30522

Основные понятия защиты информации (субъекты, объекты, доступ, граф доступов, информационные потоки). Постановка задачи построения защищенной автоматизированной системы (АС). Ценность информации

Доклад

Математика и математический анализ

Ценность информации. Доска Пример матрицы доступа дискреционная модель защиты Выступление Основные понятия защиты информации. В связи с развивающимся процессом информатизации общества все большие объемы информации накапливаются хранятся и обрабатываются в автоматизированных системах построенных на основе современных средств вычислительной техники и связи.

Русский

2013-08-24

50.99 KB

51 чел.

Основные понятия защиты информации (субъекты, объекты, доступ, граф доступов, информационные потоки). Постановка задачи построения защищенной автоматизированной системы (АС). Ценность информации.

Доска

Пример матрицы доступа (дискреционная модель защиты)

Выступление

Основные понятия защиты информации.

Под информацией понимается сведения: о фактах, событиях, процессах и явлениях, о состоянии объектов (их свойствах, характеристиках) в некоторой предметной области, воспринимаемые человеком или специальным устройством и используемые (необходимые) для оптимизации принимаемых решений в процессе управления данными объектами.

Информация может существовать в различных формах в виде совокупностей некоторых знаков (символов, сигналов и т.п.) на носителях различных типов. В связи с развивающимся процессом информатизации общества все большие объемы информации накапливаются, хранятся и обрабатываются в автоматизированных системах, построенных на основе современных средств вычислительной техники и связи.

Защита информации – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Объект - компьютерная или автоматизированная система обработки данных.

Субъект - любая сущность, способная инициировать выполнение операций над объектами.

Доступ - категория субъектно-объектной модели, описывающая процесс выполнения операций субъектов над объектами

Потоком информации между объектом Оm и объектом Оj называется произвольная операция над объектом Оj реализуемая в субъекте Si, и зависящая от Оm.

Граф доступов – граф, который определяет доступ субъектов к объектам.

Можно сформулировать две аксиомы защищенных АС.

Аксиома 1. В защищенной АС всегда присутствует активный компонент (субъект), выполняющий контроль операций субъектов над объектами. Этот компонент фактически отвечает за реализацию некоторой политики безопасности.

Аксиома 2. Для выполнения в защищенной АС операций над объектами необходима дополнительная информация (и наличие содержащего ее объекта) о разрешенных и запрещенных операциях субъектов с объектами.

Также сформулирована аксиома, имеющая фундаментальное значение для всей теории информационной безопасности.

Аксиома 3. Все вопросы безопасности информации в АС описываются доступами субъектов к объектам.

Под автоматизированной системой обработки информации (АС) будем понимать организационно-техническую систему, представляющую собой совокупность следующих взаимосвязанных компонентов:

         технических средств обработки и передачи данных (средств вычислительной техники и связи);

         методов и алгоритмов обработки в виде соответствующего программного обеспечения;

         информации (массивов, наборов, баз данных) на различных носителях;

         персонала и пользователей системы, объединенных по организационно-структурному, тематическому, технологическому или другим признакам для выполнения автоматизированной обработки информации (данных) с целью удовлетворения информационных потребностей субъектов информационных отношений.

Одной из особенностей обеспечения информационной безопасности в АС является то, что абстрактным понятиям, таким как "субъект доступа", "информация" и т.п., ставятся в соответствие физические представления в среде вычислительной техники:

         для представления "субъектов доступа" - активные программы и процессы,

         для представления информации - машинные носители информации виде внешних устройств компьютерных систем (терминалов, печатающих устройств, различных накопителей, линий и каналов связи), томов разделов и подразделов томов, файлов, записей, полей записей, оперативной памяти и т.д.

Информационная безопасность АС - состояние рассматриваемой автоматизированной системы, при котором она, с одной стороны, способна на противостоять дестабилизирующему воздействию внешних и внутренних информационных угроз, а с другой - ее наличие и функционирование не создает информационных угроз для элементов самой системы и внешней среды.

Постановка задачи построения защищенной автоматизированной системы.

Защищенные автоматизированные системы  – автоматизированные системы, в которых обеспечивается безопасность информации.

Защищенные автоматизированные системы должны для определенных условий эксплуатации обеспечивать безопасность (конфиденциальность и целостность) обработки информации и поддерживать свою работоспособность в условиях воздействия на систему заданного множества угроз.

 

 

 

Свойства защищенной АС:

         Осуществлять автоматизацию некоторого процесса обработки, включая все аспекты этого процесса, связанные с обеспечением обработки информации.

         Успешно противостоит угрозам безопасности, действующим в определенной среде.

         Соответствовать требованиям и критериям стандартов информационной безопасности.

ИБ достигается проведением  (руководством) соответствующего уровня  политики ИБ. Основной документ на основе которого проводится политика ИБ – программа ИБ. В документе приводятся цели политики ИБ и основные направления решения задач защиты информации в КС.  В ней также должны содержаться общие требования и принципы построения системы защиты информации в КС.

Для того чтобы построить защищенную систему  необходимо: провести единый комплекс правовых норм, организационных мер, технических, программных и криптографических средств, обеспечивающий защищенность информации в АС в соответствии с принятой политикой безопасности, т.е. создать систему защиты.

Ценность информации.

Ценность информации определяется степенью ее полезности для владельца. Обладание истинной (достоверной) информацией дает ее владельцу определенные преимущества. Истинной или достоверной информацией является информация, которая с достаточной для владельца (пользователя) точностью отражает объекты и процессы окружающего мира в определенных временных и пространственных рамках.

Информация, искаженно представляющая действительность (недостоверная информация), может нанести владельцу значительный материальный и моральный ущерб. Если информация искажена умышленно, то ее называют дезинформацией.

Законом «Об информации, информатизации и защите информации» гарантируется право собственника информации на ее использование и защиту от доступа к ней других лиц (организаций). Если доступ к информации ограничивается, то такая информация является конфиденциальной. Конфиденциальная информация может содержать государственную или коммерческую тайну. Коммерческую тайну могут содержать сведения, принадлежащие частному лицу, фирме, корпорации и т. п. Государственную тайну могут содержать сведения, принадлежащие государству (государственному учреждению). В соответствии с законом «О государственной тайне» сведениям, представляющим ценность для государства, может быть присвоена одна из трех возможных степеней секретности. В порядке возрастания ценности (важности) информации ей может быть присвоена степень (гриф) «секретно», «совершенно секретно» или «особой важности». В государственных учреждениях менее важной информации может присваиваться гриф «для служебного пользования».

Для обозначения ценности конфиденциальной коммерческой информации используются три категории:

     «коммерческая тайна - строго конфиденциально»;

     «коммерческая тайна - конфиденциально»;

     «коммерческая тайна».

Используется и другой подход к градации ценности коммерческой информации:

     «строго конфиденциально - строгий учет»;

     «строго конфиденциально»;

     «конфиденциально».

Ценность информации изменяется во времени.

 Распространение информации и ее использование приводят к изменению ее ценности и цены. Характер изменения ценности во времени зависит от вида информации.

Ценность большинства видов информации, циркулирующей в обществе, со временем уменьшается - информация стареет. Старение информации (эс итое) в первом приближении можно аппроксимировать выражением вида:

где   - ценность информации в момент ее возникновения (создания);

-   время от момента возникновения информации до момента ее использования;

- продолжительность жизненного цикла информации (от момента возникновения до момента устаревания).

В соответствии с этим выражением за время жизненного цикла ценность информации уменьшается до 0.1 первоначальной величины.

В зависимости от продолжительности жизненного цикла коммерческая информация классифицируется следующим образом:

-  оперативно-тактическая, теряющая ценность примерно по 10% в день (например, информация выдачи краткосрочного кредита, предложения по приобретению товара в срок до одного месяца и др.);

-  стратегическая информация, ценность которой убывает примерно 10% в месяц (сведения о партнерах, о долгосрочном кредите, развитии и т. д.).

Информация покупается и продается.

Ее правомочно рассматривать как товар, имеющий определенную цену. Цена, как и ценность информации, связаны с полезностью информации для конкретных людей, организаций, государств. Информация может быть ценной для ее владельца, но бесполезной для других. В этом случае информация не может быть товаром, а, следовательно, она не имеет и цены.

Информация может быть получена тремя путями:

     проведением научных исследований;

     покупкой информации;

     противоправным добыванием информации.

