Защита информации. Основные способы перехвата информации непосредственно с компьютера и средства защиты от оных. основные методы шифрова

Для проведения опроса Ernst&Young и InformationWeek разослали в августе анкеты ответственным  сотрудникам американских и канадских  компаний, связанным с информационными  системами. Ниже приведены причины убытков и процент опрошенных, пострадавших по этим причинам.

Результаты опроса показывают, что  многие руководители не заботятся должным  образом о безопасности своих  компаний. В лучшем случае они знают  об уязвимых местах, но ничего не предпринимают. Компаниям следует ввести у себя должность администратора по защите информации.

"Угроза может возникнуть  из-за незащищенного соединения  с Internet, злоумышленных действий раздраженного чем-либо служащего, потери мобильного компьютера с ответственной информацией, промышленного шпионажа или простой небрежности, - говорит Рэмзи. - В США промышленный шпионаж преследуется законом, но в других странах - нет: мы заметили, что число "разведчиков", действующих из-за границы, увеличилось".

Из данных опроса следует, что электронная  коммерция приобретает популярность не столь быстро, как ожидалось. В прошлом году около четверти опрошенных пользовались Internet для ведения важной деловой переписки, выполнения транзакций (в том числе финансовых операций и оплаты счетов) и заказа продукции. В этом году лишь 34% респондентов сообщили, что применяли Internet для подобных целей; 87% опрошенных отметили, что их компания использует Сеть в качестве электронной почты и исследовательского инструмента.

Около 40% выразили неудовлетворенность  общей защищенностью соединения их компании с Internet. Менее одной трети опрошенных считают, что они смогли бы выявить наличие уязвимых мест, которые могут атаковать хакеры через Internet. 25% респондентов утверждают, что за последний год в сеть их компании были случаи проникновения извне через Internet.

"Поскольку с ростом числа  фирм-партнеров и служащих, нанятых  по контракту, опасность увеличивается, компаниям необходимо организовать мониторинг соединений между ними и их поставщиками услуг, - объясняет Рэмзи. - Руководство компаний еще не уяснило себе, что, предоставляя компьютерный доступ служащему, нанятому по контракту, они вручают "ключ от сокровищницы" случайному человеку, который вряд ли проработает у них долго".

Основные причины убытков  компаний, пренебрегающих защитой данных

Убытки из-за ошибок, сделанных  по небрежности*	65%
Вирусы**	63%
Неработоспособность системы***	51%
Злоумышленные действия со стороны  служащих компании	32%
Злоумышленные действия людей, не работающих в компании	18%
Стихийные действия	25%
Неизвестные причины	15%
Промышленный шпионаж	6%

^*В частности, это происходило из-за сбоев программы резервного копирования системы и случайного удаления файлов.

^**На совести служащих, загружающих из Internet зараженные файлы и сотрудников, приносящих вирусы на дискетах.

^***Намеренно или случайно отключенные сети.

10 советов от Ernst&Young по защите  информации

1. Заставьте служащих, поставщиков и нанятых по контракту работников подписать договор о неразглашении.
2. Регулярно создавайте резервные копии информации, хранящейся на мобильных компьютерах.
3. Установите правила загрузки в мобильные компьютеры и использования информации.
4. Запретите пользователям оставлять на рабочих местах памятки, содержащие идентификаторы и пароли доступа в корпоративную сеть.
5. Запретите оставлять на корпусах мобильных компьютеров памятки, содержащие идентификаторы и пароли, применяемые для удаленного доступа.
6. Запретите использовать доступ к Internet не для деловых целей.
7. Применение пароля на загрузку компьютеров должно быть обязательным для всех.
8. Создайте классификацию всех данных по категориям важности и усильте контроль над ограничением доступа в соответствии с ней.
9. Запирайте компьютеры либо любым другим способом предотвращайте доступ ко всем компьютерным системам по окончании рабочего дня.
10. Введите правило использования паролей доступа к файлам, содержащим секретную или ответственную информацию.

 

Выводы.

 

Итак, мы рассмотрели основные проблемы защиты информации от несанкционированного доступа. Какие же выводы можно сделать? Можно ли добиться абсолютной конфиденциальности информации? Ответ – да, можно, но для этого придется затратить огромные силы и средства, так как слишком много «дыр», через которые может быть получен несанкционированный доступ. Затраченные силы и средства могут быть настолько велики, что возникнет закономерный вопрос – а стоит ли оберегаемая информация наших усилий. На этот вопрос каждый ответит по-своему, но большинство ответит: «Нет!». И тут нам придется искать  разумный баланс между ценностью информации и затратами на ее защиту.

Однако, можно с уверенностью сказать, что грамотные и своевременные  действия, как администраторов,  так и самих пользователей по защите информации могут привести к тому, что хакеры и всякого рода недоброжелатели десять раз подумают, прежде чем попытаются взломать вашу систему; а если и попытаются, то получат достойный отпор.

Приведем условия, обязательное соблюдение которых позволит максимально повысить защищенность информационных ресурсов. Они сводятся к следующим:

1 . Наибольший эффект достигается тогда, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм защиты информации .

2. Механизм защиты  должен проектироваться параллельно  с созданием систем обработки  данных, начиная с момента выработки общего замысла построения системы .

3. Функционирование механизма  защиты должно планироваться  и обеспечиваться наряду с  планированием и обеспечением  основных процессов автоматизированной обработки информации .

4. Необходимо осуществлять постоянный контроль функционирования механизма защиты.

 

Список специальных  терминов

 

Ethernet - тип локальной сети. Хороша разнообразием типов проводов для соединений, обеспечивающих пропускные способности от 2 до 10 миллионов bps(2-10 Mbps). Довольно часто компьютеры, использующие протоколы TCP/IP, через Ethernet подсоединяются к Internet.

Internet - глобальная компьютерная сеть.

IP (Internet Protocol) - протокол межсетевого взаимодействия, самый важный из протоколов сети Internet, обеспечивает маршрутизацию пакетов в сети.

IР-адрес - уникальный 32-битный адрес каждого компьютера в сети Internet.

TCP (Transmission Control Protocol) - протокол контроля передачи информации в сети. TCP - протокол транспортного уровня, один из основных протоколов сети Internet. Отвечает за установление и поддержание виртуального канала (т.е. логического соединения), а также за безошибочную передачу информации по каналу.

TCP\IP - под TCP\IP обычно понимается все множество протоколов поддерживаемых в сети Internet.

WWW (World Wide Web) - всемирная паутина. Система распределенных баз данных, обладающих гипертекстовыми связями между документами.

ЛВС - локальная вычислительная сеть.

Маршрутизатор (router) - компьютер сети, занимающийся маршрутизацией пакетов в сети, то есть выбором кратчайшего маршрута следования пакетов по сети.

 

Литература.

 

1. Еженедельник Computerworld Россия (Издательство Открытые Системы).
2. Журнал "Internet Zone".
3. "Собрание законодательства РФ", №25 от 17 июня 1996 года.
4. Крол Эд.  Все об Internet: Руководство и каталог. / Пер. c англ. С.М. Тимачева. - Киев: BNV, 1995. 591 c.
5. Левин В.К.  Защита информации в информационно-вычислительных системах и сетях // Программирование. - 1994. - N5. - C. 5-16. .
6. Дж. Хоффман "Современные методы защиты информации "

 

Защита информации от несанкционированного доступа.

Курсовая работа по информатике

студента математического  факультета группы М – 41                         Гудовских Андрея Геннадьевича.

Киров 2001