Реферат на тему Системы защиты информации в США

Содержание:

Введение. 3

1.   Информационная
безопасность государственных информационных систем. 4

2.   Безопасность
информационных систем США.. 11

3.   О современном состоянии и
последних действиях в системе информационной безопасности США. 15

Заключение. 19

Список
использованной литературы.. 21

Введение:

Актуальность
темы исследования. В качестве системообразующего фактора современного и
динамично развивающегося общества информационная сфера существенно влияет на
политическое, экономическое, культурное, защитное и идеологическое состояние в
целом и элементы жизненной безопасности государств, наций и отдельных лиц, что
подчеркивает важность информационной безопасности в системе национальной
безопасности.

Информационная
безопасность — это состояние национального сообщества, в котором гарантируется
всесторонняя и безопасная защита человека, общества и государства от разного
рода информационных рисков и угроз, радикально ориентированных политических и
социальных сил.

Следовательно,
информационная безопасность — это сложный процесс, позволяющий постепенно преодолевать
любые информационные риски. Вызовы и угрозы, с которыми сталкивается
информационная безопасность, определяют конкретное содержание практических
шагов и мер, обеспечивающих национальную безопасность.

Объектом
исследования в диссертации является политика США в области обеспечения
информационной безопасности как во внутренней политике, так и в международных
отношениях.

Предмет
исследования — политические, экономические, законодательно-правовые,
международно-дипломатические и военные вопросы, связанные с проблемой
обеспечения информационной безопасности в США, позицией Соединённых Штатов по
вопросам информационной безопасности в международных отношениях.

Главной
целью данного исследования является анализ политики США в области
информационной безопасности — как на внутриполитическом уровне, так и во
внешней политике,

Заключение:

Анализ вопросов информационной безопасности должен
включать выявление интересов субъектов информационных отношений, связанных с
использованием информационных систем. Риск информационной безопасности — это
только противоположный сайт использования информационных технологий.

Отображение интересов субъектов, связанных с
использованием информационных технологий, можно разделить на компоненты
обеспечения доступности, целостности и конфиденциальности информации и
поддерживающей инфраструктуры. Ключевым моментом в различных мероприятиях в
области информационной безопасности является эффективная и комплексная защита
социальных, национальных и государственных интересов субъектов информационных
отношений.

Исследования информационной безопасности проводятся как
на внутригосударственном, так и на общегосударственном, межгосударственном /
региональном / и местном уровнях. Кроме того, в сферах деятельности
государственных органов политической власти, гражданского общества, а также в
сфере информационной безопасности личности.

Эффективная государственная политика в сфере
информационной безопасности во многом зависит от правильного выбора
исследовательских приоритетов национальных проблем, уровня междисциплинарных и
философских подходов к их решению. Учитывая нынешние исключительные условия для
распространения Интернета, сетевых и компьютерных технологий, информационные
ресурсы современного общества подвергаются значительному количеству рисков,
полных различного рода повреждений и потерь, что создает новые угрозы и вызовы
для национальной информационной инфраструктуры.

Информационная безопасность сегодня, как самостоятельное
направление развития и использования современных технологий, без тени
преувеличения, переживает свое второе рождение. Потоки информации, связанные с
производством, закупкой и продажей товаров предоставлением и оказанием услуг,
банковскими финансовыми операциями, нормативно — правовой и законодательной
деятельностью, образованием и развлечениями постоянно нарастают. По некоторым
оценкам только суммарная стоимость ежедневных финансовых транзакций в Интернете
уже достигла отметки 2.8 млрд. долл.

На наших глазах глобализация информационных ресурсов
становится определяющим фактором существования и выживания современной цивилизации  В этой связи опыт США — страны с одной из
наиболее развитой в мире информационной и телекоммуникационной инфраструктурой,
ставшей за последние несколько лет объектом для совершения террористических
актов и кибернетических атак, представляется весьма интересным и поучительным с
точки зрения анализа тенденций в государственной, бюджетной, инвестиционной ,
научно — технической и кадровой политике решения комплекса проблем, связанных с
обеспечением информационной безопасности национальной инфраструктуры.

Также отметим, что проведение операций в компьютерных
сетях предполагает три основных направления деятельности: защита собственных
информационных систем, сбор разведывательных данных в компьютерных системах
противника и, наконец, сетевые компьютерные атаки. Хотя эти направления
изначально были сформулированы в Минобороны, в то же время в их реализации
участвуют и многие другие ведомства США. Защита компьютерных сетей охватывает
действия, направленные на защиту информации, компьютеров и сетей от
проникновения, повреждения или разрушения противником. К наиболее уязвимым
элементам национальной информационной инфраструктуры относятся: оборудование,
включая периферийное и коммуникационное оборудование; компьютеры, телевидение,
видео и аудио оборудование; программного обеспечения; сетевые стандарты и коды
для передачи данных; информация как таковая, представленная в виде баз данных,
аудио- и видеозаписей, архивов и т.д.; специалисты, работающие в информационной
сфере.

Фрагмент текста работы:

1. Информационная безопасность государственных
информационных систем Поскольку компьютеры и другие цифровые устройства стали
важными для бизнеса и коммерции, они также все чаще становятся мишенью для
атак. Чтобы компания или частное лицо могли уверенно использовать
вычислительное устройство, они должны сначала быть уверены, что устройство
никоим образом не скомпрометировано и все коммуникации будут безопасными.

