решению этой задачи придается большое значение. Одной из наиболее очевидных причин нарушения системы защиты является умышленный несанкционированный доступ (НСД) к конфиденциальной информации со стороны нелегальных пользователей и последующие нежелательные манипуляции с этой информацией. Защита информации – это комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п. [10] Поскольку утрата информации может происходить по сугубо техническим, объективным и неумышленным причинам, под это определение подпадают также и мероприятия, связанные с повышением надежности сервера из-за отказов или сбоев в работе жестких дисков, недостатков в используемом программном обеспечении и т.д.

Наряду с термином "защита информации" (применительно к компьютерным сетям) широко используется, как правило, в близком значении, термин "компьютерная безопасность" [24].

Изучение методов и средств защиты информации в сетях обусловлено необходимостью адаптировать информационные системы к ситуации изменчивости информационных технологий. Этим определяется актуальность темы выпускной квалификационной работы. Актуальность проблемы защиты информации связана также с ростом возможностей вычислительной техники. Развитие средств, методов и форм автоматизации процессов обработки информации, массовость применения электронно-вычислительных машин (ЭBM) резко повышают уязвимость инфopмaции. В настоящее время выделяют следующие способы защиты информации: физические (препятствие), законодательные, управление доступом, криптографическое закрытие [26].

Физические способы защиты основаны на создании физических препятствий

для злоумышленника, преграждающих ему путь к защищаемой информации.

К законодательным средствам защиты относятся законодательные акты,

которыми регламентируются правила использования и обработки информации ограниченного доступа и устанавливаются меры ответственности за нарушения этих правил.

Под управлением доступом понимается способ защиты информации регулированием использования всех ресурсов системы (технических, программных, элементов баз данных). В автоматизированных системах информационного обеспечения должны быть регламентированы порядок работы пользователей и персонала, право доступа к отдельным файлам в базах данных и т.д. В сетях ЭВМ наиболее эффективными являются криптографические способы защиты информации.

Целью данной выпускной квалификационной работы является анализ методов и средств защиты информации в компьютерных сетях.

Для достижения данной цели были решены следующие задачи:

 изучение теоретических сведений о существующих методах и средствах защиты информации;

 приобретение умения и навыков при выполнении следующих способов защиты информации в ООО «Сервис-плюс»:

• идентификация и аутентификация пользователя при входе в систему;

• контроль целостности системы защиты информации (СЗИ), программ и данных;

• разграничение доступа пользователей к ресурсам персональных компьютеров (ПК);

• блокировка загрузки операционной системы (ОС) с дискеты и CD-ROM;

• регистрация действий пользователей и программ.

Практическая значимость исследования заключается в выявлении путей совершенствования защиты информации в компьютерных сетях.

Выдержка из текста работы

Во время прохождения производственной практики в ООО «Сервис-плюс» (складе фармацевтических препаратов и товаров для красоты и здоровья) были приобретены навыки по защите информации в локальной компьютерной сети организации, представляющей собой совокупность трех ветвей, каждая из которых расположена в одном из отделов: в отделе информационных технологий (ОИТ), в отделе финансов и отделе товарных операций (складе). Управление работой сети, общее количество рабочих станций которой в настоящий момент равно 19, осуществляется 3 серверами, установленными в ОИТ. Транспортной средой внутри каждой из ветвей является витая пара, а для соединения ветвей с сервером используется оптоволокно.

В ООО «Сервис-плюс» для обеспечения защиты информации в части предотвращения преднамеренных действий применяют следующие средства защиты информации:

Технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны — недостаточная гибкость, относительно большие объем и масса, высокая стоимость [12].

Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств - универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки - ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).

Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.

Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки — высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении [9].

По степени распространения и доступности в ООО «Сервис-плюс» выделяются программные средства, другие средства применяются в тех случаях, когда требуется обеспечить дополнительный уровень защиты информации.

К программным средствам защиты информации, реализованным в ООО «Сервис-плюс» относятся:

 встроенные средства защиты информации,

 Firewalls - брандмауэры: между локальной и глобальной сетями созданы специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративную сеть ООО «Сервис-плюс», но не устраняет эту опасность полностью.

 специализированные программные средства защиты информации от несанк-ционированного доступа, которые обладают в целом лучшими возможностями и характеристиками, чем встроенные средства (программы шифрования и криптографические системы), программы управления доступом, обеспечивающие защиту информации за счет регулирования использования всех информационных ресурсов, в т.ч. автоматизированной информационной системы предприятия.

Заключение

Обеспечить безопасность информации можно различными методами и средствами как организационного, так и инженерного характера. Комплекс организационных мер, программных, технических и других методов и средств обеспечения безопасности информации образует систему защиты информации.

Информационная безопасность - понятие комплексное, и обеспечена она мо-жет быть только при комплексном подходе.

При анализе проблематики, связанной с информационной безопасностью, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасности есть составная часть информационных технологий - области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения (законы, учебные курсы, программно-технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений, позволяющие жить в темпе технического прогресса.

Информационная безопасность сейчас - это не только крайне важная, но и весьма модная и прибыльная (причем не только в чисто материальном плане) об-ласть деятельности. Вполне естественно, что здесь сталкиваются интересы многих ведомств, компаний и отдельных людей, идет энергичная борьба за сферы влияния, а порой и за выживание. Это обстоятельство также следует принимать во внимание.

В последнее столетие появилось много таких отраслей производства, которые почти на 100% состоят из одной информации, например, дизайн, создание программного обеспечения, реклама и другие [27].

Столь же ярко демонстрирует повышение роли информации в производственных процессах появление в XX веке такого занятия, как промышленный шпионаж. Не материальные ценности, а чистая информация становится объектом похищения.

С повышением значимости и ценности информации соответственно растёт и важность её защиты.

Основные постулаты по защите информации можно сформулировать следующим образом:

Первый постулат: абсолютно надежную, непреодолимую защиту создать нельзя. Система защиты информации может быть в лучшем случае адекватна потенциальным угрозам. Поэтому при планировании защиты необходимо представлять, кого и какая именно информация может интересовать, какова ее ценность и на какие финансовые жертвы ради нее способен пойти злоумышленник.

Из первого постулата вытекает второй: Система защиты информации должна быть комплексной, т. е. использующей не только технические средства за-щиты, но также административные и правовые.

Третий постулат состоит в том, что СЗИ должна быть гибкой и адаптируемой к изменяющимся условиям. Главную роль в этом играют административные (или организационные) мероприятия, такие, например, как регулярная смена паролей и ключей, строгий порядок их хранения, анализ журналов регистрации событий в системе, правильное распределение полномочий пользователей и многое другое. Человек, отвечающий за все эти действия, должен быть не только преданным сотрудником, но и высококвалифицированным специалистом, как в области технических средств защиты, так и в области вычислительных средств вообще.

В заключение выделим наиболее известные методы защиты информации от преднамеренного доступа:

- ограничение доступа;

- разграничение доступа;

- разделение доступа (привилегий);

- криптографическое преобразование информации;

- контроль и учет доступа;

- законодательные меры.

Указанные методы осуществлялись чисто организационно или с помощью технических средств. С появлением автоматизированной обработки информации изменился и дополнился новыми видами физический носитель информации и ус-ложнились технические средства ее обработки.

С усложнением обработки, увеличением количества технических средств, участвующих в ней, увеличиваются количество и виды случайных воздействий, а также возможные каналы несанкционированного доступа. С увеличением объемов, сосредоточением информации, увеличением количества пользователей и другими указанными выше причинами увеличивается вероятность преднамеренного несанкционированного доступа к информации. В связи с этим развиваются старые и возникают новые дополнительные методы защиты информации в вычислительных системах:

- методы функционального контроля, обеспечивающие обнаружение и диагно-стику отказов, сбоев аппаратуры и ошибок человека, а также программные ошибки;

- методы повышения достоверности информации;

- методы защиты информации от аварийных ситуаций;

- методы контроля доступа к внутреннему монтажу аппаратуры, линиям связи и технологическим органам управления;

- методы разграничения и контроля доступа к информации;

- методы идентификации и аутентификации пользователей, технических средств, носителей информации и документов;

- методы защиты от побочного излучения и наводок информации.

