Презентация на тему: Безопасность информационных систем Шифрование

1 из 56

Презентация на тему: Безопасность информационных систем Шифрование

№ слайда 1

Описание слайда:

№ слайда 2

Описание слайда:

Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. Защита информации – комплекс мероприятий, направленных на обеспечение информационной безопасности.

№ слайда 3

Описание слайда:

Угроза информационной безопасности (ИБ) – потенциально возможное событие, действие, процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. Угроза информационной безопасности (ИБ) – потенциально возможное событие, действие, процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. Попытка реализации угрозы называется атакой. Классификация угроз ИБ можно выполнить по нескольким критериям: по аспекту ИБ (доступность, целостность, конфиденциальность); по компонентам ИС, на которые угрозы нацелены (данные, программа, аппаратура, поддерживающая инфраструктура); по способу осуществления (случайные или преднамеренные действия природного или техногенного характера); по расположению источника угроз (внутри или вне рассматриваемой ИС).

№ слайда 4

Описание слайда:

Вне зависимости от конкретных видов угроз информационная система должна обеспечивать базовые свойства информации и систем ее обработки: Вне зависимости от конкретных видов угроз информационная система должна обеспечивать базовые свойства информации и систем ее обработки: доступность – возможность получения информации или информационной услуги за приемлемое время; целостность – свойство актуальности и непротиворечивости информации, ее защищенность от разрушения и несанкционированного изменения; конфиденциальность – защита от несанкционированного доступа к информации.

№ слайда 5

Описание слайда:

Часть информации, хранящейся и обрабатываемой в ИС, должна быть сокрыта от посторонних. Передача данной информации может нанести ущерб как организации, так и самой информационной системе. Часть информации, хранящейся и обрабатываемой в ИС, должна быть сокрыта от посторонних. Передача данной информации может нанести ущерб как организации, так и самой информационной системе. Конфиденциальная информация может быть разделена на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, однако ее раскрытие может привести к несанкционированному доступу ко всей информации. Предметная информация содержит информацию, раскрытие которой может привести к ущербу (экономическому, моральному) организации или лица. Средствами атаки могут служить различные технические средства (подслушивание разговоров, сети), другие способы (несанкционированная передача паролей доступа и т.п.). Важный аспект – непрерывность защиты данных на всем жизненном цикле ее хранения и обработки. Пример нарушения – доступное хранение резервных копий данных.

№ слайда 6

Описание слайда:

Такие средства могут быть классифицированы по следующим признакам: Такие средства могут быть классифицированы по следующим признакам: технические средства – различные электрические, электронные и компьютерные устройства; физические средства – реализуются в виде автономных устройств и систем; программные средства – программное обеспечение, предназначенное для выполнения функций защиты информации; криптографические средства – математические алгоритмы, обеспечивающие преобразования данных для решения задач информационной безопасности; организационные средства – совокупность организационно-технических и организационно-правовых мероприятий; морально-этические средства – реализуются в виде норм, сложившихся по мере распространения ЭВМ и информационных технологий; законодательные средства – совокупность законодательных актов, регламентирующих правила пользования ИС, обработку и передачу информации.

№ слайда 7

Описание слайда:

Одним из способов защиты данных, предоставляемых Интернет-службами, является метод SSL-шифрования и аутентификации на веб-сайтах. Одним из способов защиты данных, предоставляемых Интернет-службами, является метод SSL-шифрования и аутентификации на веб-сайтах. Используются три вида сертификатов: Сертификаты сервера; Сертификаты клиента; Сертификаты подписывания кода.

№ слайда 8

Описание слайда:

Сертификаты сервера обеспечивают метод шифрования данных, передаваемых через сеть посредством SSL и методы идентификации сервера. Сертификаты сервера обеспечивают метод шифрования данных, передаваемых через сеть посредством SSL и методы идентификации сервера. Методы позволяют клиенту быть уверенным в подлинности сайта, который он посетил.

№ слайда 9

Описание слайда:

Сертификаты клиента обеспечивают идентификацию клиента на сервере, что позволяет серверу определить, кем на самом деле является клиент. Сертификаты клиента обеспечивают идентификацию клиента на сервере, что позволяет серверу определить, кем на самом деле является клиент. Данная аутентификация является более предпочтительной по сравнению с базовой. Сертификаты клиентов не поддерживают шифрование данных.

№ слайда 10

Описание слайда:

Сертификаты подписывания кода обеспечивают метод шифрового «подписывания» приложения посредством цифрового идентификатора, созданного на основе содержимого приложения. Сертификаты подписывания кода обеспечивают метод шифрового «подписывания» приложения посредством цифрового идентификатора, созданного на основе содержимого приложения. Если в приложении произошли изменения, то цифровой идентификатор теряет соответствие этому приложению и пользователь получает уведомление. Сертификаты подписывания не поддерживают шифрования приложений.

№ слайда 11

Описание слайда:

Цифровые сертификаты используют ключи при шифровании данных. Цифровые сертификаты используют ключи при шифровании данных. Ключ – фрагмент данных, используемых криптографической системой для преобразования открытого текста в шифрованный текст. Криптографическое преобразование (шифрование) – это математический алгоритм преобразования цифровых данных.

№ слайда 12

Описание слайда:

Для обеспечения защиты информации в распределенных информационных системах активно применяются криптографические средства защиты информации. Для обеспечения защиты информации в распределенных информационных системах активно применяются криптографические средства защиты информации. Сущность криптографических методов заключается в следующем:

№ слайда 13

Описание слайда:

При создании пары ключей (в алгоритмах несимметричного шифрования) для использования на веб-сайте, запрашивается сертификат SSL X.509 у бюро сертификатов – сервера, выпускающего сертификаты. При создании пары ключей (в алгоритмах несимметричного шифрования) для использования на веб-сайте, запрашивается сертификат SSL X.509 у бюро сертификатов – сервера, выпускающего сертификаты. Бюро сертификатов может организовывать иерархическую структуру - авторизовать (уполномочить) любое число сертификатов, те, в свою очередь, другие бюро и т.д. Первое бюро сертификатов называется корневым.