 В этой главе мы
рассмотрим фундаментальные концепции безопасности информационных систем и
обсудим некоторые меры, которые можно предпринять для снижения угроз
безопасности. Мы начнем с обзора, посвященного тому, как организации могут
оставаться в безопасности. Будут обсуждены несколько различных мер, которые
компания может предпринять для повышения безопасности.

Защищая информацию, мы хотим иметь возможность ограничить
доступ для тех, кому разрешено ее видеть; всем остальным следует запретить
узнавать что-либо о его содержании. В этом суть конфиденциальности. Например,
федеральный закон требует, чтобы университеты ограничивали доступ к частной
информации о студентах. Университет должен быть уверен, что только
авторизованные пользователи имеют доступ к просмотру отчетов об успеваемости.

Целостность — это гарантия того, что информация, к
которой осуществляется доступ, не была изменена и действительно представляет
то, что задумано. Подобно тому, как честный человек означает то, что он или она
говорит, и ему можно доверять, что он последовательно представляет истину,
целостность информации означает, что информация действительно представляет
предполагаемое значение [13].

Информация может потерять свою целостность из-за злого
умысла, например, когда кто-то, не имеющий соответствующих полномочий, вносит
изменения, чтобы намеренно что-то исказить. Примером этого может быть случай,
когда хакера нанимают для входа в университетскую систему и изменения оценки.

Целостность также может быть потеряна непреднамеренно,
например, когда скачок напряжения компьютера повреждает файл или кто-то,
имеющий право вносить изменения, случайно удаляет файл или вводит неверную
информацию.

Доступность информации — третья часть триады ЦРУ.
Доступность означает, что информация может быть доступна и изменена любым
уполномоченным на это лицом в надлежащие сроки. В зависимости от типа
информации подходящий срок может означать разные вещи. Например, биржевому
трейдеру требуется, чтобы информация была доступна немедленно, в то время как
продавец может быть счастлив получить на следующее утро данные о продажах за
день в отчете. Такие компании, как Amazon.com, потребуют, чтобы их серверы были
доступны двадцать четыре часа в сутки, семь дней в неделю. Другие компании
могут не пострадать, если их веб-серверы время от времени отключаются на
несколько минут.

Для обеспечения конфиденциальности, целостности и
доступности информации организации могут выбирать из множества инструментов. Каждый
из этих инструментов может использоваться как часть общей политики
информационной безопасности, которая будет обсуждаться в следующем разделе.

Аутентификация может быть достигнута путем идентификации
кого-либо с помощью одного или нескольких из трех факторов: что-то, что он
знает, что-то, что у него есть, или что-то, чем он является. Например, наиболее
распространенной формой аутентификации сегодня является идентификатор
пользователя и пароль. В этом случае аутентификация выполняется путем подтверждения
того, что пользователь знает (их идентификатор и пароль). Но эту форму
аутентификации легко взломать (см. Врезку), и иногда требуются более строгие
формы аутентификации. Идентифицировать кого-либо только по тому, что у него
есть, например, по ключу или карте, также может быть проблематичным. Когда этот
идентификационный жетон утерян или украден, личность может быть легко украдена.
Последний фактор, то, чем вы являетесь, гораздо труднее пойти на компромисс.
Этот фактор идентифицирует пользователя с помощью физических характеристик,
таких как сканирование глаз или отпечаток пальца. Идентификация человека по его
физическим характеристикам называется биометрией [9].

Более безопасный способ аутентификации пользователя — это
многофакторная аутентификация. Комбинируя два или более перечисленных выше
факторов, кому-то становится намного сложнее представить себя в ложном свете.
Примером этого может быть использование токена RSA SecurID. Устройство RSA —
это то, что у вас есть, и оно будет генерировать новый код доступа каждые
шестьдесят секунд. Чтобы войти в информационный ресурс с помощью устройства
RSA, вы комбинируете то, что вам известно, четырехзначный PIN-код, с кодом, сгенерированным
устройством. Единственный способ правильно аутентифицироваться — это знать код
и иметь устройство RSA.

Следующим шагом после аутентификации пользователя
является обеспечение того, чтобы он мог получить доступ только к
соответствующим информационным ресурсам. Это делается за счет использования
контроля доступа. Контроль доступа определяет, какие пользователи имеют право
читать, изменять, добавлять и / или удалять информацию. Существует несколько
различных моделей управления доступом. Здесь мы обсудим два: список управления
доступом (ACL) и управление доступом на основе ролей (RBAC).

Для каждого информационного ресурса, которым организация
желает управлять, может быть создан список пользователей, которые могут
выполнять определенные действия. Это список управления доступом или ACL.
Каждому пользователю назначаются определенные возможности, такие как чтение,
запись, удаление или добавление. Только пользователи с такими возможностями
могут выполнять эти функции. Если пользователя нет в списке, он не имеет
возможности даже знать, что информационный ресурс существует [11].

Списки контроля доступа просты для понимания и
обслуживания. Однако у них есть несколько недостатков. Основным недостатком
является то, что каждый информационный ресурс управляется отдельно, поэтому,
если администратор безопасности захочет добавить или удалить пользователя из
большого набора информационных ресурсов, это будет довольно сложно. А по мере
увеличения количества пользователей и ресурсов ACL становится все труднее
поддерживать. Это привело к усовершенствованному методу контроля доступа,
называемому контролем доступа на основе ролей или RBAC. В RBAC вместо того,
чтобы предоставлять конкретным пользователям права доступа к информационному
ресурсу, пользователям назначаются роли, а затем этим ролям назначается доступ.
Это позволяет администраторам отдельно управлять пользователями и ролями,
упрощая администрирование и, как следствие, повышая безопасность.