Файловый архив студентов. Файловый архив студентов.
1321 вуз, 5379 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Академия гражданской защиты МЧС России
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
ИТ Марюха / УчПосИТ СБ / УчПосIIа раз.doc
Скачиваний:
118
Добавлен:
09.05.2015
Размер:
3.07 Mб
Скачать
►Содержание►

2.10.Технология защиты информации в мчс России.

.

Наряду с позитивным влиянием на все стороны человеческой деятельности широкое внедрение информационных технологий привело к появлению новых угроз безопасности людей. Это связа­но с тем обстоятельством, что информация, создаваемая, хранимая и обрабатываемая средствами вычислительной техники, стала оп­ределять действия большей части людей и технических систем. В связи с этим резко возросли возможности нанесения ущерба, свя­занные с хищением информации, так как воздействовать на любую систему (социальную, биологическую или техническую) с целью ее уничтожения, снижения эффективности функционирования или воровства ее ресурсов (денег, товаров, оборудования) возможно только в том случае, когда известна информация о ее структуре и принципах функционирования. Подробно все эти вопросы изложеныподробно в [ МарюхЮдин ]. Особенно важно отметить на принятие в МЧС РФ новой Концепции по информационной безопасности в МЧС (приказ №121 от 7.03 .07).

Все виды информационных угроз можно разделить на две боль­шие группы случайные и преднамеренные [Мар]. Далее будет кратко раскрыты вопросы защиты информации для пользователя, а более подробно в [ Мар.]

Помимо естественных способов выявления и своевременного устранения причин утечки информации, используют следующие спе­циальные способы защиты информации от нарушений работоспо­собности информационных систем:

  • внесение структурной, временной, информационной и функ­циональной избыточности компьютерных ресурсов;

  • защиту от некорректного использования ресурсов информационной системы;

  • выявление и своевременное устранение ошибок на этапах разработки программно-аппаратных средств.

Структурная избыточность компьютерных ресурсов достигается за счет резервирования аппаратных компонентов и машинных но­сителей данных, организации замены отказавших и своевременно­го пополнения резервных компонентов. Структурная избыточ­ность составляет основу остальных видов избыточности.

Внесение информационной избыточности выполняется путем периодического или постоянного (фонового) резервирования дан­ных на основных и резервных носителях. Зарезервированные дан­ные обеспечивают восстановление случайно или преднамеренно уничтоженной и искаженной информации. Для восстановления ра­ботоспособности компьютерной системы после появления устой­чивого отказа кроме резервирования обычных данных следует за­благовременно резервировать и системную информацию, а также подготавливать программные средства восстановления.

Функциональная избыточность компьютерных ресурсов дости­гается дублированием функций или внесением дополнительных функций в программно-аппаратные ресурсы вычислительной сис­темы для повышения ее защищенности от сбоев и отказов, напри­мер периодическое тестирование и восстановление, а также само­тестирование и самовосстановление компонентов компьютерной системы.

Защита от некорректного использования информационных ре­сурсов заключается в корректном функционировании программ­ного обеспечения с позиции использования ресурсов вычисли­тельной системы. Программа может четко и своевременно выпол­нять свои функции, но некорректно использовать компьютерные ресурсы из-за отсутствия всех необходимых функций (например, изолирование участков оперативной памяти для операционной системы и прикладных программ, защита системных областей на внешних носителях, поддержка целостности и непротиворечиво­сти данных).

Выявление и устранение ошибок при разработке программ­но-аппаратных средств достигается путем качественного выполне­ния базовых стадий разработки на основе системного анализа кон­цепции, проектирования и реализации проекта.

Однако основным видом угроз целостности и конфиденциаль­ности информации являются преднамеренные угрозы, заранее пла­нируемые злоумышленниками для нанесения вреда. Их можно раз­делить на две группы:

• угрозы, реализация которых выполняется при постоянном участии человека;

• угрозы, реализация которых после разработки злоумышлен­ником соответствующих компьютерных программ выполняется этими программами без непосредственного участия человека.

Задачи по защите от угроз каждого вида одинаковы:

  • запрещение несанкционированного доступа (НСД) к ресурсам вы­числительных систем;

  • невозможность несанкционированного использования ком­пьютерных ресурсов при осуществлении доступа;

  • своевременное обнаружение факта несанкционированных действий, устранение их причин и последствий.

Основным способом запрещения несанкционированного досту­па к ресурсам вычислительных систем является подтверждение подлинности пользователей и разграничение их доступа к инфор­мационным ресурсам, включающего следующие этапы (рис.1.33):

  • идентификация;

  • установление подлинности (аутентификация);

  • определение полномочий для последующего контроля и разграничения доступа к компьютерным ресурсам.

Идентификация необходима для указания компьютерной системе уникального идентификатора обращающегося к ней пользовате­ля. Идентификатор может представлять собой любую последова­тельность символов и должен быть заранее зарегистрирован в системе администратора службы безопасности. В процессе регистрации заносится следующая информация:

- фамилия, имя, отчество (при необходимости другие характеристики пользователя);

- уникальный идентификатор пользователя;

- имя процедуры установления подлинности;

- эталонная информация для подтверждения подлинности (например, пароль);

- ограничения на используемую эталонную информацию (на­пример, время действия пароля);

- полномочия пользователя по доступу к компьютерным ресур­сам.

Установление подлинности (аутентификация) заключается в проверке истинности полномочий пользователя.

Для особо надежного опознания при идентификации исполь­зуются технические средства, определяющие индивидуальные ха­рактеристики человека (голос, отпечатки пальцев, структура зрач­ка). Однако такие методы требуют значительных затрат и поэтому используются редко. Наиболее массово используемыми являются парольные методы проверки подлинности пользователей. Пароли можно разделить на две группы: простые и динамически изме­няющиеся.

Простой пароль не изменяется от сеанса к сеансу в течение ус­тановленного периода его существования.

Во втором случае пароль изменяется по правилам, определяе­мым используемым методом. Выделяют следующие методы реали­зации динамически изменяющихся паролей:

  • методы модификации простых паролей. Например, случайная выборка символов пароля и одноразовое использование паролей;

  • метод «запрос—ответ», основанный на предъявлении пользо­вателю случайно выбираемых запросов из имеющегося массива;

  • функциональные методы, основанные на использовании не­которой функции F с динамически изменяющимися параметрами (дата, время, день недели и др.), с помощью которой определяетсяпароль. Для защиты от несанкционированного входа в компьютерную систему используются как общесистемные, так и специализирован­ные программные средства защиты.

Рис. 1.33. Общая схема идентификации и установления подлинности

пользователя

После идентификации и аутентификации пользователя система защиты должна определить его полномочия для последующего контроля санкционированного доступа к компьютерным ресурсам (разграничение доступа). В качестве информационных ресурсов рас­сматриваются:

  • программы;

  • внешняя память (файлы, каталоги, логические диски);

  • информация, разграниченная по категориям в базах данных;

  • оперативная память;

  • время (приоритет) использования процессора;

  • порты ввода-вывода;

  • внешние устройства.

Различают следующие виды прав пользователей по доступу к ресурсам:

  • всеобщее (полное предоставление ресурса);

  • функциональное или частичное;

  • временное.

Наиболее распространенными способами разграничения досту­па являются:

разграничение по спискам (пользователей или ресурсов);

использование матрицы установления полномочий (строки матрицы—идентификаторы пользователей, столбцы — ресурсы компьютерной системы);

разграничение по уровням секретности и категориям (напри­мер, общий доступ, конфиденциально, секретно);

парольное разграничение.

Защита информации от исследования и копирования предпола­гает криптографическое закрытие защищаемых от хищения дан­ных. Задачей криптографии является обратимое преобразование некоторого понятного исходного текста (открытого текста) в кажу­щуюся случайной последовательность некоторых знаков, часто на­зываемых шифротекстом, или криптограммой. В шифре выделяют два основных элемента — алгоритм и ключ. Алгоритм шифрования представляет собой последовательность преобразований обрабаты­ваемых данных, зависящих от ключа шифрования. Ключ задает значения некоторых параметров алгоритма шифрования, обеспечи­вающих шифрование и дешифрование информации. В криптографической системе информация и ключ являются входными данными для шифрования и дешифрования ин­формации. При похищении информации необходимо знать ключ и алгоритм шифрования. По способу использования ключей различают два типа криптографических систем: симметрические и асимметрические.

