Защита информации - «Оранжевая книга»
  • Защита информации - «Оранжевая книга»
  • Защита информации - «Оранжевая книга»
  • Защита информации - «Оранжевая книга»

Защита информации - «Оранжевая книга» (Курсовая работа по предмету «Информационные технологии в экономике»)

Оранжевым цветом выделены страницы доступные к просмотру только после покупки подписки

inf.tiekh_.moi_kursovoi.doc

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

В курсовой работы содержится 16 страниц, входящих в файлы .doc, .rtf, docx, которые вы сможете скачать после оплаты. Доступно для просмотра в бесплатном режиме: 10 страниц.

Прикрепленные фалы, которые вы сможете сразу после оплаты курсового проекта скачать:

Ключевые слова:Защита информации - «Оранжевая книга»

Уникальность текста: 90%

Описание работы (от продавца):

1. Введение
Безопасность сети – меры, предохраняющие информационную сеть:
- от несанкционированного доступа;
- от случайного или преднамеренного вмешательства в нормальные действия;
- от попыток разрушения её компонентов.
Безопасность информационной сети включает защиту оборудования, программного обеспечения, данных и персонала.
Актуальность задачи защиты информации, хранимой в компьютерных системах (КС), в настоящее время не вызывает сомнений. Многочисленные примеры атак КС как хакерами-одиночками, так и преступными группами, наглядно доказывают, что современная КС должна быть надежно защищена от вторжения извне.
Однако по поводу того, как конкретно должна быть организована защита КС, единого мнения до сих пор не существует. Это и не удивительно: наука о защите информации в КС еще очень молода, и необходимая теоретическая база еще не успела сформироваться. В своей массе администраторы КС при определении оптимальной конфигурации подсистемы защиты ориентируются не на единый научный подход, а на многочисленные, зачастую противоречащие друг другу рекомендации, которыми изобилует литература по компьютерной безопасности и страницы Интернета. Некоторые из этих рекомендаций весьма полезны, другие же являются явными «суевериями».
На самом деле верно следующие утверждение: чем лучше система защищена от несанкционированного доступа (НСД), тем труднее с ней работать пользователям и администраторам. Система защиты, не обладающая интеллектом, не всегда способна определить, является ли некоторое действие пользователя злонамеренным, а потому она либо не пресекает некоторые виды НДС, либо запрещает некоторые вполне легальные действия пользователей.
Кроме того, любая система, в которой предусмотрены функции защиты информации, требует от администраторов определенных усилий, направленных на поддержание адекватной политики безопасности, и чем больше в системе защитных функций, тем больше времени и средств нужно тратить на поддержание защиты.
Наконец, следует иметь ввиду, что если уровень защищенности системы превышает уровень С2 по «Оранжевой книге», её подсистема защиты потребляет значительную часть ресурсов системы ( для систем уровня В1 эта доля составляет 20- 50%, а уровня В2 она может превышать 90%). Таким образом, не следует делать защиту чрезмерно мощной. Для каждой системы существует оптимальный уровень защищенности, который и нужно поддерживать.
2. Программное обеспечение системы.
Защищенность системы определяется не только установленным в ней программным обеспечением, но и политикой безопасности. Фактически сертификат NCSC описывает максимальный уровень защищенности, который может быть достигнут при использовании данного продукта. Например то, что ОС SCO UNIX сертифицирована по уровню С2, означает, что, вообще говоря, при неукоснительном соблюдении которой уровень защищенности ОС будет соответствовать указанному (это утверждение верно только при использовании той же аппаратной платформы и в той же её конфигурации, при которой проводились соответствующие сертификационные испытания). К каждому сертификату NCSC обязательно прилагается документ, описывающий требование к политике безопасности, соответствующей сертификату. Например, для ОС Windows NT некоторые (далеко не все) требования безопасности по уровню С2 выглядят следующим образом:
• В BIOS компьютера установлен пароль на загрузку;
• На жестких дисках используется только файловая система NTFS;
• запрещено использование паролей короче шести символов;
• запрещен анонимный и гостевой доступ;
• запрещен запуск любых отладчиков;
• запрещено выключение компьютера без предварительной аутентификации пользователя;
• запрещено разделение между пользователями ресурсов сменных носителей информации (гибких дисков и CD-ROM).
Очевидно, что эти требования существенно затрудняют работу с системой, как пользователей, так и администраторов: требования, запрещающие запуск любых отладчиков, тем самым запрещает в защищенной системе любое программирование; запрет анонимного и гостевого доступа не позволяет размещать на дисках компьютера общедоступные Web-страницы; запрет совместного использования накопителей CD-ROM во многих случаях также неприемлем. Требование же, запрещающие пользователям самостоятельно выключать компьютер, вообще практически не выполнимо – для этого необходимо физически защищать не только корпус компьютера, но и провода электропитания и электрические розетки.
3. «Оранжевая книга» и её цели.
«Оранжевая книга» - это название документа, который был впервые опубликован в августе 1983г. Полный набор руководств по критериям TCSEC известен, как серия Rainbow (радуга), благодаря разноцветным обложкам этих книг. В настоящее время в неё входит более 200 руководств. Эти многочисленные интерпретации поясняют изложенные в «Оранжевой книге» требования к определенным компонентам системы.
В 1987г. Национальный центр по компьютерной безопасности (NCSC) выпустил Красную книгу (Red Book) – интерпретацию требований по безопасности «Оранжевой книги» в применении к сетевой вычислительной среде.
Критерии TCSEC разработаны на основе принципа достоверной вычислительной базы (ТСВ). В «Оранжевой книге» ТСВ определяется как «совокупность механизмов защиты, входящих в вычислительную систему и включающих в себя аппаратные и программно- аппаратные и программные средства, сочетание которых и обеспечивает реализацию стратегии защиты».
Правительство делало попытки обновить серию Rainbow, но все они не пошли дальше чернового варианта.
Работа над документом, получившим название «Общие критерии», началась в 1993 году с попытки установления европейских критериев European TCSEC. В настоящее время доступна версия 1.0 этого документа. Он был скорректирован сначала специалистами из Канады, потом – из США.
В «Оранжевой книге» так объясняются цели её создания: «Критерии TCSEC, определяемые в «Оранжевой книге», разбивают системы на четыре широких иерархических класса повышенного обеспечения секретности. Они являются основой для оценки эффективности средств управления защитой, встроенных в продукты типа автоматизированных систем обработки данных.
При разработке критериев имелись ввиду три цели:
• предложить пользователям критерий, с помощью которого можно было бы оценивать степень доверия к вычислительной системе с точки зрения обеспечения безопасности обработки секретной и другой критически важной информации.
• Создать руководство, призванное помочь производителям выбрать из широкого диапазона устройств те, которые целесообразно встраивать в их новые, широко представленные на рынке проверенные коммерческие продукты.
• Обеспечить основу для оценки требований к защищенности в спецификациях приобретаемых продуктов.
Многие требования « Оранжевой книги» уже устарели. Например, согласно ей, минимальная длина пароля, равная шести символам, считается безопасной. В те времена, когда писалась « Оранжевая книга», мощность вычислительной техники была невысокой, и указанная длинна паролей действительно обеспечивала безопасность, но на современном компьютере пароль такой длины может быть подобран всего за несколько минут.
В « Оранжевой книге» не уделяется должного внимания некоторым важным в настоящие время аспектам защиты систем, и объясняется это тем, что соответствующие атаки на защищенные системы были изобретены уже после её написания.
В 1992 году Гостехкомиссия при Президенте Российской Федерации опубликовала пять руководящих документов, посвященных вопросам защиты компьютерных систем. Один из них: « Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»
В документе рассматриваются требования к обеспечению защищенности отдельных программно-аппаратных элементов защищенных компьютерных систем. Установлено семь классов защищенности средств вычислительной техники. Самые низкие требования предъявляют к классу 7, самые высокие – к первому классу. Требования этих классов в основном соответствуют аналогичным требованиям «Оранжевой книги», при этом класс 7 соответствует классу D1 «Оранжевой книги», класс 6 – классу С1, ….класс 1- классу А1. Из наиболее существенных отличий следует отметить следующее:
• начиная с класса 5 вводятся требования, связанные с поддержанием целостности комплекса средств защиты защищаемой системы. Эти требования усиливаются в классах 4 и 3;
• в классе 5 требование к процедурам идентификации и аутентификации пользователей несколько менее сильны, чем в соответствующем ему классе С2 «Оранжевой книги»;
• начиная с класса 4 требования к запрету повторного использования удаленной информации несколько более сильны, чем в « Оранжевой книге»
Второй документ, касающейся автоматизированных систем, вводит стандарты защищенности не отдельных программно-аппаратных средств защиты, а всей защищенной компьютерной системы в целом. Система стандартов этого документа более существенно отличается от аналогичных стандартов Оранжевой книги. Все автоматизированные системы разделяются на три группы, в каждой из которых вводится своя иерархия классов защиты. Всего вводится девять классов защиты, требования которых в применении к операционным системам излагаются ниже.
ГРУППА 3. Однопользовательские системы.
Класс 3б. Проверка подлинности пользователя при входе в систему. Регистрация входа и выхода пользователей из системы. Учет используемых внешних носителей информации.
Класс 3а. Выполняются все требования класса 3б. Регистрация распечатки документов. Физическая очистка очищаемых областей оперативной и внешней памяти.
ГРУППА 2. Многопользовательские системы, в которых пользователи имеют одинаковые полномочия доступа ко всей информации.
Класс 2б. Проверка подлинности пользователя при входе в систему. Регистрация входа и выхода пользователей из системы. Учет используемых внешних носителей информации.
Класс 2а. Выполняются все требования класса 2б. Избирательное разграничение доступа. Регистрация событий, потенциально опасных для поддержания защищенности системы. Физическая очистка очищаемых областей оперативной и внешней памяти. Наличие подсистемы шифрования конфиденциальной информации, использующей сертифицированные алгоритмы.
Группа 1. Многопользовательские системы, в которых пользователи имеют различные полномочия доступа к информации.
Класс 1д. Проверка подлинности пользователя при входе в систему. Регистрация входа и выхода пользователей из системы. Учет используемых внешних носителей информации.
Класс 1г. Выполняются все требования класса 1д. Избирательное разграничение доступа. Регистрация событий, потенциально опасных для поддержания защищенности системы. Физическая очистка очищаемых областей оперативной и внешней памяти.
Класс 1в. Выполняются все требования класса 1г. Полномочное разграничение доступа. Усилены требования к подсистеме регистрации событий, потенциально опасных для поддержания защищенности системы. Интерактивное оповещение администраторов системы о попытках несанкционированного доступа.
Класс 1б. Выполняются все требования класса 1в. Наличие подсистемы шифрования конфиденциальной информации, использующей сертифицированные алгоритмы.
Класс 1а. Выполняются все требования класса 1б. Различные субъекты доступа имеют различные ключи, используемые для шифрования конфиденциальной информации. Не трудно видеть, что требования, к защищенности систем классов 3б, 2б, и 1д (минимальная защита в каждой группе) совпадают друг с другом и представляют собой несколько усиленную версию класса С1 « Оранжевой книги» (и соответствующего ему класса 6 для средств вычислительной техники). Требования класса 1г в основном совпадают с требованиями класса С2 «Оранжевой книги», а класс 1в из рассматриваемого документа очень похож на класс В1 «Оранжевой книги». Таким образом, отличия требований от требований «Оранжевой книги» в наиболее распространенном диапазоне защищенности операционных систем (С2-В1 по Оранжевой книге и 1г-1в по документам Гостехкомиссии), незначительны.