В целях защиты информации при проектировании базового вычислительного комплекса для построения комплекса средств автоматизации производятся:

- разработка операционной системы с возможностью реализации разграни-чения доступа к информации, хранящейся в памяти вычислительного комплекса;

- изоляция областей доступа;

- разделение базы данных на группы;

- процедуры контроля перечисленных функций. При проектировании ком-плекса средств автоматизации и информационной системы (сети) на их базе производятся:

- разработка и реализация функциональных задач по разграничению и контролю доступа к аппаратуре и информации как в рамках данного комплекса средств автоматизации, так и автоматизированной системы управления (сети) в целом;

- разработка аппаратных средств идентификации и аутентификации пользователя;

- разработка программных средств контроля и управления разграничением доступа;

- разработка отдельной эксплуатационной документации на средства идентификации, аутентификации, разграничения и контроля доступа.

В качестве идентификаторов личности для реализации разграничения широко распространено применение кодов паролей, которые хранятся в памяти пользователя и комплекса средств автоматизации. В помощь пользователю в системах большие значения кодов паролей записываются на специальные носители — электронные ключи или карточки.

Сегодня на первый план выдвигается задача разработки комплексных решений на основе анализа всех процессов в защищаемой информационной системе, включая внешние связи, системы документооборота, организационную структуру предприятия [19]. При этом система защиты должна быть максимально гибкой и строиться на принципах масштабируемости и преемственности внедряемых решений.

Список литературы

1. Астахов, А. Искусство управления информационными рисками [Текст] / А. Астахов. – М.: Издательство «ДМК», 2009. - 312 с. - ISBN: 5-94074-574-1.

2. Гаценко, О. Ю. Защита информации [Текст]: основы организационного управления / О. Ю. Гаценко. - CПб.: Изд. дом «Сентябрь», 2001. - 228 с. - ISBN 5-94234-015-3.

3. Гришина, Н.В. Организация комплексной системы защиты информации [Текст] / Н.В. Гришина. СПб.: Гелиос АРВ. 2007, - 256 с. - ISBN: 5-85438-171-0.

4. Девянин, П. Н. Теоретические основы компьютерной безопасности [Текст]: учебное пособие для вузов / П. Н. Девянин, О. О. Михальский, Д. И. Правиков, А. Ю. Щеобаков. - М.: Радио и связь, 2000. – 192 с.

5. Джоел, С. Секреты хакеров. Безопасность Microsoft Windows Server 2003 [Текст] / Джоел Скембрей, Стюарт Мак-Клар. - М.: «Вильямс», 2004. – 237 с. - ISBN 5-2310-1061-9.

6. Завгородний, В. И. Комплексная защита информации в компьютерных сис-темах [Текст]: учеб. пособие для вузов / В. И. Завгородний. - М.: Логос, 2001. – 264 с. - ISBN 5-94010-088-0.

7. Ищейнов, В. Защита конфиденциальной информации [Текст] / В. Ищейнов, М. Мецатунян. СПб.: Форум, 2009. – 256 с. - ISBN: 5-91134-336-3.

8. Конахович, Г. Защита информации в телекоммуникационных системах [Текст] / Г. Конахович. М.: МК-Пресс. 2005, - 288 с. - ISBN: 966-8806-03-4.

9. Кузнецов, А.А. Защита деловой информации: секреты безопасности [Текст] / А.А. Кузнецов. – М.: Экзамен, 2008. - 255 с. - ISBN: 5-377-00698-4.

10. Куприянов, А. И. Основы защиты информации [Текст]: учеб. пособие для студ. высш. учебных заведений / А. И. Куприянов, А. В. Сахаров, В. А. Шев-цов. – М.: Издательский центр «Академия», 2006. – 256 с. – ISBN 5-7695-2438-3.

11. Курбатов, В. Руководство по защите от внутренних угроз информационной безопасности [Текст] / В. Курбатов, В. Скиба. СПб.: Питер. 2008, - 320 с. - ISBN: 5-91180-855-2.

12. Меньшаков, Ю. К. Защита объектов и информации от технических средств разведки [Текст]: учеб. пособие / Ю. К. Меньшаков. - М : Рос. гос. гуманитарный ун-т, 2002. - 399 с. - ISBN 5-7281-0487-8.

13. Морозов, Н. П. Защита деловой информации для всех [Текст] / Н. П. Моро-зов, С. Б. Чернокнижный. - CПб.: Весь, 2003. - 160 с. - ISBN 5-9573-0048-9.

