Общая характеристика угроз и служб безопасности
Внедрение информационной системы
Внедрение информационной управляющей системы представляет собой постепенный переход от существующей системы управления к новой. Внедрение системы осуществляется заказчиком при участии разработчика по мере готовности отдельных подсистем. Процесс внедрения, как правило, разбивается на три этапа: подготовку объекта управления к работе с информационной системой; опытную эксплуатацию; промышленную эксплуатацию.
Подготовка к работе с информационной системой включает: монтаж и наладку технических средств; подготовку и обучение персонала; заполнение базы данных необходимой информацией; подготовку инструкций для операторов и документации на отдельные подсистемы.
Опытная эксплуатация заключается в тестировании в реальных условиях отдельных подсистем информационной системы. На основании опытной эксплуатации принимается решение о готовности подсистемы к промышленной эксплуатации или необходимости ее доработки и внесения каких-либо изменений.
Промышленная эксплуатация информационной системы на этапе внедрения предусматривает проверку работоспособности и эффективности использования системы в целом. При необходимости на этом этапе система дорабатывается для достижения запланированной эффективности управления.
После ввода системы в эксплуатацию единственным источником затрат являются эксплуатационные расходы на поддержание работоспособности системы. Нередко эти расходы существенно превышают затраты на создание системы и продолжают стремительно расти в процессе эксплуатации. В этом случае ссылаются на ошибки, допущенные при реализации системы. Однако исследования показали, что наибольший процент ошибок в системе возникает в процессе анализа и проектирования, а стоимость обнаружения и исправления ошибок резко возрастает на более поздних стадиях проекта. Например, исправление ошибки на стадии проектирования стоит в 2 раза, на стадии тестирования - в 10 раз, а на стадии эксплуатации системы - в 100 раз дороже, чем на стадии анализа. Таким образом, попытка сократить затраты за счет ранних стадий работ является основной причиной увеличения суммарных затрат на создание и реализацию системы.
Глава 9. Безопасность информации в ЛВС.
Под угрозой безопасности понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию ресурсов сети, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства.
Угрозы принято делить на случайные, или непреднамеренные, и умышленные. Источником первых могут быть ошибки в программном обеспечении, выходы из строя аппаратных средств, неправильные действия пользователей или администрации ЛВС и т.д.. Умышленные угрозы, в отличие от случайных, преследуют цель нанесения ущерба пользователям (абонентам) ЛВС и, в свою очередь, подразделяются на активные и пассивные.
Пассивные угрозы, как правило, направлены на несанкционированное использование информационных ресурсов ЛВС, не оказывая при этом влияния на ее функционирование. Пассивной угрозой является, например, попытка получения информации, циркулирующей в каналах передачи данной ЛВС, посредством прослушивания последних.
Активные угрозы имеют целью нарушение нормального функционирования ЛВС посредством целенаправленного воздействия на ее аппаратные программные и информационные ресурсы. К активным угрозам относятся, например, разрушение или радиоэлектронное подавление линий связи ЛВС, выход из строя ЭВМ или ее операционной системы, искажение сведений в пользовательских базах данных или системной информации ЛВС и т.п. Источниками активных угроз могут быть непосредственные действия злоумышленников, программные вирусы и т.п.
К основным угрозам безопасности относятся: раскрытие конфиденциальной информации, компрометация информации, несанкционированное использование ресурсов ЛВС, ошибочное использование ресурсов ЛВС, несанкционированный обмен информацией, отказ от информации, отказ в обслуживании.
Средствами реализации угрозы раскрытия конфиденциальной информации могут быть несанкционированный доступ к базам данных, упоминавшееся выше прослушивание каналов ЛВС и т.п. В любом случае, получение информации, являющейся достоянием некоторого лица (группы лиц), другими лицами, наносит ее владельцам существенный ущерб.
Компрометация информации, как правило, реализуется посредством внесения несанкционированных изменений в базы данных, в результате чего ее потребитель вынужден либо отказываться от нее, либо предпринять дополнительные усилия для выявления изменений и восстановления истинных сведений. В случае использования скомпрометированной информации потребитель подвергается опасности принятия неверных решений со всеми вытекающими отсюда последствиями.
Несанкционированное использование ресурсов ЛВС, с одной стороны, является средством раскрытия или компрометации информации, а с другой - имеет самостоятельное значение, поскольку, даже не касаясь пользовательской или системной информации, может нанести определенный ущерб абонентам или администрации ЛВС. Этот ущерб может варьироваться в весьма широких пределах - от сокращения поступления финансовых средств, взимаемых за предоставление ресурсов ЛВС, до полного выхода сети из строя.
Ошибочное использование ресурсов ЛВС, будучи санкционированным, тем не менее, может привести к разрушению, раскрытию или компрометации указанных ресурсов. Данная угроза чаще всего является следствием ошибок, имеющихся в программном обеспечении ЛВС.
Несанкционированный обмен информацией между абонентами ЛВС может привести к получению одним из них сведений, доступ к которым ему запрещен, что по своим последствиям равносильно раскрытию информации.
Отказ от информации состоит в непризнании получателем или отправителем этой информации, фактов ее получения или отправки соответственно. Это, в частности, помогает одной из сторон расторгать заключенные соглашения (финансовые, торговые, дипломатические и т.п.), тем самым, нанося второй стороне значительный урон.
Отказ в обслуживании представляет собой весьма существенную и достаточно распространенную угрозу, источником которой является сама ЛВС. Подобный отказ особенно опасен в ситуациях, когда задержка с предоставлением ресурсов сети абоненту может привести к тяжелым для него последствиям. Так, отсутствие у абонента данных, необходимых для принятия решений в течение периода времени, когда это решение еще может быть эффективно реализовано, может стать причиной его нерациональных действий.
Для реализации служб безопасности используются механизмы безопасности. Шифрование обеспечивает реализацию служб засекречивания и используется в ряде других служб. Шифрование может быть симметричным и асимметричным. Первое основывается на использовании одного и того же секретного ключа для шифрования и де шифрования. Второе характеризуется тем, что для шифрования используется один ключ, а для де шифрования - другой, являющийся секретным. При этом знание общедоступного ключа не позволяет определить секретный ключ.
Следует отметить, что для использования механизмов шифрования в ЛВС необходима организация специальной службы генерации ключей и их распределения между абонентами ЛВС.