В симметрических (одноключевых) криптографических систе­мах ключи шифрования и дешифрования либо одинаковы, либо легко выводятся один из другого.

В асимметрических (двухключевых или системах с открытым ключом) криптографических системах ключи шифрования и де­шифрования различаются таким образом, что с помощью вычисле­ний нельзя вывести один ключ из другого. Скорость шифрования в двухключевых криптографических сис­темах намного ниже, чем в одноключевых. Поэтому асимметрические системы используют в двух случаях:

  • для шифрования секретных ключей, распределенных между пользователями вычислительной сети;

  • для формирования цифровой подписи.

Одной из основных угроз хищения информации является угро­за доступа к остаточным данным в оперативной и внешней памяти компьютера. Под остаточной информацией понимают данные, ос­тавшиеся в освободившихся участках оперативной и внешней па­мяти после удаления файлов пользователя, удаления временных файлов без ведома пользователя, находящиеся в неиспользуемых хвостовых частях последних кластеров, занимаемых файлами, а также в кластерах, освобожденных после уменьшения размеров файлов и после форматирования дисков.

Основным способом защиты от доступа к конфиденциальным остаточным данным является своевременное уничтожение данных в следующих областях памяти компьютера:

  • в рабочих областях оперативной и внешней памяти, выделен­ных пользователю, после окончания им сеанса работы;

  • в местах расположения файлов после выдачи запросов на их удаление.

Уничтожение остаточных данных может быть реализовано либо средствами операционных сред, либо с помощью специализиро­ванных программ. Использование специализированных программ (автономных или в составе системы защиты) обеспечивает гаранти­рованное уничтожение информации.

Подсистема защиты от компьютерных вирусов (специально разработанных программ для выполнения несанкционированных действий) является одним из основных компонентов системы за­щиты информации и процесса ее обработки в вычислительных системах.

Выделяют три уровня защиты от компьютерных вирусов:

  • защита от проникновения в вычислительную систему вирусов известных типов;

  • углубленный анализ на наличие вирусов известных и неиз­вестных типов, преодолевших первый уровень защиты;

  • защита от деструктивных действий и размножения вирусов, преодолевших первые два уровня.

Поиск и обезвреживание вирусов осуществляются как автоном­ными антивирусными программными средствами (сканеры), так и в рамках комплексных систем защиты информации.

Широкое внедрение в повседневную практику информациионных се­тей, их открытость, масштабность делают проблему защиты инфор­мации исключительно сложной. Выделяют две базовые подзадачи:

  • обеспечение безопасности обработки и хранения информа­ции в каждой рабочей станции, входящих в сеть;

  • защита информации, передаваемой между рабочими станциями сети.

Решение первой задачи основано на многоуровневой защите автономных информационных ресурсов от несанкционированных и некорректных действий пользователей и программ, рассмотренных выше.

Безопасность информации при сетевом обмене данными требу­ет также обеспечения их конфиденциальности и подлинности. За­щита информации в процессе передачи достигается на основе за­щиты каналов передачи данных, а также криптографического за­крытия передаваемых сообщений. В идеальном случае защита ка­налов передачи данных должна обеспечивать их защиту как от на­рушений работоспособности, так и несанкционированных дейст­вий (например, подключения к линиям связи). По причине боль­шой протяженности каналов связи, а также возможной доступно­сти их отдельных участков (например, при беспроводной связи) за­щита каналов передачи данных от несанкционированных действий экономически неэффективна, а в ряде случаев невозможна. Поэто­му реально защита каналов передачи данных строится на основе защиты нарушений их работоспособности.

Следовательно, изложенные вопросы защиты информации, коснулись только края этой огромной проблемы. Особенности этой промлемы заключаются в значительно высокой динамики развития по сравнению со всеми информационными технологиями.

Преимущества, получаемые при внедрении виртуальных частных сетей.

Итак, какие же преимущества имеет внедрение виртуальных частных сетей (ВЧС) в сеть передачи данных МЧС России?

