Студопедия КАТЕГОРИИ: АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Системаобеспеченияцелостностиибезопасности
АнализархитектурыАИС ПотипуданнуюАИСможноотнестикавтоматизированномурабочемуместу(АРМ).Автоматизированноерабочееместопредставляетсобойрабочееместоперсоналаавтоматизированнойсистемыуправления(внашемслучаекнижного Организация«OhWow»),оборудованноесредствами,обеспечивающимиучастиечеловекавреализациифункцийуправления.АРМявляетсяосновныморганизационнымкомпонентомИСипредставляетсобойсовокупностьметодических,языковых,программных,информационныхитехническихсредств,обеспечивающихработупользователянаЭВМвконкретнойпредметнойобласти. Предполагается,чтоединаябазаданныхдляработысИСбудетнаходитьсякомпьютера администратора. Дляэтогонакомпьютере должнобытьустановленоследующеесистемноеПО: -ОперационнаясистемаWindowsXP; -ИС «OhWow» -ОфисныйпакетMicrosoftOffice; Можновыделить2категорийпользователей.Перваякатегория–специалистыпредметнойобласти(продавцы),втораякатегория–программистыиадминистраторы,которыедолжныбудутсопровождатьпрограммноеобеспечение. Составимнебольшойсписокнаиболеевероятныхугроз: 1)Потеряданныхвследствиеслучайныхилипреднамеренныхдействийпользователя. Решениепроблемы–периодическиделатьрезервныекопиибазыданных,чтобызатратынавосстановлениеинформациибылиминимальны. 2)Потеряданныхвследствиеаппаратныхилипрограммныхсбоев. Решениепроблемы–хранитьрезервныекопиибазыданныхнеобходимонанесколькихносителях,причемразныхпоколений. 3)Фальсификацияданных. Решениепроблемы–периодическиосуществлятьвыборочныепроверки,контролироватьвводинформации. 4)ИскажениеимодификацияданныхвследствиеНСД. Решениепроблемы–своевременнообнаружитьфактнесанкционированногодоступакбазеданных(сиспользованиемжурнала)ипредпринятьнеобходимыемерыкликвидациипоследствий,выявитьвиновныхлиц. 5)Нарушениеработоспособностисистемывследствиеналичияошибок,допущенныхпрограммистомпринаписаниикода. Решениепроблемы–сообщитьобошибкепрограммисту,ответственномузасопровождениеи,принеобходимости,провестимодификацию. 6)Получениедоступаксистемепутемперехватапароляспомощьюсетевогоанализатора. Решениепроблемы–парольдлявходавсистемуприпередачешифруется. Опишемодинизвозможныхвидовсетевыхатак(такимобразомзлоумышленникможетперехватитьпарольит.п.). Анализинформациипоуровнямдоступа Полныйдоступ: · Администратор–доступковсемзаписямбазыданных · Бухгалтер–отчетныхдокументов,списоксотрудников · Продавец–списокпоставщиков,журналпродаж,списокпокупателей. Чтение: · Бухгалтер–всесправочники · Продавец–справочниктоваров,справочникпоставщиковидоговоров,журналпродаж,справочникпокупателей. Модельповеденияпотенциальныхнарушителей Доступксистемеможетбытьполученпутемполученияпаролейдоступа. Такжеможетбытьполностьюскопированабазаданныхссервераилиизмененаеёструктура,чтоповлечетзасобойполнуюдестабилизациюработысистемы. ВероятныеканалыНСДкинформации Вкачествевероятныхканаловнесанкционированногодоступакинформацииявляетсяпрямойдоступккомпьютеруконкретногооператора. ВКонцепцииформулируютсяследующиеосновныепринципызащитыотНСДкинформации: •защитаИСобеспечиваетсякомплексомпрограммно-техническихсредствиподдерживающихихорганизационныхмер; •защитаИСдолжнаобеспечиватьсянавсехтехнологическихэтапахобработкиинформацииивовсехрежимахфункционирования,втомчислеприпроведенииремонтныхирегламентныхработ; •программно-техническиесредствазащитынедолжнысущественноухудшатьосновныефункциональныехарактеристикиИС(надежность,быстродействие,возможностьизмененияконфигурацииИС); •неотъемлемойчастьюработпозащитеявляетсяоценкаэффективностисредствзащиты,осуществляемаяпометодике,учитывающейвсюсовокупностьтехническиххарактеристикоцениваемогообъекта,включаятехническиерешенияипрактическуюреализациюсредствзащиты; •защитаИСдолжнапредусматриватьконтрольэффективностисредствзащитыотНСД.Этотконтрольможетбытьлибопериодическим,либоинициироватьсяпомеренеобходимостипользователемИСиликонтролирующимиорганами. Потенциальныйущерб Приудалениеилиизменениеструктурыбазаданныхможетвозникнутьполныйотказработоспособностисистемы.Частичноеизменениеилипреднамеренныйвводнеправильнойинформацииповлияетнацелостностьиправильностьучетатоваров. · Целиизадачисистемызащитыинформации; · ПредотвращениепрямогоНСДкинформации; · Контрольцелостностисистемы; Формированиепониманиясотрудниковвнеобходимостизащитыинформации. Описаниеметодовисредств,используемыхдлязащитыинформациивпредлагаемойсистемезащиты КомплекснаязащитаинформациивсетяхЭВМпредполагаетреализациючетырехуровнейзащиты: -правовой(юридическиенормы,законы;преследуетсянезаконноеиспользованиесекретныхданныхилиинформации,составляющейобъектавторскогоправа) -административный/организационный(определяется,ктоикакуюинформациюможетсобиратьихранить;устанавливаютсяспособыдоступакнейиусловияеераспространения,праваиобязанностиработников,ихкомпетенцияиответственность;должностныеинструкции) -аппаратно-программный(применяетсяпроцедураидентификациипользователя,котораяоткрываетдоступкданнымипрограммнымсредствам.Аппаратнаязащитаможетбытьвыполненаввидекодовойкарточки,ключаит.п.) Самоеслабоеместовсистемезащитыинформации–этоперсонал.Людиобычноотказываютсяотиспользованиялюбыхдополнительныхсредствзащиты,создающихимнеудобствавработе.Поэтомуприменениеаппаратныхсредствзащитытребуетадминистративнойподдержки. -криптографический(шифрованиеданныхдляскрытияотзлоумышленникаихсмысла.Дотехпорпокапользовательнеидентифицированпоключу,смыслданныхемунедоступен). Утечка(потери)информациигарантированноневозможны,еслипрограммнаясредаизолирована: -наЭВМспровереннымBIOSустановленапровереннаяоперационнаясистема -достоверноустановленанеизменностьBIOSиоперационнойсистемы -кромепроверенныхпрограммвданнойпрограммно-аппаратнойсреденезапускалосьникакихиныхпрограмм -исключензапускпроверенныхпрограммвкакой-либоинойситуации,т.е.внепровереннойсреды. Описаниеинформационногообеспечениясистемы |
||
Последнее изменение этой страницы: 2018-05-10; просмотров: 150. stydopedya.ru не претендует на авторское право материалов, которые вылажены, но предоставляет бесплатный доступ к ним. В случае нарушения авторского права или персональных данных напишите сюда... |