Файловый архив студентов. Файловый архив студентов.
1259 вузов, 4592 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Сыктывкарский лесной институт (филиал СПбГЛТА)
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Defense.doc информатика.doc
Скачиваний:
63
Добавлен:
02.03.2016
Размер:
376.83 Кб
Скачать
►Содержание►

31

2.5. Технологии защиты информации

Возможны различные подходы к обеспечению информационной безопасности и различные уровни ее обеспечения. Для определения требований к безопасности, от которых будут зависеть применяемые подходы и технологии, необходим анализ факторов риска (вероятности сбоя, ущерба от коммерческих потерь и т.п.).

2.5.1. Информационная безопасность и защита информации

Под информационной безопсаностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователм информации и поддерживающей инфраструктуры.

Защита информации – комплекс мероприятий, направленных на обеспечение информационной безопасности.

Меры информационной безопасности делятся на предупреждение, обнаружение, ликвидацию последствий нарушений.

Уровни обеспечения информационной безопасности:

  1. Законодательный.

  2. Организационный (управленческий). Формирование политики безопасности, которая задает направление работ в данной области.

  3. Программно-технический. Ключевые механизмы:

    1. идентификация и аутентификация;

    2. управление доступом;

    3. протоколирование и аудит;

    4. криптография;

    5. экранирование.

Наиболее распространенные угрозы:

  1. Ошибки пользователей (операторов, программистов, администраторов и др. лиц). Такие ошибки могут быть угрозами (например, ошибка в программе, вызвавшая крах системы) или создавать слабости, которыми могут воспользоваться злоумышленники (ошибки администрирования). 65% потерь – следствие непреднамеренных ошибок. Основной способ борьбы – максимальная автоматизация и строгий контроль за правильностью совершаемых действий.

  2. Кражи и подлоги. В большинстве случаев виновники – штатные сотрудники организаций, отлично знакомые с режимом работы и защитными мерами, а также т.наз. обиженные сотрудники.

  3. Угрозы, исходящие от окружающей среды: аварии электропитания, временное отсутствие связи, перебои с водоснабжением, гражданские беспорядки, стихийные бедствия – пожары, наводнения, землетрясения, ураганы. 13% потерь.

  4. Хакеры.

  5. Программные вирусы. Соблюдение несложных правил компьютернгой безопасности сводит риск заражения практически к нулю.

Анализ угроз:

  1. Идентификация угрозы.

  2. Оценка вероятности осуществления угрозы. Допустимо использовать трехбалльную шкалу (низкая, средняя, высокая вероятности).

  3. Оценка размера потенциального ущерба.

2.5.1.1. Управленческие меры обеспечения информационной безопасности

Основная цель – формирование программы работ в области информационной безопасности и обеспечение ее выполнения.

Основой программы является политика безопасности, т.е. совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Уровни политики безопасности:

  1. Верхний уровень. Решения общего характера, затрагивающие организацию в целом.

  2. Средний уровень. Отдельные аспекты информационной безопасности. Например, отношение к передовым технологиям, доступ к Internet, использование домашних компьютеров, применение Пользователями неофициального программного обеспечения.

  3. Нижний уровень. Вопросы безопасности применительно к конкретным сервисам.

Программа безопасности представляет собой программу реализации политики безопасности. Программу структурируют по уровням в соответствии со структурой организации.

Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации. Цели программы верхнего уровня:

  • управление рисками (оценка рисков, выбор эффективных средств защиты);

  • координация деятельности в области информационной безопасности, пополнение и распределение ресурсов;

  • стратегическое планирование;

  • контроль деятельности в области информаицтнной безопасности.

Цель программы нижнего уровня – обеспечение надежной и экономичной защитиы конкретного сервиса или группы однородных сервисов. На этом уровне принимаются решения по используемым подходам и методикам, закупке и установке технических средств, повседневному администрированию, контролю уязвимостей. Обычно за программу нижнего уровня отвечают администраторы сервисов.

Вопросы регулирования режима безопасности:

  • управление персоналом;

  • физическая защита;

  • поддержание работоспособности;

  • реакция на нарушения режима безопасности;

  • палнирование восстановительных работ.