№ слайда 14

Описание слайда:

На клиенте может быть установлен набор сертификатов по умолчанию, выпустившие их бюро сертификатов являются доверенными. На клиенте может быть установлен набор сертификатов по умолчанию, выпустившие их бюро сертификатов являются доверенными. При представлении клиенту сертификата SSL клиент выяснит, имеется ли в его кэше соответствующий сертификат. При наличие сертификата клиент проверяет подпись бюро сертификатов при помощи открытого ключа, находящегося в кэше, осуществив аутентификацию сервера. Если сертификат отсутствует в кэше, клиент запросит сертификат и повторит проверку сертификата.

№ слайда 15

Описание слайда:

№ слайда 16

Описание слайда:

Для установки собственного бюро сертификатов необходима установка служб сертификатов на сервер. Для установки собственного бюро сертификатов необходима установка служб сертификатов на сервер. Установка выполняется стандартным образом с помощью мастера установки и удаления программ. Установка различается для разных типов бюро: Корпоративное корневое бюро сертификатов Корпоративное подчиненное бюро сертификатов Отдельное корневое бюро сертификатов Подчиненное бюро сертификатов.

№ слайда 17

Описание слайда:

№ слайда 18

Описание слайда:

№ слайда 19

Описание слайда:

№ слайда 20

Описание слайда:

№ слайда 21

Описание слайда:

Для обеспечения защиты данных в информационных системах проводится анализ угроз информационной безопасности, строится модель действий нарушителя и вырабатываются меры по противодействию. Для обеспечения защиты данных в информационных системах проводится анализ угроз информационной безопасности, строится модель действий нарушителя и вырабатываются меры по противодействию. Для упрощения анализа и выработки мер строится многослойная модель защиты.

№ слайда 22

Описание слайда:

№ слайда 23

Описание слайда:

№ слайда 24

Описание слайда:

Одним из средств защиты данных является механизм управления доступом. Одним из средств защиты данных является механизм управления доступом. Управление доступом на уровне данных в ОС Windows 2000/XP/2003 эффективно выполняется на носителях с файловой системой NTFS. Файловая система NTFS обеспечивает поддержку хранения списков прав доступа (ACL) и механизм их использования при выдаче разрешений и запретов на операции с файлами и каталогами.

№ слайда 25

Описание слайда:

Управление доступом к локальным папкам и каталогам на разделах NTFS выполняется с помощью специальной закладки Безопасность в окне Свойство папки или каталога. Управление доступом к локальным папкам и каталогам на разделах NTFS выполняется с помощью специальной закладки Безопасность в окне Свойство папки или каталога. Управляющие кнопки Добавить и Удалить обеспечивают управление пользователями, нижнее окно позволяет устанавливать разрешения для выбранного объекта. Поддерживается групповое управление.

№ слайда 26

Описание слайда:

Для управления разрешениями в режиме командной строки используется команда cacls. Для управления разрешениями в режиме командной строки используется команда cacls. Синтаксис данной команды: cacls имя_файла ]] ] ] Ключи команды: /t - Изменение таблиц контроля доступа (DACL) указанных файлов в текущем каталоге и всех подкаталогах /e - Редактирование таблицы управления доступом (DACL) вместо ее замены /r пользователь - Отмена прав доступа для указанного пользователя. Недопустим без параметра /e /c - Продолжение внесения изменений в таблицы управления доступом (DACL) с игнорированием ошибок /g пользователь:разрешение – Предоставление прав доступа указанному пользователю /p пользователь:разрешение - Смена прав доступа для указанного пользователя /d пользователь - Запрещение доступа для указанного пользователя

№ слайда 27

Описание слайда:

Шифрованная файловая система (Encrypting File System, EFS) позволяет безопасно хранить данные. EFS делает это возможным благодаря шифрованию данных в выбранных файлах и папках файловой системы NTFS. Шифрованная файловая система (Encrypting File System, EFS) позволяет безопасно хранить данные. EFS делает это возможным благодаря шифрованию данных в выбранных файлах и папках файловой системы NTFS. Файлы и папки на томах с файловой системой FAT не могут быть зашифрованы или расшифрованы. EFS разработана для безопасного хранения данных на локальных компьютерах. Поэтому она не поддерживает безопасную передачу файлов по сети.

№ слайда 28

Описание слайда:

Шифрование файлов происходит следующим образом: Шифрование файлов происходит следующим образом: Каждый файл имеет уникальный ключ шифрования файла, который позже используется для расшифровки данных файла. Ключ шифрования файла сам по себе зашифрован - он защищен открытым ключом пользователя, соответствующим сертификату EFS. Ключ шифрования файла также защищен открытым ключом каждого дополнительного пользователя EFS, уполномоченного расшифровывать файлы, и ключом каждого агента восстановления. Сертификат и закрытый ключ системы EFS могут быть выданы несколькими источниками. Сюда входит автоматическое создание сертификатов и выдача сертификатов центрами сертификации (ЦС) корпорации Майкрософт или сторонними центрами сертификации

№ слайда 29

Описание слайда:

Расшифровка файлов происходит следующим образом: Расшифровка файлов происходит следующим образом: Для расшифровки файла необходимо сначала расшифровать его ключ шифрования. Ключ шифрования файла расшифровывается, если закрытый ключ пользователя совпадает с открытым. Не только пользователь может расшифровать ключ шифрования файла. Другие назначенные пользователи или агенты восстановления также могут расшифровать ключ шифрования файла, используя собственный закрытый ключ. Закрытые ключи содержатся в защищенном хранилище ключей, а не в диспетчере учетных записей безопасности (Security Account Manager, SAM) или в отдельном каталоге.

