Содержание

    1. Введение………………………………………………………………...3

    2. Технические средства защиты от утечки информации……………...5

        2.1 Система защиты информации……………………………………..5

        2.2. Требования к современным средствам  защиты информации......6

        2.3. Каналы утечки конфиденциальной информации………………..7

        2.4.Технические средства защиты……………………………………10

    3. Практическая часть……………………………………………………15

       3.1. Общая характеристика задачи……………………………………15

      3.2. Описания алгоритма решения задачи……………………………17

    4. Заключение…………………………………………………………….21

    5. Список использованной литературы………………………………...23 
 
 
 
 

                                                     Введение

    Выбранная тема «Технические средства защиты от утечки информации» актуальна тем, что в настоящее время одной  из многих проблем в области информационной безопасности является проблема защиты от утечки конфиденциальной информации.

    В условиях современной конкуренции  между фирмами появляется интерес  к данным других компаний. Во многих организациях информация подвергается несанкционированному доступу, поэтому  тема «Технические средства защиты от утечки информации» на сегодняшний  день является весьма актуальной, так  как организациям необходимо строить  средства защиты информации от утечки.

    Для раскрытия данной темы будут выведены вопросы:

1. Система защиты информации;
2. Требования к современным средствам защиты информации;
3. Каналы утечки конфиденциальной информации;
4. Технические средства защиты информации.

    В практической части будет решена экономическая задача «Расчёт выплат пенсионерам за январь – февраль  2006 г.» в среде табличного процессора MS Excel.

    Для выполнения и оформления курсовой работы были использованы:

      Персональный компьютер (многопроцессорный компьютер с ACPI):

    - тип ЦП DualCore , 2600 MHz (13 x 200);

    - исходная частота  2600 МГц;

    - оперативная память объёмом 896 Мб;

    - винчестером  Samsung M378B2873FH0-CH9  размер 1Гб;

    - струйный черно-белый  принтер.

      Программные средства:

     операционная система – MS Windows XP;

     пакеты прикладных программ:

        - текстовый процессор MS Word 2003;

        - табличный MS Excel 2003;

        - программа подготовки презентации MS Power Point 2003;

        - браузер Mozilla Firefox (1988- 2011). 
 
 
 
 
 
 
 
 
 
 

    2. Технические средства защиты от утечки информации

    2.1 Система защиты информации

    Надёжная  защита информации в разрабатываемых  и функционирующих системах обработки  данных может быть эффективной, если она будет надёжной на всех объектах и во всех элементах системы, которые  могут быть подвергнуты угрозам. В связи с этим для создания средств защиты важно определить природу угроз, формы и пути их возможного проявления и осуществления, перечень объектов и элементов, которые  могут быть подвергнуты угрозам  с целью нарушения защищённости информации,

    Под объектом защиты понимается такой структурный компонент системы, в котором находится или может находиться подлежащая защите информация. Под элементом защиты понимается совокупность данных, которая может содержать подлежащие защите сведения.

    Для обеспечения безопасности информации в личных компьютерах и особенно в офисных системах и компьютерных сетях проводятся различные мероприятия, объединяемые понятием система защиты информации.

    Система защиты информации – это совокупность организационных и технологических мер, программно-технических средств, правовых и морально-этических норм, направленных на противодействие угрозам нарушителей с целью сведения до минимума возможного ущерба пользователям и владельцам системы.

    Этап  разработки системы защиты информации предусматривает использование  различных комплексов мер и мероприятий  организационно-административного, технического, программно-аппаратного, технологического, правового морально-этнического  характера.

    2.2. Требования к современным средствам защиты информации

    Согласно  требованиям Гостехкомиссии России средства защиты информации от несанкционированного доступа, отвечающие высокому уровню защиты, должны обеспечивать:

• дискреционный и мандатный принцип контроля доступа;
• очистку памяти;
• изоляцию модулей;
• маркировку документов;
• защиту ввода и вывода на отчуждаемый физический носитель информации;
• сопоставление пользователя с устройством;
• идентификацию и аутентификацию;
• гарантии проектирования;
• регистрацию;
• взаимодействие пользователя с комплексом средств защиты;
• надёжное восстановление;
• целостность комплекса средств защиты;
• контроль модификации;
• контроль дистрибуции;
• гарантии архитектуры;

    Комплексные средства защиты информации от несанкционированного доступа не должны сопровождаться пакетом  следующих документов:

• руководство по средствам защиты информации;
• руководство пользователя;
• тестовая документация;
• конструкторская (проектная) документация.

    2.3. Каналы утечки конфиденциальной информации

    Известны  следующие каналы утечки информации  (Рис. 1): электромагнитный канал, акустический канал, визуально оптический канал, материально-вещественный канал.

      Рисунок 1.- Каналы утечки информации                                                                                  

    В данной курсовой работе рассмотрим несколько каналов, предположим, что в качестве потенциальных злоумышленников могут выступать сотрудники компании, которые для выполнения своих функциональных обязанностей имеют легальный доступ к конфиденциальной информации. Целью такого рода нарушителей является передача информации за пределы АС с целью её последующего несанкционированного использования – продажи, опубликования её в открытом доступе и т.д. В этом случае можно выделить следующие возможные каналы утечки конфиденциальной информации (рисунок 2.):

           

    Рисунок  2 - Каналы утечки конфиденциальной информации

• несанкционированное копирование конфиденциальной информации на внешние носители и вынос её за пределы контролируемой территории предприятия. Примерами таких носителей являются флоппи-диски, компакт-диски CD-ROM, Flash-диски и др.;
• вывод на печать конфиденциальной информации и вынос распечатанных документов за пределы контролируемой территории. Необходимо отметить, что в данном случае могут использоваться как локальные принтеры, которые непосредственно подключены к компьютеру злоумышленника, так и удалённые, взаимодействие с которыми осуществляется по сети;
• несанкционированная передача конфиденциальной информации по сети на внешние серверы, расположенные вне контролируемой территории предприятия. Так, например, злоумышленник может передать конфиденциальную информацию на внешние почтовые или файловые серверы сети Интернет, а затем загрузить её оттуда, находясь в дома или в любом другом месте. Для передачи информации нарушитель может использовать протоколы SMTP, HTTP, FTP или любой другой протокол в зависимости от настроек фильтрации исходящих пакетов данных, применяемых в автоматизированных системах. При этом с целью маскирования своих действий нарушитель может предварительно зашифровать отправляемую информацию или передать её под видом стандартных графических или видео-файлов при помощи методов стеганографии;
• хищение носителей, содержащих конфиденциальную информацию – жёстких дисков, магнитных лент, компакт-дисков CD-ROM и др.

    Считается, что в основе любой системы  защиты от атак, связанных с утечкой  конфиденциальной информации, должны лежать организационные меры обеспечения  безопасности. В рамках этих мер  на предприятии должны быть разработаны  и внедрены организационно-распорядительные документы, определяющие список конфиденциальных информационных ресурсов, возможные  угрозы, которые с ними связаны, а  также перечень тех мероприятий, которые должны быть реализованы  для противодействия указанным  угрозам. Примерами таких организационных  документов могут являться концепция  и политика информационной безопасности, должностные инструкции сотрудников  компании и др. В дополнении к  организационным средствам защиты должны применяться и технические  решения, предназначенные для блокирования перечисленных выше каналов утечки конфиденциальной информации.  
 
 

    2.4.Технические средства защиты

    Идентификации и аутентификации пользователей

    Идентификацию и аутентификацию можно считать  основой программно-технических  средств безопасности, поскольку  остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация — это первая линия обороны, «проходная»  информационного пространства организации.

    Идентификация - это присвоение какому-либо объекту или субъекту уникального имени или образа.

    Аутентификация - это установление подлинности, т.е. проверка, является ли объект (субъект) действительно тем, за кого он себя выдает.

    Конечная  цель процедур идентификации и аутентификации объекта (субъекта) - допуск его к информации ограниченного пользования в случае положительной проверки либо отказ в допуске в случае отрицательного исхода проверки.

    Объектами идентификации и аутентификации могут быть: люди (пользователи, операторы  и др.); технические средства (мониторы, рабочие станции, абонентские пункты); документы (ручные, распечатки и др.); магнитные носители информации и  др.

    Один  из наиболее распространенных методов  аутентификации - присвоение лицу или  другому имени пароля и хранение его значения в вычислительной системе. Пароль-это совокупность символов, определяющая объект (субъект).

    Учитывая  важность пароля как средства повышения  безопасности информации от несанкционированного использования, следует соблюдать  некоторые меры предосторожности, в  том числе:

• не хранить пароли в вычислительной системе в незашифрованном виде;
• не печатать и не отображать пароли в явном виде на терминале пользователя;
• не использовать в качестве пароля свое имя или имена родственников, а также личную информацию (дата рождения, номер домашнего или служебного телефона, название улицы и др.);
• не использовать реальные слова из энциклопедии или толкового словаря;
• выбирать длинные пароли;
• использовать смесь символов верхнего и нижнего регистров клавиатуры;
• использовать комбинации из двух простых слов, соединенных специальными символами (например, + , = и др.);
• придумывать новые слова (абсурдные или даже бредового содержания);
• чаще менять пароль.