Управление персоналом начинается с составления описания должности. Для определения компьютерных привилегий, ассоциируемых с должностью, привлекают специалиста по компьютерной безопасности. При этом руковожствуются следующими принципами:

  1. Принцип разделения обязанностей : роли и ответственность распределяяются таким образом, чтобы один человек не мог нарушить критически авжный для организации процесс.

  2. Принцип минимизации привилегий: пользователям предоставляются только те права, которые необходимы для выполнения ими служебных обязанностей.

Направления физической защиты:

  • физическое управление доступом;

  • противопожарные меры;

  • защита поддерживающей инфраструктуры;

  • защита от перехвата данных;

  • защита мобильных систем.

Направления поддержания работоспособности:

  • поддержка пользователей;

  • поддержка программного обеспечения;

  • конфигурационное управление;

  • резервное копирование;

  • управление носителями;

  • документирование;

  • регламентные работы.

В рамках поддержки пользователей важно выявлять в потоке их вопросов проблемы, связанные с информационной безопасностью. В рамках поддержки программного обеспечения необходимо контролировать, какое программноре обсепчение выполняется на компьютерах. Конфигурационное управление представляет собой контроль и фиксацию изменений, вносимых в программную конфигурацию. Выполнение резервного копирования должно быть автоматизировано не только для экономии времени, но и для минимизации человеческого файктора. Необходимо наладить размещение копий в безопасном месте. Управление носителями представляет собой обеспечение учета магнитных, оптических, бумажных и прочих носителей и их физической защиты (отражение попыток несанкционированного доступа, предохранение от негативных влияний окружающей среды – жары, влаги, холода, магнетизма и др.). Все аспекты обеспечения безопасности должны быть документированы, при этом к хранению большинства документов по безопасности применяются специфические требования. При выполнении регламентных работ необходим контроль степени доверия к людям, выполняющим эти работы, поскольку они получают исключительные права на доступ к системе.

2.5.1.2. Меры программно-технической безопасности

Идентификация и аутентификация

Идентификация позволяет субъекту (пользователю или процессу, действующему от имени пользователя) назвать себя (сообщить свое имя). Посредством аутентификации (проверки подлинности) вторая сторона убеждается, что субъект действительно тот, за кого себя выдает. Если в поцессе аутентификации подлинность пользователя установлена, то система защиты должна определить его полномочия по использованию ресурсов ВС для последующего контроля установленных полномочий.

Управление доступом

Средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты (пользователи и процессы) могут выполнять над объектами (информацией и другими компьютерными ресурсами).

Имеется совокупность субъектов и набор объектов. Задача логического управления доступом состоит в том, чтобя для каждой пары (субъект, объект) определить множество допустимых операций (зависящее, возможно, от некоторых дополнительных условий) и контролировать выполнение установленного порядка.

Отношение (субъекты, объекты) можно представить в виде матрицы, в строках которой перечислены субъекты, в столбцах – объекты, а в клетках, расположенных на пересечениях столбцов и строк, записаны дополнительные условия (например, время и место действия) и разрешенные виды доступа.

Протоколирование и аудит

Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе предприятия. У каждого сервиса свой набор возможных событий, но в любом случае их можно подразделить на внешние (вызванные действиями других сервисов), внутренние (вызванные действиями самого сервиса) и клиентские (вызванные действиями пользователей и администраторов).

Аудит – это анализ накопленной информации, проводимый оперативно (в квазиреальном масштабе времени) или периодически (например, раз в день).

Цели протокодирования и аудита:

  • обеспечение подотчетности пользователей и администраторов;

  • обеспечение возможности реконструкции последовательности событий;

  • обнаружение попыток нарушения информационной безопасности;

  • предоставление информации для выявления и анализа проблем.

Экранирование

Постановка задачи экранирования. Пусть имеется два мнодества информационных систем. Экран – это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран выполняет свои функции, контролируя все информационные потоки между двумя множествами систем.

Межсетевой (или просто сетевой) экран (брандмауэр, файрволл) — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Основной задачей сетевого экрана является защита компьютерных сетейили отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов— динамическую заменувнутрисетевых (серых) адресовили портов на внешние, используемые за пределами ЛВС.

Классификация сетевых экранов:

    1. По охвату контролируемых потоков данных:

      1. традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями;

      2. персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера;

      3. вырожденный случай использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.