№ слайда 30

Описание слайда:

Если пользователям рабочей среды семейства Windows Server 2003 или Windows XP нужно хранить зашифрованные файлы на удаленных серверах, необходимо помнить. Если пользователям рабочей среды семейства Windows Server 2003 или Windows XP нужно хранить зашифрованные файлы на удаленных серверах, необходимо помнить. В семействе Windows Server 2003 и Windows XP поддерживается хранение зашифрованных файлов на удаленных серверах. Пользователи могут удаленно применять шифрованную файловую систему только тогда, когда оба компьютера являются членами одного леса семейства Windows Server 2003. Зашифрованные данные не шифруются при передаче по сети, а только при сохранении на диске. Исключения составляют случаи, когда система включает протокол IPSec или протокол WebDAV. IPSec шифрует данные при передаче по сети TCP/IP. Если файл был зашифрован перед копированием или перемещением в папку WebDAV на сервере, он останется зашифрованным при передаче и во время хранения на сервере. Не поддерживается хранение сертификатов и закрытых ключей шифрованной файловой системы на смарт-картах. Не поддерживается усиленная защита закрытых ключей для закрытых ключей EFS.

№ слайда 31

Описание слайда:

Шифрованная файловая система (EFS) с помощью криптографии открытого ключа шифрует содержимое файлов. В ней применяются ключи, полученные от сертификата пользователя и дополнительных пользователей, а также от назначенных агентов восстановления шифрованных данных, которые настроены. Шифрованная файловая система (EFS) с помощью криптографии открытого ключа шифрует содержимое файлов. В ней применяются ключи, полученные от сертификата пользователя и дополнительных пользователей, а также от назначенных агентов восстановления шифрованных данных, которые настроены. Сертификаты, используемые файловой системой EFS, могут быть получены в центре сертификации (ЦС) или же автоматически созданы компьютером. При получении EFS сертификата в центре сертификации необходима ссылка сертификата на поставщика службы криптографии (CSP) и соответствующий идентификатор объекта (OID). В EFS возможно использование основного или расширенного CSP. Сертификаты и закрытые ключи от всех назначенных агентов восстановления шифрованных данных необходимо экспортировать на съемный диск или хранить в безопасности до тех пор, пока они не понадобятся.

№ слайда 32

Описание слайда:

Для выполнения шифрования данных можно воспользоваться кнопкой Другие в закладке Свойства файла. Для выполнения шифрования данных можно воспользоваться кнопкой Другие в закладке Свойства файла. Для удобства пользователя зашифрованные папки и файлы отображаются другим цветом.

№ слайда 33

Описание слайда:

Для просмотра информации о зашифрованных файлах можно воспользоваться утилитой efsinfo Для просмотра информации о зашифрованных файлах можно воспользоваться утилитой efsinfo Синтаксис команды efsinfo [Путь[,Путь...]] efsinfo /t: каталог

№ слайда 34

Описание слайда:

Отображение или изменение шифрование папок и файлов на томах NTFS. Отображение или изменение шифрование папок и файлов на томах NTFS. Использованная без параметров команда cipher отображает состояние шифрования текущей папки и всех файлов, находящихся в ней. Синтаксис команды cipher [{/e | /d}] ] [{путь [...]] | /r:имя_файла_без_расширения | /w:путь | /x[:путь] имя_файла_без_расширения}]

№ слайда 40

Описание слайда:

Служба Маршрутизация и удаленный доступ (Routing and Remote Access, RRAS) в Windows 2003 – программный многопротокольный маршрутизатор, который может быть объединен с другими функциями ОС, такими как управление безопасностью на основе учетных записей и групповых политик. Служба Маршрутизация и удаленный доступ (Routing and Remote Access, RRAS) в Windows 2003 – программный многопротокольный маршрутизатор, который может быть объединен с другими функциями ОС, такими как управление безопасностью на основе учетных записей и групповых политик. Служба поддерживает маршрутизацию между различными ЛВС, между ЛВС и WAN-каналами, VPN- и NAT- маршрутизацию в IP-сетях.

Описание слайда:

При установки Windows server 2003 служба Маршрутизация и удаленный доступ отключена. При установки Windows server 2003 служба Маршрутизация и удаленный доступ отключена. Ее активация выполняется с помощью Мастера настройки сервера маршрутизации и удаленного доступа. Если сервер маршрутизации является рядовым членом домена Active Directory, то он должен быть включен в группу Серверы RAS и IAS. Контроллеры домена в дополнительной настройке не нуждаются.

№ слайда 43

Описание слайда:

Консоль управления Маршрутизация и удаленный доступ представляет собой стандартную оснастку консоли управления в Windows. В конфигурации по умолчанию поддерживается маршрутизация в ЛВС. Консоль управления Маршрутизация и удаленный доступ представляет собой стандартную оснастку консоли управления в Windows. В конфигурации по умолчанию поддерживается маршрутизация в ЛВС.

№ слайда 44

Описание слайда:

Сетевой интерфейс в консоли управления – программный компонент, подключаемый к физическому устройству (модему или сетевой плате). Сетевой интерфейс в консоли управления – программный компонент, подключаемый к физическому устройству (модему или сетевой плате). Все интерфейсы, через которые необходимо маршрутизировать трафик должны присутствовать в консоли управления. Если необходимо сконфигурировать маршрутизацию через подключение по требованию или постоянное подключение по коммутируемой линии, VPN или PPOE-подключение (Point-to-Point Protocol over Ethernet), необходимо выполнить конфигурирование интерфейсов в ручную.

Описание слайда:

При выборе данного пути сервер со службой маршрутизации и удаленного доступа настроен для разрешения подключения клиентов удаленного доступа к частной сети с помощью вызова банка модема или другого оборудования удаленного доступа. При выборе данного пути сервер со службой маршрутизации и удаленного доступа настроен для разрешения подключения клиентов удаленного доступа к частной сети с помощью вызова банка модема или другого оборудования удаленного доступа. Дополнительные настройки: установка ответа сервера на вызов; установка разрешений для клиентов удаленного доступа для подключения к частной сети и перенаправления сетевого трафика между клиентами удаленного доступа и частной сетью.

№ слайда 47

Описание слайда:

При выборе данного пути сервер со службой маршрутизации и удаленного доступа настроен для разрешения подключения клиентов удаленного доступа к частной сети через Интернет. При выборе данного пути сервер со службой маршрутизации и удаленного доступа настроен для разрешения подключения клиентов удаленного доступа к частной сети через Интернет. После окончания работы мастера можно настроить дополнительные параметры. Например, можно настроить: как сервер проверяет разрешения клиентов VPN для подключения к частной сети и направляет ли сервер сетевой трафик между клиентами VPN и частной сетью.

№ слайда 48

Описание слайда:

При выборе данного пути сервер со службой маршрутизации и удаленного доступа настроен для совместного использования с компьютерами частной сети подключения к Интернету и для передачи трафика между общим адресом и частной сетью. При выборе данного пути сервер со службой маршрутизации и удаленного доступа настроен для совместного использования с компьютерами частной сети подключения к Интернету и для передачи трафика между общим адресом и частной сетью. После окончания работы мастера можно настроить дополнительные параметры. Например, можно настроить фильтры пакетов и выбрать службы для общего интерфейса.

№ слайда 49

Описание слайда:

Узел ip – маршрутизация используется дла настройки основных параметров по протоколу IP. Узел ip – маршрутизация используется дла настройки основных параметров по протоколу IP. По умолчанию содержится три подузла: Общие Статические маршруты NAT / простой брандмауэр

№ слайда 50

Описание слайда:

№ слайда 51

Описание слайда:

Мрашрутизаторы считывают адреса назначения пакетов и переправляют пакеты в соответствии с информацией, хранящейся в таблицах маршрутизации. Мрашрутизаторы считывают адреса назначения пакетов и переправляют пакеты в соответствии с информацией, хранящейся в таблицах маршрутизации. Отдельные записи таблицы маршрутизации называются маршрутами. Существуют три типа маршрута: Маршрут узла – определяет ссылку на определенный узел или широковещательный адрес. Маска маршрута – 255.255.255.255; Маршрут сети – определяет маршрут к определенной сети, а соответствующее поле в таблицах маршрутизации может содержать произвольную маску; Маршрут по умолчанию – один маршрут, по которому отправляются все пакеты, чей адрес не совпадает ни с одним адресов таблицы маршрутизации. Просмотр таблицы маршрутизации может быть выполнен с помощью команд route print netstat -r

№ слайда 52

Описание слайда:

Защита периметра сети предусматривает создание условий препятствующих проникновению постороннего трафика из внешней сети во внутреннюю сеть организации (и возможно ограничение трафика из внутренней сети во внешнюю). Защита периметра сети предусматривает создание условий препятствующих проникновению постороннего трафика из внешней сети во внутреннюю сеть организации (и возможно ограничение трафика из внутренней сети во внешнюю). Одним из средств защиты является использование брандмауэров (межсетевых экранов).

№ слайда 56

Описание слайда:

Интернет приложения используют HTTP для туннелирования трафика приложений Интернет приложения используют HTTP для туннелирования трафика приложений ISA Server 2004 включает HTTP фильтры для: Обеспечения контроля за всем HTTP трафиком Обеспечения URLScan функциональности по периметру сети организации Возможность объединения с URLScan внутренних веб-серверов для обеспечения согласования разрешенного трафика HTTP фильтры могут обеспечить фильтрацию: На основе анализа HTTP запросов, ответов, заголовков и содержания контента На основе расширений файлов, методов передачи и цифровых подписей

Информационные угрозы Случайные: Ошибки пользователя Ошибки в програмировании Отказ, сбой аппаратуры Форс-мажорные обстоятельства Случайные: Ошибки пользователя Ошибки в програмировании Отказ, сбой аппаратуры Форс-мажорные обстоятельства Преднамеренные: Хищение информации Компьютерные вирусы Физическое воздействие на аппаратуру Преднамеренные: Хищение информации Компьютерные вирусы Физическое воздействие на аппаратуру

Каналы, по которым можно осуществить хищение, изменение или уничтожение информации: Через человека: хищение носителей информации; чтение информации с экрана или клавиатуры; чтение информации из распечатки. Через человека: хищение носителей информации; чтение информации с экрана или клавиатуры; чтение информации из распечатки. Через программу: перехват паролей; дешифровка зашифрованной информации; копирование информации с носителя. Через программу: перехват паролей; дешифровка зашифрованной информации; копирование информации с носителя. Через аппаратуру: подключение специально разработанных аппаратных средств, обеспечивающих доступ к информации; перехват побочных электромагнитных излучений от аппаратуры, линий связи, сетей электропитания и т.д Через аппаратуру: подключение специально разработанных аппаратных средств, обеспечивающих доступ к информации; перехват побочных электромагнитных излучений от аппаратуры, линий связи, сетей электропитания и т.д

СОБЛЮДЕНИЕ РЕЖИМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ: законодательный уровень: законы, нормативные акты, стандарты и т.п. морально-этический уровень: нормы поведения, несоблюдение которых ведет к падению престижа конкретного человека или целой организации; административный уровень: действия общего характера, предпринимаемые руководством организации; физический уровень: механические, электро- и электронно-механические препятствия на возможных путях проникновения потенциальных нарушителей; аппаратно-программный уровень: электронные устройства и специальные программы защиты информации.

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ при использовании программного обеспечения сторонних разработчиков: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ при использовании программного обеспечения сторонних разработчиков: commercial software demoware или trialware shareware freeware коммерческое программное обеспечение, созданное с целью получения прибыли от его использования другими демонстрационная версия коммерческого программного обеспечения (demoware или trialware), распространяемая бесплатно, но имеющая определенные ограничения функциональности, по сравнению с основной версией условно-бесплатное программное обеспечение, использование которого связано с выполнением каких-то условий бесплатное программное обеспечение, лицензионное соглашение которого не требует каких-либо выплат правообладателю

Commercial software demoware или trialware shareware freeware коммерческое программное обеспечение, созданное с целью получения прибыли от его использования другими демонстрационная версия коммерческого программного обеспечения (demoware или trialware), распространяемая бесплатно, но имеющая определенные ограничения функциональности, по сравнению с основной версией условно-бесплатное программное обеспечение, использование которого связано с выполнением каких-то условий бесплатное программное обеспечение, лицензионное соглашение которого не требует каких-либо выплат правообладателю ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ при использовании программного обеспечения сторонних разработчиков: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ при использовании программного обеспечения сторонних разработчиков: - при установке программы необходимо внимательно ознакомиться с содержанием лицензионного соглашением и строго выполнять его; - не пользоваться «пиратскими» способами преобразования платных программ в бесплатные; - устанавливать бесплатное (freeware) программное обеспечение, полученное только от надежных источников; - своевременно производить обновление установленного программного обеспечения.

Во время работы с информацией в сети ИНТЕРНЕТ остерегайтесь: веб-сайтов, собирающих или предоставляющих информацию о вас; провайдеров интернет-служб или работодателей, отслеживающих посещенные вами страницы; вредоносных программ, отслеживающих нажатия клавиш; сбора данных скрытыми клиентскими приложениями; «скаченной» информации не прошедшей проверку антивирусной программой.
Контрольные вопросы: 1.Что означает термин «информационная безопасность»? 2.Какие бывают информационные угрозы? 3.Назовите каналы, по которым может осуществляться хищение, изменение, уничтожение информации. 4.По каким направлениям проводятся мероприятия, направленные на соблюдение режима информационной безопасности? 5.Что нужно знать при инсталляции (установке) нового программного обеспечения на компьютер? 6.С какими опасностями можно встретиться во время работы в сети интернет?

ГБОУ СПО «Клинцовский педагогический колледж» Кабинет информатики Космачев Владимир Константинович

Понятие ИБ ИБ-Защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Три кита Доступность – это возможность за приемлемое время получить требуемую информационную услугу. Целостностью - актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения. Конфиденциальность – это защита от несанкционированного доступа к информации

Понятие ИБ "Компьютерная безопасность" (как эквивалент или заменитель ИБ) слишком узкий подход Компьютеры – только одна из составляющих информационных систем Безопасность определяется всей совокупностью составляющих и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек (записавший, например, свой пароль на "горчичнике", прилепленном к монитору).

«Неприемлемый ущерб» Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя

Угроза – это потенциальная возможность определенным образом нарушить информационную безопасность. Попытка реализации угрозы называется атакой, а тот, кто предпринимает такую попытку, – злоумышленником (malicious) Потенциальные злоумышленники называются источниками угрозы.

Классификация угроз по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь; по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура); по способу осуществления (случайные/преднамеренные действия природного/техногенного характера); по расположению источника угроз (внутри/вне рассматриваемой ИС).

Угрозы доступности Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. По некоторым данным, до 65% потерь – следствие непреднамеренных ошибок. Пожары и наводнения не приносят столько бед, сколько безграмотность и небрежность в работе. Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками – максимальная автоматизация и строгий контроль

Отказ пользователей Нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками); Невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.); Невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.).

Внутренние отказы Отступление (случайное или умышленное) от установленных правил эксплуатации; Выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.); Ошибки при (пере)конфигурировании системы; Отказы программного и аппаратного обеспечения; Разрушение данных; Разрушение или повреждение аппаратуры.

Отказ поддерживающей инфраструктуры Нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования; Разрушение или повреждение помещений; Невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).

"обиженные" сотрудники Весьма опасны так называемые "обиженные" сотрудники – нынешние и бывшие. Как правило, они стремятся нанести вред организации- "обидчику", например: испортить оборудование; встроить логическую бомбу, которая со временем разрушит программы и/или данные; удалить данные. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались.

Стихийные бедствия стихийные бедствия и события, воспринимаемые как стихийные бедствия,– грозы, пожары, наводнения, землетрясения, ураганы. По статистике, на долю огня, воды и тому подобных "злоумышленников" (среди которых самый опасный – перебой электропитания) приходится 13% потерь, нанесенных информационным системам

Вредоносное программное обеспечение Вредоносная функция; Способ распространения; Внешнее представление. Т.н. "бомбы" предназначаются для: внедрения другого вредоносного ПО; получения контроля над атакуемой системой; агрессивного потребления ресурсов; изменения или разрушения программ и/или данных.

По механизму распространения различают: вирусы – код, обладающий способностью к распространению (возможно, с изменениями) путем внедрения в другие программы; "черви" – код, способный самостоятельно, то есть без внедрения в другие программы, вызывать распространение своих копий по ИС и их выполнение (для активизации вируса требуется запуск зараженной программы).

Основные угрозы целостности Статическая целостность ввести неверные данные; изменить данные. Динамическая целостность нарушение атомарности транзакций, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т.п.). Соответствующие действия в сетевой среде называются активным прослушиванием.

