Файл: Анализ и оценка средств реализации объектно-ориентированного подхода к проектированию экономической информационной системы ( ООО «ИНТЕК+» ).pdf
Добавлен: 04.04.2023
Просмотров: 1014
Скачиваний: 1
СОДЕРЖАНИЕ
ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ ИЗУЧЕНИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
1.1. Основные проблемы и задачи защиты информации в компьютерных сетях
1.2. Классификация и содержание угроз программного обеспечения
1.3. Основные методы и средства защиты информации в сетях
ГЛАВА 2. АНАЛИЗ ИНФОРМАЦИОНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ ООО «ИНТЕК+»
2.1. Краткая характеристика предприятия ООО «ИНТЕК+»
ГЛАВА 3. МОДЕРНИЗАЦИЯ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В КОРПОРАТИВНОЙ СЕТИ ООО «ИНТЕК+»
ВВЕДЕНИЕ
Актуальность представленной темы заключается в том, что на сегодняшний день ни одна сфера деятельности человека не может существовать без средств вычислительной техники и телекоммуникационных технологий. Информационными технологиями предлагаются все более совершенные сервисы. Интернет позволяет пользоваться электронными платежными системами, персональными финансовыми порталами, а также электронными биржами. По причине бурного развития информационных технологий постоянно усложняются задачи обеспечения информационной безопасности (ИБ).
Объектом исследования выступает программное обеспечение на примере ООО «ИНТЕК+».
Предметом исследования является оценка информационной защищенности коммерческого предприятия ООО «ИНТЕК+».
Цель работы: изучить информационную защищенность предприятия ООО «ИНТЕК+».
Задачи ВКР:
1) Рассмотреть основные проблемы, задачи и принципы защиты информации в компьютерных сетях;
2) Провести классификацию угроз программного обеспечения;
3) Изучить основные методы и средства защиты информации в сетях;
4) Разработать информационную систему безопасности корпоративной сети;
5) Модернизировать систему защиты информации в корпоративной сети ООО «ИНТЕК+» для повышения эффективности ее использования.
При написании курсовой работы использовались научные труды следующих авторов: К.В. Балдин, В.А. Гвоздева, В.Н. Гришин, В.А. Каймин, Н.В. Максимов и другие.
ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ ИЗУЧЕНИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
1.1. Основные проблемы и задачи защиты информации в компьютерных сетях
Защита информации – это комплекс мер, которые предназначены для безопасного хранения и защиты информации от нежелательных пользователей. Безопасность коммерческих тайн и оборота документов является существенной задачей в защите информации
Объект защиты информации – это «информация или носитель информации или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации».[31]
Цель защиты информации — это «желаемый результат защиты информации». Целью защиты информации быть может предотвращение убытка владельцу, собственнику, пользователю информации в последствии допустимой утечки информации или несанкционированного и непреднамеренного влияния на информацию. [1]
К числу основных проблем защиты информационных данных следует отнести 3 группы проблем [6]:
1) нарушение конфиденциальности информационных данных. Информация, что хранится и обрабатывается в КС, имеет возможность обладать высочайшей ценностью для владельца, а ее использование сторонними лицами нанесет вред интересам владельца;
2) нарушение целостности информационных данных. Утрата целостности информации. Информация, обладающая ценностью, может быть подвержена модификации либо удалению;
3) нарушение доступности информационных данных. Исключение из нормального режима либо сбой в работе КС имеет возможность стать причиной получения неточных данных, отказа КС от потока информационных сведений либо отказа в процессе обслуживания.
Необходимо отметить проблемы, которые появляются в процессе использования программных продуктов при построении системы защиты сети [11]:
1) развернутая область контроля, при которой администратору по безопасности следует выполнять контроль действий пользователей, находящихся за пределами зоны его досягаемости;
2) неизвестный периметр - сеть компании по первому требованию легко и просто может расширяться, что становится причиной возникновения новых методов передачи информации, при этом обнаружить чёткие границы сети становится весьма трудно;
3) трудность в процессе управления и контроля доступа к системе - многочисленные атаки осуществляются без присутствия физического доступа к тому или иному узлу и из удалённого места;
4) огромное количество точек атаки – в процессе передачи данных по сети, информация проходит различные узлы, ПК, маршрутизаторы, модемы, коммутаторы, каждый из которых имеет возможность составлять для нее опасность;
5) использование разных программно-аппаратных комплексов защиты данных — в ходе внедрения разных систем защиты информационных сведений, уязвимость организации имеет тенденцию роста. Согласно обстоятельству несовместности параметров опции систем, может быть, развитие нового несовершенства в системе безопасности;
6) скрытые каналы утечки информационных данных — вероятна передача конфиденциальных данных фирмы по компьютерной сети злоумышленнику в зашифрованной форме либо с защищённого протокола передачи сведений.
Решение проблемы защиты информации основывается существенным способом в применении криптографических методов. Современные способы криптографического переустройства удерживают вторичную производительность автоматизированной организации, что же представляется немаловажным. Это наиболее эффективный способ, который гарантирует конфиденциальность сведений, их единство и достоверность. Применение криптографических методов в совокупности с техническими и организационными мероприятиями дает возможность гарантировать надежную защиту от широкого спектра угроз.
Можно выделить три типа существенных проблем защиты информации при работе в компьютерных сетях: [13]
1) перехватывать информации (надежность гласности информации);
2) трансформация информации (искажение первоначального сообщения или смена иной информацией);
3) замена авторства (похищение информации и нарушение авторского права).