14. Немет, Э. Руководство администратора Linux. Установка и настройка [Текст] / Эви Немет, Гарт Снайдер, Трент Хейн. - 2-е изд. - М.: «Вильямс», 2007. – 1072 с. - ISBN: 9-7858-4591-6.

15. Орлов, С.А. Технологии разработки программного обеспечения [Текст] / С.А. Орлов. - СПб: Питер, 2002. - 464 с. ISBN: 5-94723-145-X.

16. Панасенко, С. Алгоритмы шифрования. Специальный справочник [Текст] / С. Панасенко. – СПб.: БХВ-Петербург, 209. – 576 с. - ISBN: 5-9775-0319-9.

17. Петраков, М. Информационная безопасность и защита информации [Текст] / А. Петраков, В. Мельников, С. Клейменов. – 2-е издание. – СПб.: Academia, 2008. – 336 с. - ISBN: 5-7695-4884-3.

18. Попов, И. Защита информации в персональном компьютере [Текст] / И. Попов, Н. Емельянова, Т. Партыка. СПб.: Форум, 2009. - 368 с. - ISBN: 5-91134-328-2.

19. Прокофьев, И. В. Защита информации в информационных интегрированных системах [Текст]: учебник / И. В. Прокофьев. - М.: Европейский центр по качеству, 2002. - 138 с. - ISBN 5-94768-024-6.

20. Романец, Ю. В. Защита информации в компьютерных системах и сетях [Текст] / Ю. В. Романец, П. А. Тимофеев, В. Ф. Шаньгин; под ред. В. Ф. Шаньгина. - 2-е изд., перераб. и доп. - М.: Радио и связь, 2001. - 376 с. - ISBN 5-256-01518-4.

21. Смит, Р.Э. Аутентификация: от паролей до открытых ключей [Текст] / Ричард Э. Смит. - М.: «Вильямс», 2002. – 432 с. - ISBN: 5-8459-0341-6.

22. Стюарт, М. Секреты хакеров. Безопасность сетей [Текст] / Стюарт Мак-Клар, Джоэл Скембрей, Джордж Курц. - М.: «Вильямс», 2004. – 656 с. - ISBN: 5-8459-0603-2.

23. Фленов, М. Web-сервер глазами хакера [Текст] / М. Фленов. - 2-е издание. - СПб.: BHV, 2009. – 320 с. - ISBN: 5-9775-0471-3.

24. Хорев, П. Методы и средства защиты информации в компьютерных системах [Текст] / П. Хореев. СПб.: Academia. 2008, - 256 с. - ISBN: 5-7695-1839-1.

25. Хорев, П. Программно-аппаратная защита информации [Текст]: учебное пособие / П.Хорев. СПб.: Форум, 2009. - 352 с. - ISBN: 5-91134-353-3.

26. Хорошко, Д. Методы и средства защиты информации [Текст] / В. Хорошко, Д. Перегудов, С. Ленков. СПб.: Арий, 2008. – 464 с. - ISBN: 978-966-498-21-7.

27. Чейз, Р.Б. Производственный и операционный менеджмент [Текст] / Чейз Ричард Б., Эквилайн Николас Дж., Якобс Роберт Ф. - 8-е издание.: Пер. с англ. – М.: «Вильямс», 2003. - 704 с. ISBN: 5-8459-0157-X.

28. Шаньгин, В. Комплексная защита информации в корпоративных системах [Текст]: учебное пособие / В.Шаньгин. СПб.: Форум, 2009. - 592 с. - ISBN: 5-8199-0411-7.

29. Шиффман, М. Защита от хакеров. Анализ 20 сценариев [Текст] / Майк Шиффман. - М.: «Вильямс», 2002. – 304 с. - ISBN: 5-8459-0318-1.

30. Щеглов, А. Ю. Защита компьютерной информации от несанкционированного доступа [Текст] / А. Ю. Щеглов. - CПб.: Наука и техника, 2004. - 384 с. - ISBN 5-94387-123-3.

Примечания

Приложения:

1. Иллюстрация процесса передачи данных

2. Задача: используя таблицу Виженера для латинского алфавита и произвольный ключ, зашифровать сообщение «To be or not to be, that is the question».

Список сокращений

Глоссарий

Презентация (18 слайдов)

Доклад (6 страниц)