Основные угрозы конфиденциальности Служебная информация (пароли) Предметная информация Перехват данных - Технические средства перехвата хорошо проработаны, доступны, просты в эксплуатации, а установить их, например на кабельную сеть, может кто угодно, так что эту угрозу нужно принимать во внимание по отношению не только к внешним, но и к внутренним коммуникациям Маскарад-представление за другого Злоупотребление полномочиями

Первый шаг при построении системы ИБ организации – детализация аспектов: доступность, целостность, конфиденциальность Важность проблематики ИБ объясняется двумя основными причинами: ценностью накопленных информационных ресурсов; критической зависимостью от информационных технологий. Разрушение важной информации, кража конфиденциальных данных, перерыв в работе вследствие отказа – все это выливается в крупные материальные потери, наносит ущерб репутации организации. Проблемы с системами управления или медицинскими системами угрожают здоровью и жизни людей.

Подтверждением сложности проблематики ИБ является параллельный (и довольно быстрый) рост затрат на защитные мероприятия и количества нарушений ИБ в сочетании с ростом среднего ущерба от каждого нарушения. (Последнее обстоятельство - еще один довод в пользу важности ИБ.)

Российская ситуация Российские правовые акты в большинстве своем имеют ограничительную направленность. Лицензирование и сертификация не обеспечивают безопасности. К тому же в законах не предусмотрена ответственность государственных органов за нарушения ИБ. Реальность такова, что в России в деле обеспечения ИБ на помощь государства рассчитывать не приходится. (Кто переходит на зеленый сигнал светофора).

Оранжевая книга абсолютно безопасных систем не существует, это абстракция. Есть смысл оценивать лишь степень доверия, которое можно оказать той или иной системе. "система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа".

Элементы политики безопасности произвольное управление доступом метод разграничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. (может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту) безопасность повторного использования объектов для областей оперативной памяти и дисковых блоков и магнитных носителей в целом метки безопасности Метка субъекта описывает его благонадежность, метка объекта – степень конфиденциальности содержащейся в нем информации. принудительное управление доступом Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. Смысл сформулированного правила понятен – читать можно только то, что положено.

Стандарт ISO/IEC "Критерии оценки безопасности информационных технологий" идентификация и аутентификация; защита данных пользователя; защита функций безопасности (требования относятся к целостности и контролю данных сервисов безопасности и реализующих их механизмов); управление безопасностью (требования этого класса относятся к управлению атрибутами и параметрами безопасности); аудит безопасности (выявление, регистрация, хранение, анализ данных, затрагивающих безопасность объекта оценки, реагирование на возможное нарушение безопасности); доступ к объекту оценки; приватность (защита пользователя от раскрытия и несанкционированного использования его идентификационных данных); использование ресурсов (требования к доступности информации); криптографическая поддержка (управление ключами); связь (аутентификация сторон, участвующих в обмене данными); доверенный маршрут/канал (для связи с сервисами безопасности).

Административный уровень Главная задача мер административного уровня – сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел. Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Разработка политики и программы безопасности начинается с анализа рисков, первым этапом которого, в свою очередь, является ознакомление с наиболее распространенными угрозами

Главные угрозы – внутренняя сложность ИС, непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. На втором месте по размеру ущерба стоят кражи и подлоги. Реальную опасность представляют пожары и другие аварии поддерживающей инфраструктуры.

Необходимым условием для построения надежной, экономичной защиты является рассмотрение жизненного цикла ИС и синхронизация с ним мер безопасности. Этапы жизненного цикла: инициация; закупка; установка; эксплуатация; выведение из эксплуатации.

Сервисы безопасности идентификация и аутентификация; управление доступом; протоколирование и аудит; шифрование; контроль целостности; экранирование; анализ защищенности; обеспечение отказоустойчивости; обеспечение безопасного восстановления; туннелирование; управление.

Слайдов: 37 Слов: 2177 Звуков: 0 Эффектов: 0

Защита информации. Обеспечение безопасности информации. Постоянное повышение роли информации. Потенциально возможное событие. Классификация угроз информации. Естественные угрозы. Искусственные угрозы. Воздействие сильных магнитных полей. Ошибки в работе аппаратуры. Разглашение. Преднамеренные (умышленные) угрозы. Вывод из строя подсистем. Вскрытие шифров криптозащиты. Несанкционированный доступ к информации. Несанкционированный доступ. Особенности НСД. Необходимость обеспечения юридической значимости. Электромагнитные излучения. Утечка информации. Несанкционированная модификация структур. - Информационная безопасность.ppt

Аспекты информационной безопасности

Слайдов: 20 Слов: 807 Звуков: 0 Эффектов: 5

Гуманитарные аспекты информационной безопасности. Информационная безопасность. Гуманитарный аспект. Комплексная проблема. Гуманитарные проблемы информационной безопасности. Место и роль. Стратегия развития информационного общества. Технология образовательного процесса. Семинары в Середниково. Формирование культуры информационного общества. Культура информационной безопасности. Система ценностей. Индустрия. Вектор развития. Общество. Образование. Многонациональное образование. Сохранение национальной культуры. Наследие Чингисхана. Спасибо за внимание. - Аспекты информационной безопасности.ppt

Проблема информационной безопасности

Слайдов: 32 Слов: 2176 Звуков: 0 Эффектов: 0

Информационная безопасность. Понятие информационной безопасности. Проблемы информационной безопасности. Компьютерная преступность. Глобальное исследование. Угрозы информационной безопасности. Свойства информации. Примеры реализации угрозы. Угрозы нарушения целостности данных. Вредоносное программное обеспечение. Защита информации. Примеры реализации угрозы отказа в доступе. Понятие атаки на информационную систему. Классификация атак. Классификация сетевых атак. Сетевые атаки. Передаваемые сообщения. Модификация потока данных. Создание ложного потока. Повторное использование. - Проблема информационной безопасности.ppt

Основы информационной безопасности

Слайдов: 50 Слов: 1388 Звуков: 0 Эффектов: 0

Основы информационной безопасности. Основные документы. Основные законы. Понятие «информационная безопасность». Государственная политика. Информационная война. Национальные интересы. СМИ. Угрозы информационной безопасности. Объекты защиты информации. Конфиденциальность информации. Целостность информации. Доступность информации. Аппаратно-программные средства. Угрозы проникновения. Противодействие техническим средствам разведки. Способы реализации угроз информационной безопасности. Угрозы раскрытия параметров системы. Угроза нарушения конфиденциальности. Угроза отказа доступа. - Основы информационной безопасности.ppt

Обеспечение информационной безопасности

Слайдов: 21 Слов: 463 Звуков: 0 Эффектов: 3

Информационная безопасность. Динамика изменений информационной среды. Информационное общество и образование. Структура «параллельной школы». Параллельная школа. Цветные гравюры. Еженедельные приложения. Добродетельная гейша. Перспективы современного образования. Требования к образованию. Медиакультура. Медиаобразование в современной образовательной среде. Пути формирования медиакультуры в школе. Школьные СМИ. Техническая оснащенность. Школьная пресса. Региональный центр медиаобразования. Школьное телевидение. Цели формирования медиакультуры. Цели формирования медиакультуры. - Обеспечение информационной безопасности.ppt

Правовые основы информационной безопасности

Слайдов: 26 Слов: 2336 Звуков: 0 Эффектов: 59

Основы информационной безопасности. Информационная безопасность. Меры по обеспечению информационной безопасности. Правовые основы информационной безопасности. Федеральный закон. Деяния, приводящие к повреждению или уничтожению информации. О персональных данных. Уголовный кодекс Российской Федерации. Неправомерный доступ к охраняемой законом компьютерной информации. Создание программ для ЭВМ. Нарушение правил эксплуатации ЭВМ. Наказания за создание вредоносных программ. Знаменитые хакеры. Основы лицензионной политики. Виды ПО. Коммерческое ПО. Пробные версии программ. - Правовые основы информационной безопасности.ppt

Концепция информационной безопасности

Слайдов: 12 Слов: 555 Звуков: 0 Эффектов: 48

Информационная безопасность. Совокупность мер по защите информационной среды. Информационные угрозы. Каналы. Как можно сохранить информацию. Соблюдение режима. Коммерческое программное обеспечение. Программное обеспечение. Интернет. Безопасность. Контрольные вопросы. Клинцовский педагогический колледж. - Концепция информационной безопасности.ppsx

Безопасность персональных данных

Слайдов: 33 Слов: 2583 Звуков: 0 Эффектов: 25

Обеспечение безопасности персональных данных. С чего все началось. Нормативная база по защите ПД. Законодательство о персональных данных. Подзаконные нормативные акты Правительства РФ. Подзаконные нормативные акты ведомств. Методические документы ФСТЭК («ДСП»). Методические документы ФСБ. Полный перечень нормативных правовых актов. Государственные органы. Роскомнадзор. ФЗ «О персональных данных». Определил понятие ПД, выделил специальные категории ПД. Персональные данные - любая информация. Конфиденциальность персональных данных. Информационные системы подразделяются на типовые и специальные. - Безопасность персональных данных.ppt

Класс ИСПДн

Слайдов: 15 Слов: 1401 Звуков: 0 Эффектов: 2

Методология определения класса ИСПДн. Этапы проведения классификации. Исходные данные. Категории персональных данных. Законодательство. Персональные данные. Биометрические персональные данные. Персональные данные субъектов. Типы информационных систем. Структура информационных систем. Технические средства. Классы информационных систем. Таблица для определения класса. Таблица-подсказка. Результаты классификации информационных систем. -

Определения по ГОСТ Р 50922-96Информация (от лат. informatio - «разъяснение,
изложение, осведомлённость») - сведения об
окружающем мире, независимо от формы их
представления.
Защита информации – это деятельность по
предотвращению утечки защищаемой информации,
несанкционированных и непреднамеренных воздействий
на защищаемую информацию.
Объект защиты – информация, носитель информации
или информационный процесс, в отношении которых
необходимо обеспечить защиту в соответствии с
поставленной целью защиты информации.
Цель защиты информации – предотвращение ущерба от
несанкционированного доступа, изменения или
уничтожения информации.
Эффективность защиты информации – степень
соответствия результатов защиты информации цели.

Защита информации от утечки - деятельность по
предотвращению неконтролируемого распространения
защищаемой информации, её разглашения и получения
к ней несанкционированного доступа (НСД).
Защита информации от НСД – это деятельность по
предотвращению получения защищаемой информации
заинтересованным субъектом с нарушением
действующего законодательства, прав или правил
доступа к информации, установленных её собственником
или владельцем.
Система защиты информации –совокупность органов
и/или исполнителей, используемая ими техника защиты
информации, а также объект защиты, организованные и
функционирующие по правилам, установленным
соответствующими правовыми, организационнораспорядительными и нормативными документами по
защите информации.
Под информационной безопасностью (ИБ) понимают
защищенность информации от незаконного
ознакомления, преобразования и уничтожения, а также
защищенность информационных ресурсов от
воздействий, направленных на нарушение их
работоспособности.

К объектам, которым следует обеспечить информационную безопасность, относятся:

Информационные ресурсы;
Система создания, распространения и использования
информационных ресурсов;
Информационная инфраструктура (информационные
коммуникации, сети связи, центры анализа и
обработки данных, системы и средства защиты
информации);
Средства массовой информации;
Права человека и государства на получение,
распространение и использование информации;
Защита интеллектуальной собственности и
конфиденциальной информации

Компоненты автоматизированных систем обработки информации

аппаратные средства - компьютеры, их
составные части, мобильные устройства,
средства АСУ на производстве, транспорте,
связи.
программное обеспечение – приобретенное
ПО, исходные коды программ, операционные
системы, микропрограммы контроллеров и т.п.
данные – хранимые временно или постоянно,
на носителях, архивы, системные журналы.
персонал – обслуживающий персонал и
пользователи системы.

И еще несколько определений…

Конфиденциальность данных - статус, предоставленный
данным и определяющий требуемую степень их защиты.
Конфиденциальная информация должна быть известна только
допущенным (авторизованным) субъектам системы
(пользователям, процессам, программам).
Категорированием защищаемой информации называют
установление градаций важности защищаемой информации.
Под целостностью информации понимается свойство
информации сохранять свою структуру и/или содержание в
процессе передачи и хранения.
Достоверность информации – свойство информации,
выражающееся в строгой принадлежности субъекту, который
является её источником, либо тому субъекту, от которого эта
информация принята.
Юридическая значимость информации означает, что документ
обладает юридической силой.
Доступ к информации – получение субъектом возможности
ознакомления с информацией.
Субъект доступа к информации – участник правоотношений в
информационных процессах.

Собственник информации - субъект, в полном
объеме реализующий полномочия владения,
пользования, распоряжения информацией в
соответствии с законодательством.
Владелец информации – субъект,
осуществляющий владение и пользование
информацией в соответствии с
законодательством.
Пользователь (потребитель) информации –
субъект, пользующийся информацией,
полученной от собственника, владельца или
посредника в соответствии с установленными
правами и правилами доступа к информации.
Правило доступа к информации – совокупность
правил, регламентирующих порядок и условия
доступа субъекта к информации и её
носителям.

Санкционированный доступ к информации - доступ, не

доступа.
Несанкционированный доступ к информации – доступ,
нарушающий установленные правила разграничения
доступа.
Идентификация субъекта – процедура распознавания
субъекта информационного обмена по его
идентификатору (некоторой информации, уникальным
образом связанной с субъектом).
Аутентификация субъекта – проверка подлинности
субъекта с данным идентификатором.
Угроза безопасности АС – действия, способные прямо
или косвенно нанести ущерб её безопасности.
Ущерб безопасности – нарушение состояния
защищенности информации.
Уязвимость АС – присущее системе неудачное свойство,
которое может привести к реализации угрозы.

Атака на АС - поиск и/или использование
злоумышленником уязвимости АС, т.е. реализация
угрозы безопасности АС.
Защищенная система – это система со средствами
защиты которые успешно и эффективно противостоят
угрозам безопасности.
Способы защиты информации – порядок и правила
применения определенных средств защиты информации.
Средство защиты информации – техническое,
программное средство, вещество и/или материал,
предназначенные или используемые для защиты
информации.
Комплекс средств защиты(КСЗ) – совокупность средств
защиты информации, создаваемых и поддерживаемых
для обеспечения ИБ в соответствии с принятой
политикой безопасности.
Политика безопасности – это совокупность норм, правил
и практических рекомендаций, регламентирующих
работу средств защиты АС от заданного множества
угроз.

Источники основных информационных угроз (по природе возникновения)

Естественные источники
Стихийные бедствия
Физические явления
Старение носителей
Живая природа
Искусственные источники
Преступная
деятельность
Ошибки в ОС и ПО
«Закладки»
Социальная инженерия

Источники основных информационных угроз (по положению источника угрозы)

Вне контролируемой АС
Перехват данных
Подбор паролей
Поиск уязвимостей
DDOS-атаки
В пределах АС
В самой АС
Прослушка
Хищение носителей
Вербовка персонала

Классификация угроз АС (по степени воздействия на АС)

Пассивные угрозы
Угроза копирования
Угроза разглашения
Активные угрозы
Внедрение троянцев
Вирусы
«Закладки»
DDOS-атаки

Угрозы на этапе доступа

До доступа к ресурсу
(несанкционированный доступ)
После разрешения доступа к
ресурсу (нарушение прав и
политики безопасности)

Преднамеренные угрозы

Хищение информации
Распространение компьютерных
вирусов
Физическое воздействие на аппаратуру

Компьютерные вирусы
«троянские кони»
Сетевые атаки

Случайные угрозы

Ошибки пользователя компьютера;
Ошибки профессиональных разработчиков
информационных систем: алгоритмические,
программные, структурные;
Отказ и сбои аппаратуры, в том числе помехи
и искажения сигналов на линиях связи;
Форс-мажорные обстоятельства

Значимость безопасности информации для различных специалистов с позиции компании и заинтересованных лиц

Прикладные
задачи
Управленческие
задачи
Информационные услуги
Коммерческая деятельность
Банковская деятельность

Прикладные задачи
Управленческие задачи
Сохранность личной
информации
пользователя
Обеспечения полноты
управленческих
документов
Информационные услуги
Обеспечения доступности
и безопасной работы
Коммерческая деятельность
Предотвращение утечки
информации
Банковская деятельность
Обеспечения целостности
информации

Политика безопасности – это совокупность
технических, программных и организационных
мер, направленных на защиту информации на
предприятии.
Методы защиты
информации от
преднамеренных
информационных угроз
Ограничение доступа к
информации
Шифрование
информации
Контроль доступа к
аппаратуре
Законодательные
меры
Методы защиты
информации от
случайных
информационных угроз
Повышение надёжности работы
электронных и механических
узлов и элементов
Структурная избыточность –
дублирование или утроение
элементов, устройств
Функциональный контроль с
диагностикой отказов