Несомненно, самым важным является более низкая себестоимость передачи данных в виртуальной частной сети по сравнению с арендованным каналом. Особенно важное значение это свойство приобретает в последнее время, когда обычным явлением становятся видеоконференции. Видеоконференция требует заданной полосы пропускания канала с одной стороны, и соблюдения конфиденциальности с другой. При использовании арендуемого канала достижимы оба этих свойства, но какой ценой? Видеоконференции не проводятся непрерывно, а занимают максимум несколько часов в неделю. В остальное время канал передачи данных, фактически работает вхолостую. Однако оплата аренды канала от этого не уменьшается, поскольку организация платит не за трафик или занятость канала какое-то время, а за то что он постоянно есть и его пропускная способность целиком и полностью принадлежит организации.

Если взять виртуальную частную сеть, то мы получим существенное уменьшение расходов, поскольку оплачиваться будут только переданные данные. Что же касается гарантированной полосы пропускания, то постоянное совершенствование сетевой инфраструктуры, увеличение пропускной способности каналов передачи данных (в частности, в той же сети Internet) и внедрение новых технологий коммутации (таких как многопротокольная коммутация меток – MPLS) позволяет провайдерам услуг VPN или Internet, гарантировать заданную готовность сетевой инфраструктуры и пропускную способность получаемого канала передачи данных. Предоставление этих гарантий закрепляется подписанием соглашения о качестве обслуживания. В результате за гораздо меньшие деньги имеется аналогичный, по сравнению с выделенным каналом, результат.

Технологии туннелирования, применяемые при создании ВЧС, обеспечивают универсальность поддерживаемых технологий, поскольку при передаче, пакет-пассажир инкапсулируется в пакет туннелирования, что обеспечивает передачу по виртуальному туннелю любого типа трафика. Таким образом, возможна организация услуги голосовой телефонии по каналу передачи данных, затраты на которую в несколько раз меньше, чем на обычные междугородние переговоры.

Наконец, самое важное – шифрование инкапсулируемых пакетов при помощи симметричных или ассиметричных алгоритмов, обеспечивает конфиденциальность и передаваемых данных. В зависимости от применяемой технологии поддерживаются аутентификация пользователей и обеспечение целостности передаваемых данных.

Необходимо также отметить простоту внедрения и использования технологии. Для конечного пользователя виртуальная частная сеть остается незаметной. Ресурсы серверов, удаленных на другой конец страны, доступны как в локальной сети. Требуют обучения только системные администраторы локальных сетей, которым необходимо освоить навыки настройки и обслуживания граничных маршрутизаторов или криптошлюзов, в которых собственно и осуществляется основная функциональность ВЧС. Для пользователей, работающих на дому или в командировке, доступ к корпоративным ресурсам с их переносного рабочего места настраивается не сложнее чем удаленное подключение к компьютеру (вычислительной сети), причем работают они так, как будто их компьютер находится в корпоративной сети, с единственным ограничением по скорости подключения на «последней миле» - то есть от провайдера к конечному пользователю.

Таким образом, технология виртуальных частных сетей представляет собой сравнительно простое решение, позволяющее в кратчайшие сроки и с наименьшими затратами добиться объединения разнесенных локальных сетей организации в единую экстрасеть, обладающую, с некоторым допуском, всеми свойствами частной сети, и значительно экономящую средства организации, затрачиваемые на обмен данными.

Рассмотрев положение дел в области создания АИУС РСЧС, можно увидеть, что технология виртуальных частных сетей может сравнительно легко создать единое информационное пространство РСЧС. К этому имеются определенные предпосылки:

  • нехватка денег на организацию действительно частной сети;

  • огромная стоимость аренды каналов передачи информации частных операторов Взаимоувязанной сети связи Российской Федерации;

  • наличие представительств частных операторов ВСС РФ в каждом регионе;

  • наличие провайдеров Internet в каждом регионе, и на территориальных уровнях;

  • необходимость как можно более скорого создания единого информационного пространства МЧС России.

Следовательно, технология ВЧС может обеспечить наиболее быстрое и эффективное решение большого количества проблем. Остается лишь выбрать конкретный продукт и определить порядок установки, настройки и использования.

Соседние файлы в папке УчПосИТ СБ
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности