- •Введение
- •Основные понятия и определения.
- •Основные виды угроз интересам коммерческого банка
- •Обеспечение безопасности информационных систем
- •Этапы создания системы безопасности
- •Системы контроля и управления доступом. Структура и компоненты систем контроля и управления доступом.
- •Принцип функционирования системы контроля и управления доступом
- •Системы охраны периметров
- •Типы периметральных систем
- •Защита информации от утечки за счёт побочного электромагнитного излучения и наводок (пэмин)
- •Криптографическая защита информации. Принципы кодирования информации
- •Традиционная криптография
- •Основные понятия и терминология криптологии
- •Классификация криптографических систем
- •Тpебования к кpиптосистемам
- •Потоковое шифрование. Скремблеры.
- •Современные симметричные криптосистемы.
- •Алгоритм aes
- •Криптография с открытым ключом
- •Комбинированные (гибридные) системы.
- •Стеганография
- •Идентификация и установление подлинности. Объект идентификации и установления подлинности.
- •Идентификация и установление подлинности пользователя.
- •Идентификация и установление подлинности электронных документов – цифровая подпись.
- •Управление криптографическими ключами.
- •Управление ключами в симметричных криптосистемах.
- •Управление ключами в асимметричных системах.
- •Цифровые сертификаты
- •Защита от вредоносных программ
- •Сетевые черви
- •Троянские программы
- •Эволюция сетей - эволюция вирусов
- •Антивирусные средства
- •Сетевая безопасность. Методы и средства защиты от удаленных атак через сеть Internet. Возможные атаки в сети.
- •Межсетевой экран
- •Фильтры пакетов
- •Шлюзы сеансового уровня
- •Шлюзы прикладного уровня
- •Прокси-сервер
- •Средства анализа защищенности
- •Сканирование
- •Зондирование
- •Проверка заголовков
- •Имитация атак
- •Краткий обзор брандмауэров
- •Антихакер Касперского
- •Обеспечение безопасности электронных платежей через сеть Internet.
- •Основные методы защиты.
- •Литература
- •Приложение 1 Арифметика в классах вычетов (модулярная арифметика)
- •Вычисление обратной величины
Обеспечение безопасности информационных систем
Обеспечение безопасности ИС предполагает защиту всех компонентов ИС - аппаратных средств, программного обеспечения, данных и персонала.
Существует два подхода к проблеме обеспечения безопасности ИС: фрагментарный и комплексный.
Фрагментарный подход направлен на противодействие четко определенным угрозам в заданных условиях. Достоинством такого подхода является высокая избирательность к конкретной угрозе, однако даже небольшое видоизменение угрозы ведет к потере эффективности защиты.
Комплексный подход ориентирован на создание защищенной среды обработки информации в ИС, объединяющей в единый комплекс разнородные меры противодействия угрозам. Достоинство - гарантия определенного уровня безопасности ИС. Недостатки: ограничения на свободу действий пользователей, большая чувствительность к ошибкам установки и настройки средств защиты, сложность управления. Этот подход нашел свое отражение в различных стандартах.
Комплексный подход основан на разработанной для конкретной ИС политике безопасности. Политика безопасности представляет собой набор норм, правил и практических рекомендаций, на которых строится управление, защита и распределение информации в ИС.
По способам осуществления все меры обеспечения безопасности подразделяют на:
•правовые (законодательные);
•морально-этические;
•административные (организационные);
•физические;
•аппаратно-программные.
К правовым мерам защиты информации относят действующие в стране законы, указы и другие нормативные акты, регламентирующие правила обращения с информацией ограниченного использования и ответственности за их нарушения.
Второй рубеж защиты образуют морально-этические меры. Этический момент в соблюдении требований защиты имеет весьма большое значение. Очень важно, чтобы люди, имеющие доступ к информации, работали в здоровом морально-этическом климате. Нормы поведения большей частью не являются обязательными, как законодательно утвержденные, но их несоблюдение обычно ведет к падению престижа человека или организации. Морально-этические нормы бывают как неписанными, так и оформленными в некий свод правил или предписаний. Например, “Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США” рассматривает как неэтичные действия, которые умышленно или неумышленно:
•нарушают нормальную работу компьютерных систем;
•вызывают неоправданные затраты ресурсов (машинного времени, памяти, каналов связи);
•нарушаю целостность информации;
•нарушают интересы других законных пользователей и.т.п.
Административные меры защиты относятся к мерам организационного характера. Они регламентируют:
• процессы функционирования ИС;
• использование ресурсов ИС;
• деятельность персонала;
• порядок взаимодействия пользователей с системой. Административные меры включают:
•разработку правил обработки информации в ИС,
•учет при проектировании и оборудовании влияния стихии, пожаров, охрану помещений,
•проверку новых сотрудников, ознакомление их с порядком работы с конфиденциальной информацией, создание условий, при которых персоналу было бы невыгодно допускать злоупотребления,
•организацию пропускного режима,
•организацию делопроизводства,
•распределение паролей, полномочий,
•организацию скрытого контроля за работой персонала и др.
Административно-организационные меры защиты могут показаться скучными и рутинными по сравнению с морально-этическими и лишенными конкретности по сравнению с аппаратно-программными, однако они представляют собой базу для всех других уровней защиты.
Четвертым рубежом являются технические средства защиты, которые можно разделить на физические и программно-аппаратные меры защиты. К физическим мерам защиты относятся разного рода механические, электро- и электронно-механические устройства или сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновении и доступа потенциальных нарушителей.
Наконец, к аппаратно-программным средствам защиты относятся различные электронные устройства и специальные программы, которые реализуют следующие способы защиты:
•идентификацию (распознавание) и аутентификацию(проверку подлинности) субъектов (пользователей, процессов);
•разграничение доступа к ресурсам;
•контроль целостности данных;
•регистрацию и анализ событий, происходящих в ИС;
•резервирование ресурсов и компонентов.
При проектировании эффективной системы защиты следует учитывать ряд принципов:
•экономическая эффективность;
•минимум привилегий;
•простота;
•отключаемость защиты - при нормальном функционировании защита не должна отключаться; •открытость для специалистов по системе защиты - они должны четко представлять принципы ее функционирования и адекватно реагировать в затруднительных ситуациях;
•всеобщий контроль - любые исключения резко снижают защищенность;
•независимость от субъектов защиты - лица, занимавшиеся разработкой системы, не должны быть в числе тех, кого эта система будет контролировать;
•отчетность и подконтрольность - система должна предоставлять доказательства корректности своей работы;
•ответственность - личная ответственность лиц, занимающихся обеспечением безопасности;
•изоляция и разделение на группы таким образом, чтобы нарушение защиты в одной из групп не влияло на безопасность других;
•полнота и согласованность - должна быть полностью специфицирована, протестирована и согласована;
•параметризация - более гибкая, если допускает изменение параметров со стороны администратора;
•принцип враждебного окружения - пользователи имеют наихудшие намерения, что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты;
•привлечение человека - наиболее важные решения должны приниматься человеком;
•отсутствие излишней информации о существовании механизмов защиты.