Разработка системы защиты информации в ГОУ СПО «Добрянский гуманитарно-технологический техникум им. П.И. Сюзева»

ПЕРМСКИЙ  РЕГИОНАЛЬНЫЙ ИНСТИТУТ ПЕДАГОГИЧЕСКИХ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ 
 
 
 

            Кафедра информационных технологий 
 
 
 
 
 
 

Разработка  системы защиты информации в ГОУ  СПО «Добрянский гуманитарно-технологический  техникум им. П.И. Сюзева»

Выпускная квалификационная работа 
 
 
 
 
 

Допущен к защите

Зав. кафедрой ИТ.

 
д.ф.н., профессор

Юнина Е.А. 

Дата ______________

Подпись___________ 

 
 
 
 
 
 

Пермь, 2009

 

ОГЛАВЛЕНИЕ 

ВВЕДЕНИЕ          3

ГЛАВА I. Анализ угроз безопасности информации в локальных вычислительной сети государственного образовательного  
учреждения среднего профессионального образования  
«Добрянский гуманитарно-технологический  
техникум им. П.И. Сюзева»        7

§ 1. Угрозы безопасности информации в  
образовательных учреждениях      7

§ 2. Виды неправомерного использования информации  
в образовательных учреждениях      12

   §3 . Проблемы, связанные с угрозами безопасности информации 15

   §4. Основные цели сетевой безопасности     17

   §5. Тестирование ЛВС на наличие уязвимостей и ошибок  22

   §6. Выявление угроз безопасности информации    29 

ГЛАВА II. Анализ существующих программных продуктов, используемых для защиты информации в ЛВС    32

§1. Программные средства, приносящие вред  
компьютерным системам образовательных учреждений  32

§2. Выбор программных средств для защиты информации в ЛВС техникума          37 

ГЛАВА III. Разработка системы защиты информации  
в ЛВС ГОУ СПО «Добрянский гуманитарно- 
технологический техникум им. П.И. Сюзева»    41 

ЗАКЛЮЧЕНИЕ          45

СПИСОК  ЛИТЕРАТУРЫ        47

 

ВВЕДЕНИЕ

 
 

     Сегодня трудно представить себе образовательное  учреждение, не оснащенное средствами вычислительной техники. Среднее профессиональное образование не является исключением, а зачастую и опережает другие образовательные структуры по своей технической и информационной оснащенности, по применению средств вычислительной техники и информационных технологий в управлении образовательной структурой, в организации учебного процесса и осуществлении обучения. Это обусловлено тем, что именно в системе СПО сегодня зачастую отрабатываются инновационные технологии, связанные с применением информационных ресурсов.

     Любые организации, широко применяющие компьютерные технологии в своей работе рано или поздно сталкиваются с проблемами информационной безопасности. С какими проблемами информационной безопасности можно столкнуться уже сегодня, что ждет образовательные учреждения завтра можно прогнозировать, основываясь на исследованиях различных государственных и независимых структур, достаточно давно проводимых других странах, и набирающих обороты в России.

     До  недавнего времени в России информационной безопасностью всерьез занимались только банковские, военные и правительственные структуры, Подобные вышеприведенным репрезентативные опросы, проводятся нерегулярно и не охватывают все сферы деятельности, поэтому точно оценить ущерб от потерь, искажений и несанкционированного использования информации российских предприятий и организаций пока не представляется возможным.

     При всем этом можно судить о беспечности  и слабой информированности российских пользователей компьютеров в  области информационной безопасности, о чем говорят результаты опроса, проведенного порталом SecurityLab.ru и «Лабораторией Касперского». Даже с учетом заинтересованности фирм, проводивших опрос в реализации их продукции, а занимаются они разработкой систем защиты информации и антивирусным программным обеспечением, результаты опроса могут говорить об очень низкой квалификации большинства пользователей в области информационной безопасности.

     В результате опроса 1014 респондентов, было выявлено, что около 40% опрошенных хранят на своих компьютерах пароли доступа, номера кредитных карточек и др. конфиденциальную информацию. Подобная беспечность в совокупности с отсутствием на компьютерах средств защиты информации может привести к непоправимым финансовым и другим потерям.

     Переход фирм производителей программного обеспечения  от «безопасности через замалчивание» (security through obscurity), при которой явные и неявные огрехи системы информационной безопасности не публиковались и не были известны широкому кругу пользователей, к системе безопасности, предусматривающей «полное разглашение» (full-disclosure), при которой все известные и потенциальные уязвимости информационных систем публикуются в общедоступных ресурсах, сыграло злую шутку со многими пользователями. Злоумышленники получили легальный доступ к достаточно полной информации о выявленных недостатках в системах безопасности, в то время как организации, использующие те или иные программные средства, остаются незащищенными, т.к. производители не всегда могут устранить все выявленные недостатки в короткие сроки, а иногда и вообще не могут их устранить на базе существующих программных средств.

     В данной ситуации в очень сложном  положении оказываются именно бюджетные  структуры, к которым относятся  и большинство образовательных  учреждений, так как своевременная  покупка новейших программно-аппаратных средств защиты по многим причинам становится невозможной.

     Более удачной попыткой регулирования  является вторая версия политики разглашения  информации об уязвимостях Rain Forest Puppy (RFPolicy) Согласно ей лицо, обнаружившее проблему, должно попытаться установить связь посредством электронной почты с владельцем системы и помочь ему в устранении уязвимости.

     Похожего  подхода придерживаются авторы документа  «Vulnerability Disclosure Framework» представленного  правительству США. Отличием данного  документа от RFPolicy является появление третьей стороны – координатора. Согласно приведенным рекомендациям, в случае возникновения конфликта производителя и лица, обнаружившего уязвимость, последний связывается с третьей доверенной стороной - координатором, который пытается разрешить конфликт, например, связывается с владельцем ресурсов по альтернативным каналам.

     Даже  при таком, более лояльном к производителям и пользователям подходе зачастую оказывается, что устранять недочеты в системе безопасности вынуждены сами конечные пользователи. [1]

     Может показаться, что проблемы информационной безопасности затрагивают в основном коммерческую сферу, и не столь важны  в системе образования, и в  частности, образования дополнительного. Но это далеко не так. Для иллюстрации данной проблемы необходимо оценить все возможные угрозы и степень их опасности для образовательной среды.

     Актуальность  работы обеспечивается:

1. разработкой политики безопасности данного образовательного учреждения в условиях информационной борьбы;
2. глубокой проработкой и решением ряда важных проблем, направленных на повышение информационной безопасности в системах обработки данных;
3. разработкой и введением в работу системы защиты информации техникума.

     Объектом  исследования является информационная безопасность объекта вычислительной техники.

     Предметом исследования является положения, составляющие общую систему защиты информации в техникуме.

     Цель  работы заключается в разработке системы защиты информации в Добрянском гуманитарном техникуме им. П.И. Сюзева.

     Задачи:

• проанализировать угрозы безопасности информации в локальных вычислительных сетях ГОУ СПО ДГТТ им. П.И. Сюзева;
• проанализировать существующие программные продукты, используемые для защиты информации в локальных вычислительных сетях;
• разработать систему защиты информации в ЛВС ГОУ СПО ДГТТ им. П.И. Сюзева.

 

ГЛАВА I 
Анализ угроз безопасности информации в локальных вычислительной сети государственного образовательного учреждения среднего профессионального образования  
«Добрянский гуманитарно-технологический техникум им. Сюзева» 

     § 1. Угрозы безопасности информации в образовательных учреждениях 

     Под угрозой безопасности информации в компьютерной системе (КС) понимают событие или действие, которое может вызвать изменение функционирования КС, связанное с нарушением защищенности обрабатываемой в ней информации. [5]

      Уязвимость  информации — это возможность возникновения на каком-либо этапе жизненного цикла КС такого ее состояния, при котором создаются условия для реализации угроз безопасности информации. [5]

      Атакой на КС называют действие, предпринимаемое нарушителем, которое заключается в поиске и использовании той или иной уязвимости. Иначе говоря, атака на КС является реализацией угрозы безопасности информации в ней.

      Угрозы  информационной безопасности могут быть разделены на угрозы, не зависящие от деятельности человека (естественные угрозы физических воздействий на информацию стихийных природных явлений), и угрозы, вызванные человеческой деятельностью (искусственные угрозы), которые являются гораздо более опасными.

      Искусственные угрозы исходя из их мотивов разделяются  на непреднамеренные (случайные) и преднамеренные (умышленные).

      К непреднамеренным угрозам относятся:

• ошибки в проектировании КС;
• ошибки в разработке программных средств КС;
• случайные сбои в работе аппаратных средств КС, линий связи, энергоснабжения;
• ошибки пользователей КС;
• воздействие на аппаратные средства КС физических полей других электронных устройств (при несоблюдении условий их электромагнитной совместимости) и др.

К умышленным угрозам относятся:

• несанкционированные действия обслуживающего персонала КС (например, ослабление политики безопасности администратором, отвечающим за безопасность КС);
• несанкционированный доступ к ресурсам КС со стороны пользователей КС и посторонних лиц, ущерб от которого определяется полученными нарушителем полномочиями.

      В зависимости от целей преднамеренных угроз безопасности информации в КС угрозы могут быть разделены на три основные группы:

• угроза нарушения конфиденциальности, т.е. утечки информации ограниченного доступа, хранящейся в КС или передаваемой от одной КС к другой;
• угроза нарушения целостности, т. е. преднамеренного воздействия на информацию, хранящуюся в КС или передаваемую между КС (заметим, что целостность информации может быть также нарушена, если к несанкционированному изменению или уничтожению информации приводит случайная ошибка в работе программных или аппаратных средств КС; санкционированным является изменение или уничтожение информации, сделанное 
  уполномоченным лицом с обоснованной целью);
• угроза нарушения доступности информации, т. е. отказа в обслуживании, вызванного преднамеренными действиями одного 
  из пользователей КС (нарушителя), при котором блокируется доступ к некоторому ресурсу КС со стороны других пользователей КС (постоянно или на большой период времени).