Файловый архив студентов. Файловый архив студентов.
1301 вуз, 5089 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Пермский Государственный аграрно-технологический университет им. Д.Н. Прянишникова
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Л_16_Защита ИС.doc
Скачиваний:
0
Добавлен:
01.03.2025
Размер:
258.05 Кб
Скачать
►Содержание►

3. Защита информации в корпоративных сетях экономических ис

Корпорация — это объединение организаций, лиц на основе совместных, профессиональных интересов, одна из форм акционерного общества для крупного бизнеса. Для крупных корпораций характерна сложная, территориально-распределенная структура с многоуровневым и многозвенным построением.

Корпоративные вычислительные сети создаются на протяжении нескольких лет. В них используется оборудование разных производителей и разных поколений, как самое современное, так и устаревшее, не всегда изначально ориентированное на совместную работу, передачу и обработку данных. По мере развития корпоративных сетей задача управления ими усложняется, требует новых средств управления сетями в масштабах всего предприятия. Такие средства должны быть независимы от протоколов, масштабируемы и должны обеспечивать централизованное управление сетью.

Основная цель объединения разрозненных филиалов одной корпорации — создание единого информационного пространства и единых сервисных функций: предоставление потребителям единой системы управления и контроля (мониторинга) ресурсов корпоративной сети, снижение затрат, объединение сетей передачи данных и телефонии, защита от несанкционированного доступа.

Информационный ресурс корпорации особенно уязвим. Информационная структура корпорации разнородна, состоит из набора распределенных систем, технологий, баз и банков данных и локальных задач; разные виды деятельности имеют разную информационную поддержку. Данные разных подразделений (при отсутствии их интеграции) могут дублироваться, храниться в разных форматах, дополнять друг друга в какой-то предметной области и при этом быть недоступными специалистам. При этом отсутствуют возможности использовать в полной мере все разнообразие информационных ресурсов. Работа с сервисами Интернета существенно увеличивает угрозы для корпоративной информации. Такое положение затрудняет, усложняет и удорожает создание и надежное функционирование систем защиты.

В целях информационной безопасности корпорации при работе корпорации с Интернетом необходимо соблюдение следующих правил:

  • тщательно сохранять пароль и при подозрении менять его;

  • не оставлять компьютер без присмотра во время сеанса связи;

  • получив необходимые сведения, полностью закончить сеанс связи перед посещением других сайтов;

  • использовать кодирование сообщений, приходящих по сети, и другое.

Требования к защите корпоративных сетей от вредоносных программ:

  • Использование лицензионных программных и технических средств, средств защиты.

  • Аттестация объектов информации на соответствие требованиям нормативных документов по защите.

  • Определение перечня допустимых к использованию программных средств, запрет применения не включенных в перечень программных средств.

  • Использование современных антивирусных средств борьбы с вредоносными программами и своевременное их обновление.

  • Разработка организационно распорядительных документов по защите объектов от вредоносных программ и методов профилактики по исключению их попадания в сеть, обеспечение осведомленности пользователей об общих признаках появления вредоносных программ.

  • Разработка методов резервирования, сохранения и восстановления программного обеспечения и информационных ресурсов при их заражении или поражении вирусами.

  • Обеспечение регулярных проверок компьютерных средств на предмет заражения вредоносными программами.

Основная угроза компьютерным системам находится в программно-технических методах и средствах: сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т.п.

Механизмы обеспечения информационной безопасности корпоративных сетей:

  • Идентификация и аутентификация.

  • Управление доступом. Современные программные продукты имеют в своем составе систему разграничения доступа. Организационные мероприятия по вводу нового пользователя в систему являются прерогативой службы безопасности. Пример - заполнение анкеты на право доступа к системе. В анкете содержится перечень разрешенных оператору к выполнению функциональных задач, операций, действий. Анкета утверждается руководством банка, службой безопасности, службой сопровождения. Оператору для входа в систему необходимо знать два пароля: пароль супервизора для физического входа в компьютер и личный пароль для входа в систему.

  • Протоколирование и регистрация.

  • Криптография и сетевая защита.

  • Экранирование. В корпоративных сетях выполняется с помощью межсетевых экранов. Межсетевой экран предотвращает возможность нарушения пользователями установленных администраторами правил безопасности информации. Экран не разрешает пользователям доступ к тем серверам, которые не требуются для выполнения ими своих служебных обязанностей. Межсетевые экраны могут быть реализованы программно и аппаратно. Программные экраны дешевле, но менее производительны и требуют значительных ресурсов компьютера. Аппаратные экраны - это специальные аппаратно-программные технические комплексы, работающие под управлением специализированных или обычных операционных систем, модифицированных для выполнения защитных функций.

Обработка сведений, составляющих коммерческую тайну, требует обеспечения их безопасности на стадии создания и проектирования ИС. Проектирование средств защиты ИС включает: обследование АИС и разработку организационно-распорядительных документов; выбор, приобретение, установку, настройку и эксплуатацию средств защиты; обучение персонала работе с имеющимися средствами защиты; информационное обслуживание по вопросам безопасности; периодический аудит системы информационной безопасности.

Разработанные методы и средства защиты должны решать следующие задачи:

  1. Защита от проникновения в корпоративную сеть и от утечки информации из сети по каналам связи. Основным средством реализации угрозы является канал подключения корпоративной сети к глобальной сети Интернет. Наиболее распространенным решением является применение межсетевых экранов. Они позволяют определить и реализовать правила разграничения доступа пользователей корпоративной сети, скрыть структуру сети от внешнего пользователя, блокировать отправку информации по «запретным» адресам и контролировать применение Интернета.

  2. Разграничение потоков информации между сегментами сети. В этом случае чаще всего используются уже имеющиеся в сети межсетевые экраны, предназначенные для контроля за потоками информации между внутренней сетью и Интернетом.

  3. Защита наиболее критичных ресурсов сети (серверов) от вмешательства (проведения атак) в нормальный процесс функционирования.

  4. Защита важных рабочих мест и ресурсов от несанкционированного доступа. Многие АИС ориентируются только на встроенные защитные механизмы операционных систем (как правило, сетевых), что обеспечивает достаточную защиту информации на серверах. Но количество серверов составляет в корпоративной сети 1—3% от общего числа рабочих станций, на которых и производится обработка защищенной информации. При этом примерно 90% рабочих станций работает под управлением MS DOS или Windows и не имеет никаких средств защиты, так как эти операционные системы не содержат встроенных защитных механизмов. Возникает ситуация — на незащищенном АРМ обрабатывается важная информация, доступ к которой ничем не ограничен. Именно в этих случаях рекомендуется применять дополнительные средства защиты, в частности, средства криптографической защиты (для защиты криптографических ключей); регламентирование и протоколирование действий пользователей; разграничение прав пользователей по доступу к локальным ресурсам.

  5. Криптографическая защита наиболее важных информационных ресурсов. Шифрование. Применение в России подобных средств жестко регламентируется законами. Предназначенные для шифрования информационные продукты устанавливаются только на тех рабочих местах, на которых хранится информация, имеющая очень высокую важность, или обрабатываются электронные денежные платежи (например, в системах «Банк — клиент»).

Контроль качества защиты информации на объектах находится в ведении организаций, прошедших специальную экспертизу и аккредитованных в общей системе сертификации Гостехкомиссией (в настоящее время — Федеральная служба по техническому и экспертному контролю) как органом аттестации. Они несут полную юридическую и финансовую ответственность за свои действия. В настоящее время на рынке услуг в этой области существует две категории организаций: имеющие лицензию, но не аккредитованные; и обладающие лицензией и аккредитаций. Разница между ними состоит в том, что хотя и те и другие могут проводить проверки организаций, относящиеся к первой категории (чаще всего это организации — субподрядчики) не имеют права утверждать аттестат соответствия и должны обращаться за этим в один из органов по аттестации, либо непосредственно в Гостехкомиссию.

Построение персонализированной системы защиты информации в корпоративном предприятии, банке возможно лишь фирмами, имеющими лицензию на указанный характер деятельности.

Для определения адекватности стоимости системы защиты сопоставляют вероятность нанесения и размеры возможного ущерба с размерами затрат на обеспечение защиты. При этом применяются качественные экспертные оценки.

Уровень защищенности информации определяется исходя из уровня конфиденциальности обрабатываемой информации и уровня ущерба от нарушения защиты. Определение требуемого уровня конфиденциальности — прерогатива руководства банка. В основном компьютерные преступления совершаются сотрудниками банка. Некоторые банки предпочитают содержать штат разработчиков программного обеспечения, которым известны все слабые места системы и которые могут лучше, чем другие сотрудники, осуществлять сопровождение и модифицирование системы и информации. Осуществлению компьютерных преступлений способствует нарушение регламента и правил архивирования информации.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности