Пункт 8. Технологии обеспечения безопасности обработки информации.
При использовании любой информационной технологии следует обращать внимание на наличие средств защиты данных, программ, компьютерных систем.
Безопасность данных включает обеспечение достоверности данных и защиту данных и программ от несанкционированного доступа, копирования, изменения.
Достоверность данных контролируется на всех этапах технологического процесса эксплуатации ЭИС. Различают визуальные и программные методы контроля. Визуальный контроль выполняется на до машинном и заключительном этапах. Программный — на машинном этапе. При этом обязателен контроль при вводе данных, их корректировке, т.е. везде, где есть вмешательство пользователя в вычислительный процесс. Контролируются отдельные реквизиты, записи, группы записей, файлы. Программные средства контроля достоверности данных закладываются на стадии рабочего проектирования.
Защита данных и программ от несанкционированного доступа, копирования, изменения реализуется программно-аппаратными методами и технологическими приемами. К программно-аппаратным средствам защиты относят пароли, электронные ключи, электронные идентификаторы, электронную подпись, средства кодирования, декодирования данных. Для кодирования, декодирования данных, программ и электронной подписи используются криптографические методы. Средства защиты аналогичны, по словам специалистов, дверному замку. Замки взламываются, но никто не убирает их с двери, оставив квартиру открытой.
Технологический контроль заключается в организации многоуровневой системы защиты программ и данных от вирусов, неправильных действий пользователей, несанкционированного доступа.
Наибольший вред и убытки приносят вирусы. Защиту от вирусов можно организовать так же, как и защиту от несанкционированного доступа. Технология защиты является многоуровневой и содержит следующие этапы:
- Входной контроль нового приложения или дискеты, который осуществляется группой специально подобранных детекторов, ревизоров и фильтров. Например, в состав группы можно включить Aidstest. Можно провести карантинный режим. Для этого создается ускоренный компьютерный календарь. При каждом следующем эксперименте вводится новая дата и наблюдается отклонение в старом программном обеспечении. Если отклонения нет, то вирус не обнаружен;
- Сегментация жесткого диска. При этом отдельным разделам диска присваивается атрибут Read Only;
- Систематическое использование резидентных программ-ревизоров и фильтров для контроля целостности информации, например Antivirus2 и т.д.;
- Архивирование. Ему подлежат и системные, и прикладные программы. Если один компьютер используется несколькими пользователями, то желательно ежедневное архивирование. Для архивирования можно использовать WINZIP и др.
Эффективность программных средств защиты зависит от правильности действий пользователя, которые могут быть выполнены ошибочно или со злым умыслом. Поэтому следует предпринять следующие организационные меры защиты:
- общее регулирование доступа, включающее систему паролей и сегментацию винчестера;
- обучение персонала технологии защиты;
- обеспечение физической безопасности компьютера и магнитных носителей;
- выработка правил архивирования;
- хранение отдельных файлов в шифрованном виде;
- создание плана восстановления винчестера и испорченной информации.
В качестве организационных мер защиты при работе в интернет можно рекомендовать:
- обеспечить антивирусную защиту компьютера;
- программы антивирусной защиты должны постоянно обновляться;
- проверять адреса неизвестных отправителей писем, так как они могут быть подделанными;
- не открывать подозрительные вложения в письма, так как они могут содержать вирусы;
- никому не сообщать свой пароль;
- шифровать или не хранить конфиденциальные сведения в компьютере, так как защита компьютера может быть взломана;
- дублировать важные сведения, так как их может разрушить авария оборудования или ваша ошибка;
- не отвечать на письма незнакомых адресатов, чтобы не быть перегруженным потоком ненужной информации;
- не оставлять адрес почтового ящика на web-страницах;
- не читать непрошеные письма;
- не пересылать непрошеные письма, даже если они интересны, так как они могут содержать вирусы.
Для шифровки файлов и защиты от несанкционированного копирования разработано много программ, например Catcher. Одним из методов защиты является скрытая метка файла: метка (пароль) записывается в сектор на диске, который не считывается вместе с файлом, а сам файл размещается с другого сектора, тем самым файл не удается открыть без знания метки.
Восстановление информации на винчестере — трудная задача, доступная системным программистам с высокой квалификацией. Поэтому желательно иметь несколько комплектов дискет для архива винчестера и вести циклическую запись на эти комплекты. Например, для записи на трех комплектах дискет можно использовать принцип “неделя-месяц-год”. Периодически следует оптимизировать расположение файлов на винчестере, что существенно облегчает их восстановление.
Безопасность обработки данных зависит от безопасности использования компьютерных систем. Компьютерной системой называется совокупность аппаратных и программных средств, различного рода физических носителей информации, собственно данных, а также персонала, обслуживающего перечисленные компоненты.
В настоящее время в США разработан стандарт оценок безопасности компьютерных систем, так называемые критерии оценок пригодности. В нем учитываются четыре типа требований к компьютерным системам:
- требования к проведению политики безопасности - security policy;
- ведение учета использования компьютерных систем - accounts;
- доверие к компьютерным системам;
- требования к документации.
Требования к проведению последовательной политики безопасности и ведение учета использования компьютерных систем зависят друг от друга и обеспечиваются средствами, заложенными в систему, т.е. решение вопросов безопасности включается в программные и аппаратные средства на стадии проектирования.
Нарушение доверия к компьютерным системам, как правило, бывает вызвано нарушением культуры разработки программ: отказом от структурного программирования, не исключением заглушек , неопределенным вводом и т.д. Для тестирования на доверие нужно знать архитектуру приложения, правила устойчивости его поддержания, тестовый пример.
Требования к документации означают, что пользователь должен иметь исчерпывающую информацию по всем вопросам. При этом документация должна быть лаконичной и понятной.
Только после оценки безопасности компьютерной системы она может поступить на рынок.
Дата добавления: 2016-04-06; просмотров: 758;