Как любой товар, информация имеет себестоимость, которая определяется затратами на ее получение. Себестоимость зависит от выбора путей получения информации и минимизации затрат при добывании необходимых сведений выбранным путем. Информация добывается с целью получения прибыли или преимуществ перед конкурентами, противоборствующими сторонами. Для этого информация:

    продается на рынке;

    внедряется в производство для получения новых технологий и товаров, приносящих прибыль;

    используется в научных исследованиях;

    позволяет принимать оптимальные решения в управлении.

Невозможно объективно (без учета полезности ее для потребителя, владельца, собственника) оценить количество информации.

Иногда полезность информации связывают с ее качеством. Но понятие «качество» применительно к информации не имеет самостоятельного значения, так как оно поглощается понятием «количество».Под качеством информации обычно подразумевают качество отображения ее на носителе или ее достоверность (соответствие оригиналу). Качество информации в этом смысле можно достаточно объективно измерить.

Для определения количества информации в теории информации предложен энтропийный подход. В соответствии с ним количество информации оценивается мерой уменьшения у получателя неопределенности (энтропии) выбора или ожидания событий после получения информации. Количество получаемой информации тем больше, чем ниже вероятность события. Такой подход хорошо разработан для определения количества информации в сообщении, передаваемом по каналам связи. Выбор при приеме осуществляется между символами алфавита сообщения. Количество информации в передаваемом по каналам связи сообщении из N символов (без учета связи между символами в сообщении) рассчитывается  по известной формуле Шеннона:

где  - вероятность появления в сообщении символа i;

k - количество символов в алфавите языка.

Как следует из формулы, количество информации, измеряемое в двоичных элементах (в битах, байтах), зависит только от количества и статистики символов, но не зависит от содержания сообщения. Количество информации, определяемое по этой формуле, одинаковое при передаче бессмысленного текста или сообщения о жизненно важных для получателя сведениях. С точки зрения передачи таких сообщений по каналам связи такой подход обоснован, так как затраты на передачу этих сообщений одинаковы.

Если информацию трактовать как знания, то количество информации, извлекаемой человеком из сообщения, можно оценить степенью изменения его знаний. Структурированные знания, представленные в виде понятий и отношений между ними, называются тезаурусом. Тезаурус имеет иерархическую структуру. Понятия и отношения, группируясь, образуют другие, более сложные понятия и отношения.

Знания отдельного человека, организации, государства образуют соответствующие тезаурусы. В общем случае количество информации, получаемое из сообщения ее получателем, зависит от соотношения тезауруса сообщения и получателя. Если тезаурус сообщения составляет часть тезауруса получателя или их тезаурусы настолько отличаются по составу, что не пересекаются, то количество получаемой информации минимальное.

Тезаурусы человека и любой организационной структуры представляют их капитал. Поэтому они стремятся, во-первых, к сохранению (безопасности) своего тезауруса, а, во-вторых, к его увеличению. Тезаурус владельца информации может быть увеличен как за счет синтеза знаний владельцем путем проведения собственных исследований или разработок, так и их законного и незаконного приобретения.

При копировании, не изменяющем информационные параметры носителя, количество информации не меняется, а цена снижается.

После снятия копии с документа на ксероксе или другим способом количество информации в нем не меняется. В результате этого несанкционированное копирование (хищение) информации может остаться незамеченным для ее владельца, если отсутствуют иные признаки проникновения злоумышленника к ее источнику и факта хищения. Но если при копировании происходят воздействия на информационные параметры носителя, приводящие к изменению их значений, или незначительные изменения накапливаются, то количество информации уменьшается. Ухудшается качество звука и изображения соответственно на аудио- и видеопленке из-за механического разрушения магнитного слоя, книжка зачитывается до дыр, обесцвечиваются из-за воздействия яркого ультрафиолетового света цвета изображения оригинала при ксерокопировании и т. д.. Так как при каждом кодировании увеличивается число ее законных и незаконных пользователей, то в соответствии с законами рынка цена снижается.


 

А также другие работы, которые могут Вас заинтересовать

74486. ТЕХНИКА ПЕРЕГОВОРНЫХ ПРОЦЕССОВ 72.5 KB
  При проведении переговоров важно понимать общие закономерности делового общения что позволит анализировать ситуацию учитывать интересы партнера говорить на общем языке. В процессе переговоров можно выделить три основные стадии: подготовка к переговорам; процесс их ведения; анализ результатов переговоров и выполнение достигнутых договоренностей. Основные этапы переговоров способы подачи позиции Исходный пункт любых управленческих действий это определение цели. Ошибается тот кто в качестве цели переговоров ставит безоговорочное...
74487. Особенности делового общения: деловая беседа, деловые переговоры, деловые совещания, деловые дискуссии 66 KB
  Структура деловой беседы: подготовка к деловой беседе; установление места и времени проведения встречи; начало беседы: вступление в контакт; постановка проблемы и передача информации информирование партнёров; аргументирование выдвигаемых положений; опровержение доводов собеседника; анализ альтернатив поиск оптимального или компромиссного варианта либо конфронтация участников; принятие решения; фиксация договорённостей; завершение беседы; анализ результатов беседы своей тактики общения. является трудным и ответственным делом...
74488. Конфликты. Формы работы с конфликтами и методы их разрешения 217.5 KB
  Конфликты. Конфликты всегда существовали существуют и будут существовать они неотъемлемая часть человеческих взаимоотношений. Возможность возникновения конфликтов существует во всех сферах. Конфликты рождаются на почве ежедневных расхождений во взглядах разногласий и противоборства разных мнений нужд побуждений желаний стилей жизни надежд интересов и личностных особенностей.
74489. Стили и средства общения 479.5 KB
  Конкретный выбор стиля общения определяется многими факторами: личностными особенностями человека его мировоззрением и положением в обществе характеристиками этого общества и многим другим. Все присутствующие знают друг друга лет двадцать собираются вместе 34 раза в год сидят несколько часов и говорят об одном и том же. Когда ваша рука захватывает руку другого человека так что ладонь оказывается поверхностью вниз это свидетельствует о том что вы хотите главенствовать в процессе общения с вашим партнёром рис. Оно бывает необходимо в...
74490. Этика и этикет делового общения 57 KB
  Нравственные эталоны и образцы поведения руководителя: Стремитесь превратить вашу организацию в сплочённый коллектив с высокими моральными нормами общения. etiquette означает установленный порядок поведения гделибо. Деловой этикет важнейшая сторона морали профессионального поведения делового человека. Деловой этикет результат длительного отбора правил и форм наиболее целесообразного поведения которое способствовало успеху в деловых отношениях.
74491. Общая характеристика общения 100.5 KB
  Общение это сложный многоплановый процесс установления и развития контактов между людьми порождаемый потребностями совместной деятельности и включающий в себя обмен информацией выработку единой стратегии взаимодействия восприятия и понимание другого человека. Перцептивная сторона общения Вопрос о том как происходит чтение другого человека что позволяет нам понимать его поведение встают перед каждым из нас. Для того чтобы понимать это необходимо ответить на следующие вопросы: Как формируется первое впечатление Как происходит...
74492. РУКОВОДСТВО И ЛИДЕРСТВО 113 KB
  В первом случае руководитель отождествляя себя с более крупными группами организации нежели с группой подчиненных может считать что эмоциональная привязанность к рабочей группе может стать тормозом на его пути. Однако недостатков больше чем достоинств: высокая вероятность ошибочных решений; подавление инициативы творчества подчиненных замедление нововведений застой пассивность сотрудников; неудовлетворенность людей своей работой своим положением в коллективе; неблагоприятный психологический климат подхалимы козлы отпущения...
74493. ТЕХНИКА И ТАКТИКА АРГУМЕНТИРОВАНИЯ 82 KB
  Правило №1 правило Гомера Очередность приводимых аргументов влияет на их убедительность. Как видно из примера причина неудачи в том что просительница нарушила правило Гомера. Правило №2 правило Сократа Для получения положительного решения по очень важному для вас вопросу поставьте его на третье место предпослав ему два коротких простых для собеседника вопроса на которые он без затруднения скажет вам да. Правило №3 правило Паскаля Не загоняйте собеседника в угол.
74494. СПОР, ДИСКУССИЯ, ПОЛЕМИКА. ПРОИСХОЖДЕНИЕ И ПСИХОРЛОГИЧЕСКИЕ ОСОБЕННОСТИ 100.5 KB
  Знать правила спора надо не только для того чтобы вести его самому. Вникнуть в суть обсуждаемых ими проблем разобраться в доводах за и против поможет знание психологических особенностей спора. Что же такое спор Какова его сущность с какими видами споров нам приходится иметь дело Понятие спора. Вовторых осуществив процесс спора стороны приходят к более глубокому уяснению позиции как своей собственной так и позиции своего оппонента.