4. Основные направления использования программной защиты информации.
Можно выделить следующие направления использования программ для обеспечения безопасности конфиденциальной информации, в частности такие:
• защита информации от несанкционированного доступа;
• защита программ от копирования;
• защита программ от вирусов;
• защита информации от вирусов;
• программная защита каналов связи.
По каждому из указанных направлений имеется достаточное количество качественных, разработанных профессиональными организациями и распространяемых на рынках программных продуктов.
Программные средства защиты имею следующие разновидности специальных программ:
• идентификация технических средств, файлов и аутентификации пользователей;
• регистрации и контроля работы технических средств и пользователей;
• обслуживание режимов обработки информации ограниченного пользования;
• защита операционных средств ЭВМ и прикладных программ пользователей;
• уничтожение информации и защитные устройства после использования;
• сигнализирующих нарушение использования ресурсов;
• вспомогательных программ защиты различного назначения.
Идентификация технических средств и файлов, осуществляемая программно, делается на основе анализа регистрационных номеров различных компонентов и объектов информационной системы и сопоставления их со значениями адресов и паролей, хранящихся в защитном устройстве системы управления.
Для обеспечения надежности защиты с помощью паролей работа системы защиты организуется таким образом, что бы вероятность раскрытия секретного пароля и установления соответствия тому или иному идентификатору файла или терминала была как можно меньше. Для этого надо периодически менять пароль, а число символов в нем установить достаточно большим.
Эффективным способом идентификации адресуемых элементов и аутентификации пользователей является алгоритм запросно–ответного типа, в соответствии с которым система защиты выдает пользователю запрос на пароль, после чего он должен дать на него определенный ответ. Так как моменты ввода запроса и ответа на него непредсказуемы, обеспечивая тем самым более высокую надежность защиты.
Получение разрешения на доступ к тем или иным ресурсам можно осуществить не только на основе использования секретного пароля и последующих процедур аутентификации и идентификации. Это можно сделать более детальным способом, учитывающим различные особенности режимов работы пользователей, их полномочия, категории запрашиваемых данных и ресурсов. Этот способ реализуется специальными программами, анализирующими соответствующие характеристики пользователей, содержание заданий, параметры технических программных средств, устройств памяти.
Поступающие в систему защиты конкретные данные, относящиеся к запросу, сравниваются в процессе работы программ защиты с данными, занесенные в регистрационные секретные таблицы (матрицы). Эти таблицы, хранятся в зашифрованном виде и находятся под особым контролем администратора.
Для разграничения обращения отдельных пользователей к вполне определенной категории информации применяются индивидуальные меры секретности этих файлов и особый контроль доступа к ним пользователей. Гриф секретности может формироваться в виде трёхразрядных кодовых слов, которые хранятся в самом файле или в специальной таблице. В этой же таблице записываются идентификатор пользователя, создавшего данный файл, идентификаторы терминалов, с которых может быть осуществлен доступ к файлу, идентификаторы пользователей, которым разрешен доступ к данному файлу, а так же их права на пользование файлом. Важно не допустить взаимовлияние пользователей в процессе обращения к файлам. Если, например, одну и ту же запись имеют право редактировать несколько пользователей, то каждому из них необходимо именно его вариант редакции (делается несколько копий записей, с целью возможного анализа и установления полномочий).
5. Выводы
1. Комплексная безопасность информационных ресурсов достигается использованием правовых актов государственного и ведомственного уровня, организационных мер и технических средств защиты информации от различных угроз.
2. Правовые меры обеспечения безопасности и защиты информации являются основой порядка деятельности и поведения сотрудников всех уровней и степени их ответственности за нарушения установленных норм и правил работы по обеспечению сохранности коммерческих секретов.
3. Организационные меры являются решающим звеном в формировании и реализации комплексных мер защиты информации. Они, в первую очередь, выражаются в создании службы безопасности коммерческого предприятия и обеспечении её нормального функционирования.
4. Инженерно-техническая защита – это использование различных технических средств в интересах обеспечения информационной безопасности.
6. Используемая литература.
1. http://beda.stup.ac.ru/RV-conf/v01/023/
2. http://www.osp.ru/cw/
3. http://www.bre.ru/security/6392.html
4. Учебник для вузов В.И. Ярочкин Информационная безопасность. Москва Фонд «Мир» 2003г.-638с.

Последние добавленные работы

  • Технлогический процесс отдлеки стен листами сухой штукатрки.
  • Деятельность ОВД по пресечению массовых беспорядков
  • Свадьба в жизни студентов
  • Финансы - контрольная
  • Решение прикладных задач на ПК в системе программирования Вorland(Turbo)Pascal, в ЭТ МS Excel, в пакете МаthCad
  • КЛАСС ДЛЯ РАБОТЫ СО СТРУКТУРАМИ ТИПА «СЛОВАРЬ»
  • Язык и стиль организационно-распорядительных документов
  • Негосударственные пенсионные фонды РФ: опыт, перспективы развития, оценка эффективности (на примере НПФ "Социум")
  • Диплом «Диагностика кризиса зрелого возраста»
  • Автоматизированное рабочее место менеджера по учету продаж транспортных средств
  • Антикоррупционная экспертиза нормативных правовых актов
  • Управління кредиторською заборгованістю (на прикладі ПП «...»)
  • курсова работа аналіз державного режиму
  • Элементы технологии личностно-ориентированного обучения, как средство формирования мышления учащихся 10-х классов на уроках биол
  • Использование компьютерных технологий в процессе обучения английскому языку