- •Введение
- •Основные понятия и определения.
- •Основные виды угроз интересам коммерческого банка
- •Обеспечение безопасности информационных систем
- •Этапы создания системы безопасности
- •Системы контроля и управления доступом. Структура и компоненты систем контроля и управления доступом.
- •Принцип функционирования системы контроля и управления доступом
- •Системы охраны периметров
- •Типы периметральных систем
- •Защита информации от утечки за счёт побочного электромагнитного излучения и наводок (пэмин)
- •Криптографическая защита информации. Принципы кодирования информации
- •Традиционная криптография
- •Основные понятия и терминология криптологии
- •Классификация криптографических систем
- •Тpебования к кpиптосистемам
- •Потоковое шифрование. Скремблеры.
- •Современные симметричные криптосистемы.
- •Алгоритм aes
- •Криптография с открытым ключом
- •Комбинированные (гибридные) системы.
- •Стеганография
- •Идентификация и установление подлинности. Объект идентификации и установления подлинности.
- •Идентификация и установление подлинности пользователя.
- •Идентификация и установление подлинности электронных документов – цифровая подпись.
- •Управление криптографическими ключами.
- •Управление ключами в симметричных криптосистемах.
- •Управление ключами в асимметричных системах.
- •Цифровые сертификаты
- •Защита от вредоносных программ
- •Сетевые черви
- •Троянские программы
- •Эволюция сетей - эволюция вирусов
- •Антивирусные средства
- •Сетевая безопасность. Методы и средства защиты от удаленных атак через сеть Internet. Возможные атаки в сети.
- •Межсетевой экран
- •Фильтры пакетов
- •Шлюзы сеансового уровня
- •Шлюзы прикладного уровня
- •Прокси-сервер
- •Средства анализа защищенности
- •Сканирование
- •Зондирование
- •Проверка заголовков
- •Имитация атак
- •Краткий обзор брандмауэров
- •Антихакер Касперского
- •Обеспечение безопасности электронных платежей через сеть Internet.
- •Основные методы защиты.
- •Литература
- •Приложение 1 Арифметика в классах вычетов (модулярная арифметика)
- •Вычисление обратной величины
Этапы создания системы безопасности
В общем случае создание системы безопасности АСБ направлено на достижение целого комплекса целей:
Обеспечение физической безопасности;
Обеспечение пожаро и электробезопасности;
Обеспечение экологической безопасности;
Обеспечение безопасности информации;
Обеспечение безопасности связи;
Обеспечение безопасности процесса управления и др.
В связи с этим процесс построения системы защиты достаточно сложен и включает следующие этапы:
1. Проведение обследования на предмет выявления реальных угроз и их анализа.
2. Разработка политики безопасности, организационно-распорядительных документов и мероприятий по обеспечению безопасности в соответствии с требованиями.
3. Проектирование системы безопасности.
4. Разработка образца и реализация системы защиты.
5. Внедрение системы безопасности в действующую структуру предприятия.
6. Обучение персонала.
7. Аттестация системы безопасности предприятия.
8. Сопровождение системы.
На практике очень часто наиболее слабыми звеньями, становятся 1 и 8 этапы. Ресурсы выделяются в основном на разработку и реализацию системы, и забывают, что на поддержание системы безопасности в актуальном состоянии требуются тоже значительные усилия.
В результате анализа деятельности предприятия должны быть определены следующие элементы:
- список жизненно важных прикладных задач, перечисленных в порядке убывания их приоритетности;
- список ресурсов, обеспечивающих обработку данных и перечисленных в порядке убывания их приоритетности;
- потенциально опасные события и оценка вероятности их наступления;
- оценка возможных денежных убытков в случае наступления опасных событий.
Среди таких событий вполне возможны:
- отказ системы кондиционирования воздуха, электрического питания, оборудования, системы телекоммуникации;
- пожар;
- наводнение;
- гражданские беспорядки;
- вандализм или саботаж;
- кража;
- пикетирование и забастовки;
- военные действия.
Как ранее уже говорилось, комплексный подход к обеспечению безопасности основан на разработанной для конкретной ИС политике безопасности. Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту ИС и ассоциированных с ней ресурсов.
С практической точки зрения политику безопасности целесообразно разделить на три уровня.
К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать:
- формирование или пересмотр самой комплексной программы обеспечения безопасности
- назначение ответственных за реализацию этой программы;
- формулировку целей и определение общих направлений их достижения;
- обеспечение технической базы для соблюдения соответствующих правил.
На верхний уровень выносится управление ресурсами защиты и координация их использования, выделение специального персонала, поддержание контактов с другими организациями.
К среднему уровню можно отнести отдельные аспекты безопасности, важные для различных систем, эксплуатируемых организацией. Примеры таких вопросов – использование домашних компьютеров или применение пользователями неофициального программного обеспечения. Политика среднего уровня по каждому подобному аспекту предполагает выработку соответствующего документированного управленческого решения, в котором обычно имеются:
- описание аспекта
- указание на область применения
- четкое расписание соответствующих ролей и обязанностей.
- механизм обеспечения «законопослушности» , т.е. описание запрещенных действий и наказаний за них
- «точки контакта», т.е. должно быть известно, куда следует обращаться за разъяснениями и дополнительной информацией.
Политика безопасности нижнего уровня относится к конкретным процессам и сервисам. Есть много вопросов, специфичных для отдельных сервисов, которые нельзя единым образом регламентировать в рамках всей организации. Политика этого уровня бывает гораздо более детальной и конкретной и содержит цели и правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более формально они изложены, тем проще поддерживать их выполнение. С другой стороны, слишком жесткие правила могут мешать работе пользователей, и вероятно , их придется часто пересматривать. Необходимо найти разумный компромисс, когда за приемлемую цену будет обеспечен приемлемый уровень безопасности, а работники не окажутся чрезмерно скованными.
Политика безопасности определяется способом управления доступом к объектам.
Объект ИС– это пассивный компонент системы, хранящий, принимающий или передающий информацию. Субъект – это активный компонент системы, который может стать причиной потока информации или изменения состояния системы.
Различают два основных вида способа управления доступом: избирательное и полномочное.
Избирательное (или дискреционное) управление доступом характеризуется заданным множеством разрешенных отношений доступа ( например, в виде троек объект-субъект-тип доступа). Обычно для описания свойств избирательного управления доступом применяют математическую модель на основе матрицы доступа (столбец соответствует объекту системы, а строка – субъекту, на пересечении – тип разрешенного доступа, например, «доступ на чтение», «Доступ на исполнение» и т.п. Матрица доступа – самый простой подход к моделированию системы управления доступом, она является основой для более сложных моделей.
Полномочное (или мандатное) управление доступом характеризуется совокупностью правил предоставления доступа, определенных на множестве атрибутов безопасности субъектов и объектов, например, в зависимости от метки конфиденциальности информации и уровня допуска пользователя. Полномочное управление доступом подразумевает, что:
- все субъекты и объекты системы однозначно идентифицированы;
- каждому объекту системы присвоена метка конфиденциальности информации, определяющая ценность содержащейся в ней информации;
- каждому субъекту системы присвоен определенный уровень допуска, определяющий максимальное значение метки конфиденциальности информации объектов, к которому субъект имеет доступ.
Избирательное и полномочное управление доступом, а также управление информационными потоками являются тем фундаментом, на котором строится вся система защиты.