На нынешний день защита компьютерных систем от несанкционированного доступа возможно характеризовать повышением роли программных и криптографических механизмов по сопоставлению с аппаратными. Новые проблемы в области защиты информации призывают к применению протоколов и механизмов с высокой вычислительной сложностью.
На сегодняшний день корпоративные сети всё чаще вливаются в Интернет или же в том числе используют его в качестве своей основы. Для защиты корпоративных информационных сетей используются брандмауэры.
Брандмауэры - это система или же комбинация систем, позволяющая разделить сеть на 2 либо же больше частей и воплотить набор правил, которые устанавливают условия прохождения пакетов из одной части в другую. Как правило, данная граница ведется между локальной сетью компании и сетью Интернет.
Брандмауэр пропускает через себя целый трафик и для всякого проходящего пакета принимает решение - пропускать его либо же откинуть. Для того чтобы брандмауэр обладал возможность принимать данные решения, для него определяется набор правил.
Брандмауэр имеет возможность быть реализован как аппаратными средствами, так и в виде специальной программы, запущенной на компьютере.
Недоступность требуемого числа средств защиты информации на внутреннем рынке долгое время никак не позволяло осуществить в жизнь действия по защите данных важных масштабах. Усиливалась ситуация и отсутствием требуемого числа специалистов в области защиты информации, потому что их подготовка велась с учетом требований особых организаций.
Для заключения названных выше проблем безопасности компьютерной сети на фирмах следует урегулировать следующие задачи:
1) аутентификация одноуровневых объектов, заключающаяся в доказательстве подлинности 1-го либо же нескольких взаимодействующих предметов при обмене уведомлением между ними;
2) контролирование доступа, т. е. защита от несанкционированного использования ресурсов сети;
3) маскировка данных, циркулирующих в сети;
4) контролирование и возобновление единства всех оказавшихся в сети данных;
5) арбитражное обеспечивание, т. е. защита от возможных отказов от фактов отправки, способа либо же содержания отправленных, либо же принятых данных.[29]
Мероприятия, нацеленные на защиту данных включают в себя:
1) Защита информационных данных изнутри корпоративной сети предполагает собой 1 из базовых задач, разрешаемых в процессе построения информационной безопасности в фирмы. С данной целью необходимо выполнить четкое разграничение доступа к информации между работниками фирмы и минимизировать несанкционированный доступ к ней;
2) В процессе построения защиты используются программные решения в области информационной безопасности, позволяющие реализовать настройку политики безопасности в организации, осуществлять централизованное руководство процедурами защиты, группировать ряд механизмов в единый комплекс и выделять различные роли для управления защищаемой системы;
3) Применение криптографических методов;
4) Применение брандмауэров.[28]
1.2. Классификация и содержание угроз программного обеспечения
Под угрозой безопасности понимаются влияния на организацию, что напрямую или негласно имеют все шансы совершить ухудшение ее защищенности.
Источник опасности безопасности информации - человек являющийся прямой причиной происхождения опасности безопасности данных.
Все угрозы можно разделить согласно их источнику и характеру проявления на классы (рисунок 1).
Рисунок 1- Классификация угроз безопасности компьютерных систем
К основным случайным угрозам дозволительно отнести следующее [12]:
- неумышленные поступки приводящие к нарушению нормального функционирования системы, либо ее полной остановке. В эту категорию равным образом относится поломка аппаратных, программных, информационных ресурсов системы;
- неумышленное выключение оборудования;
- неумышленная повреждение носителей информации;
- использование программного обеспечения, способного при неверном использовании привести к нарушению работоспособности системы или к необратимым изменениям в системе;
- эксплуатация программ, которые не нужны во (избежание выполнения должностных обязанностей;
- непреднамеренное инфицирование компьютера вирусами;
- неосторожные поступки влекущие за собой оглашение конфиденциальной информации;
- введение ошибочных данных;
- утрата, трансляция кому-то или оглашение идентификаторов, к которым относятся пароли, ключи шифрования, пропуски, идентификационные карточки;
- построение системы, технологии обработки данных, создание программ с уязвимостями;
- неисполнение политики безопасности или других установленных правил работы с системой;
- устранение или некорректное применение средств защиты персоналом;
- трансакция данных по ошибочному адресу абонента (устройства).
К основным преднамеренным угрозам допускается отнести следующее [31]:
- физическое влияние на систему или отдельные ее компоненты, приводящее к выходу из строя, разрушению, нарушению нормального функционирования;
- остановка или выведение из строя подсистем обеспечения функционирования вычислительных систем;
- поступки по нарушению нормальной работы системы;
- взятка вымогательство и остальные пути воздействия на штат или отдельных пользователей, имеющих определенные полномочия;
- использование подслушивающих устройств, дистанционная фото- и видео-съемка и т.п.;
- перехват данных, передаваемых согласно каналам связи, и их изучение с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;
- кража носителей информации;
- несанкционированное тиражирование носителей информации;
- кража производственных отходов;
- декламирование остаточной информации из оперативной памяти и с внешних запоминающих устройств;
- прочтение информации из областей оперативной памяти, используемых операционной системой или другими пользователями, в асинхронном режиме используя бедность мультизадачных операционных систем и систем программирования;
- незаконное приобретение паролей и других реквизитов разграничения доступа с последующей маскировкой под зарегистрированного пользователя ("маскарад");