    2. По уровню контролируемых сетевых протоколов:

      1. сетевой уровень (протоколы сетевого уровня IP, IPsec, IPX, ARP, а также транспортного уровня TCP,SPX,UDP,ATP), когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;

      2. сеансовый уровень (протоколы NetBIOS,ADSP,RPC,SMPP), когдаотслеживаются сеансы между приложениями, не пропускаются пакеты, нарушающие спецификации протокола и часто используемые в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений и т.п.;

      3. уровень приложений (протоколы HTTP, POP3, FTP, TELNET), когда фильтрация происходит на основании анализа данных приложения, передаваемых внутри пакета.

    3. По возможностям отслеживания состояний активных сетевых соединений:

      1. простая фильтрация (stateless), когда текущие соединения не отслеживаются, а фильтрация выполняется исключительно на основе статических правил;

      2. фильтрация с учетом контекста (statefulpacketinspection–SPI), когда отслеживаются текущие соединения и пропускаются только такие пакеты, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений.

Типичные возможности сетевых фильтров:

  • фильтрация доступа к заведомо незащищенным службам;

  • препятствование получению закрытой информации из защищенной подсети, а также внедрению в защищенную подсеть ложных данных с помощью уязвимых служб;

  • контроль доступа к узлам сети;

  • может регистрировать все попытки доступа как извне, так и из внутренней сети, что позволяет вести учёт использования доступа в Интернет отдельными узлами сети;

  • регламентирование порядка доступа к сети;

  • уведомление о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран.

Сетевой фильтр не решает следующих проблем:

  • не защищает узлы сети от проникновения через «люки» (англ. back doors) или уязвимости ПО;

  • не обеспечивает защиту от многих внутренних угроз, в первую очередь — утечки данных;

  • не защищает от загрузки пользователями вредоносных программ, в том числе вирусов.

Для решения этих проблем совместно с сетевыми фильтрами используются антивирусы.

К аппаратным сетевым фильтрам иногда относят коммутаторы, поскольку в них реализована функция фильтрации MAC-адресов (адресов сетевых устройств, соответствует канальному уровню моделиOSI). Основным достоинством подхода является экономичность и высокая скорость фильтрации. Недостатки сводят на нет саму возможность рассматривать коммутаторы в качестве сетевых фильтров, поскольку они не фильтруют на верхних уровняхOSIи, более того, фильтрация на канальном уровне также не эффективна, поскольку большинство современных сетевых устройств поддерживает функциональность перепрограммированияMAC-адреса.

Простую фильтрацию на сетевом уровне (statelesspacketfiltering) осуществляют также аппаратно. В частности, это реализовано в маршрутизаторахCisco. Как уже было сказано, такие устройства, называемые пакетными фильтрами, выполняют анализ заголовков пакетов сетевого или транспортного уровня, что позволяет разрешить прохождение пакетов только от определенных отправителей, а также соответствующих ряду других правил, установленных администратором, но не подразумевает анализа передаваемых данных, т.е. не защищает от передачи таким образом вирусов.

Фильтрация пакетов на сетевом уровне может выполняться также программно, что реализовано во многих современных операционных системах.

Сетевые пакетные фильтры достаточно просты в использовании и экономичны, однако требуют квалифицированного администрирования. Они осуществляют фильтрацию с высокой скоростью, которая, однако, сильно зависит от количества правил настройки.

Фильтры сеансового и прикладного уровней занимаются так называемым проксированием трафика, т.е. работают как шлюзы, полностью исключая прямое взаимодействие отправителя и адресата. Фильтры сеансового уровня при этом хранят информацию о всех открытых сеансах взаимодействия и запрещают взаимодействия, не относящиеся к открытым сеансам. Фильтры прикладного уровня, как было отмечено выше, кроме того, анализируют содержание и могут, например, в соответствии с заданными правилами, «отсекать» некоторые из команд прикладного протокола.

Наиболее известные производители маршрутизаторов, аппаратно реализующих функции сетевого экранирования: Cisco,CheckPoint.

Лидеры среди производителей программных файерволлов: Comodo(в программные комплексыComodoвходят также антивирусы),Armor,Sunbelt,Agnitum. Функции экранирования также реализуют некоторые наиболее серьезные антивирусные пакеты, например,KasperskyInternetSecurity. Кроме того, минимальный простейший уровень экранирования обеспечивают файерволлы, встроенные в операционные системы.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности