- •Поняття інформаційної безпеки
- •Основні задачі інформаційної безпеки
- •Важливість і складність проблеми інформаційної безпеки
- •Об’єктно-орієнтований підхід до інформаційної безпеки
- •Основні положення системи зАхисту інформації
- •Поняття системи захисту інформації
- •Вимоги до захисту інформації
- •Вимоги до системи захисту інформації
- •Види забезпечення системи захисту інформації
- •Основні поняття
- •Загрози безпеці інформації
- •Основні поняття і класифікація загроз
- •Основні загрози доступності
- •Основні загрози цілісності
- •Основні загрози конфіденційності
- •Шкідливе програмне забезпечення
- •Інформація, що підлягає захисту
- •Основні поняття
- •Сфери розповсюдження державної таємниці на інформацію
- •Комерційна таємниця
- •Персональні дані
- •Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- •Перехоплення даних та канали витоку інформації
- •Порушники інформаційної безпеки
- •Модель поводження потенційного порушника
- •Класифікація порушників
- •Методика вторгнення
- •Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- •Основні поняття законодавчого рівня інформаційної безпеки
- •Система забезпечення інформаційної безпеки України
- •Правові актИ
- •Структура правових актів
- •Нормативно-правові документи
- •Форми захисту інформації
- •Правові норми забезпечення безпеки і захисту інформації на підприємстві
- •УкраїнськЕ законодавство в галузі інформаційної безпеки
- •Зарубіжне законодавство в галузі інформаційної безпеки
- •Стандарти і специфікації в галузі безпеки інформаційНих систем
- •“Помаранчева книга” як оцінний стандарт
- •Класи безпеки інформаційних систем
- •Технічна специфікація X.800
- •Стандарт iso/iec 15408
- •Поняття політики безпеки
- •Розробка політики безпеки
- •Програма реалізації політики безпеки
- •Синхронізація програми безпеки з життєвим циклом систем
- •Управління ризиками
- •Основні класи заходів організаційного рівня
- •Управління персоналом
- •Фізичний захист
- •Заходи щодо захисту локальної робочої станції
- •Підтримка працездатності
- •Реагування на порушення режиму безпеки
- •Планування відновлювальних робіт
- •Служба безпеки підприємства
- •Поняття інженерно-технічного захисту
- •Фізичні засоби захисту
- •Види фізичних засобів
- •Охоронні системи
- •Охоронне телебачення
- •Охоронне освітлення та засоби охоронної сигналізації
- •Захист елементів будинків і приміщень
- •Апаратні засоби захисту
- •Програмні засоби захисту
- •Криптографічні засоби захисту
- •Основні поняття криптографії
- •Методи шифрування
- •Криптографічні протоколи
- •Контроль цілісності
- •Технологія шифрування мови
- •Стеганографічні засоби захисту
- •Особливості сучасних інформаційних систем з погляду безпеки
- •Принципи Архітектурної безпеки
- •Ідентифікація та автентифікація
- •Логічне управління доступом
- •Протоколювання та аудит
- •Основні поняття
- •Активний аудит
- •Склад засобів активного аудиту
- •Екранування
- •Аналіз захищеності
- •Забезпечення високої доступності
- •Тунелювання
- •Управління інформаційними системами
- •Афоризми і постулати інформаційної безпеки
- •Список літератури
- •Додаткова
- •1 Галузь використання
- •2 Нормативні посилання
- •3 Загальні положення
- •4 Побудова системи захисту інформації
- •4.1 Визначення й аналіз загроз
- •4.2 Розроблення системи захисту інформації
- •4.3 Реалізація плану захисту інформації
- •4.4 Контроль функціювання та керування системою захисту інформації
- •5 Нормативні документи системи тзі
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
Тунелювання
Тунелювання – це сервіс безпеки, суть якого полягає в тому, щоб “упакувати” передану порцію даних разом із службовими полями в новий “конверт”.
Як синоніми терміну “тунелювання” можуть використовуватися “конвертування” і “обгортання”.
Тунелювання застосовується для:
передачі через мережу пакетів, що належать протоколу, який в даній мережі не підтримується;
забезпечення слабкої форми конфіденційності (в першу чергу конфіденційності трафіку) за рахунок заховання дійсних адрес та іншої службової інформації;
забезпечення конфіденційності і цілісності переданих даних при використанні разом з криптографічними сервісами.
Тунелювання може застосовуватися як на мережевому, так і на прикладному рівнях.
Комбінація тунелювання і шифрування на виділених шлюзах і екранування на маршрутизаторах постачальників мережевих послуг дозволяє реалізувати такій важливий в сучасних умовах захисний засіб, як віртуальні приватні мережі. Подібні мережі, накладені звичайно поверх Internet, істотно дешевше і набагато безпечніше, ніж власні мережі організації, побудовані на виділених каналах.
Комунікації всюди фізично захистити неможливо, тому краще спочатку виходити з припущення про їх уразливість і відповідно забезпечувати захист. Сучасні протоколи, направлені на підтримку класів обслуговування, допомагають гарантувати для віртуальних приватних мереж задану пропускну спроможність, величину затримок і т.п., ліквідовуючи тим самим єдину на сьогодні реальну перевагу мереж власних.
Управління інформаційними системами
Складність сучасних систем така, що без правильно організованого управління вони поступово деградують як в плані ефективності, так і в плані захищеності.
Згідно стандарту X.700, управління поділяється на:
моніторинг компонентів;
безпосереднє управління (тобто видачу і реалізацію дій, що управляють);
координацію роботи компонентів системи.
Системи управління повинні:
дозволяти адміністраторам планувати, організовувати, контролювати і враховувати використання інформаційних сервісів;
давати можливість відповідати на зміну вимог;
забезпечувати передбачену поведінку інформаційних сервісів;
забезпечувати захист інформації.
Іншими словами, управління повинне володіти достатньо багатою функціональністю, бути результативним, гнучким і інформаційно безпечним.
У X.700 виділяється п’ять функціональних зон управління:
управління конфігурацією(установка параметрів для нормального функціонування, запуску і зупинки компонентів, збирання інформації про поточний стан системи, прийом повідомлень про істотні зміни в умовах функціонування, зміна конфігурації системи);
управління відмовами(виявлення відмов, їх ізоляція і відновлення працездатності системи);
управління продуктивністю(збирання і аналіз статистичної інформації, визначення продуктивності системи в штатних і нештатних умовах, зміна режиму роботи системи);
управління безпекою(реалізація політики безпеки шляхом створення, видалення і зміни сервісів і механізмів безпеки, розповсюдження відповідної інформації і реагування на інциденти);
управління обліковою інформацією(тобто стягування платні за користування ресурсами).
У стандартах сімейства X.700 описується модель управління, здатна забезпечити досягнення поставленої мети. Вводиться поняття керованого об’єкту як сукупності характеристик компоненту системи, важливих з погляду управління. До таких характеристик відносяться:
атрибути об’єкту;
допустимі операції;
повідомлення, які об’єкт може генерувати;
зв’язки з іншими керованими об'єктами.
Згідно рекомендаціям X.701, системи управління розподіленими ІС будуються в архітектурі менеджер/агент. Агент (як програмна модель керованого об’єкту) виконує дії, що управляють, і породжує (при виникненні певних подій) сповіщення від його імені. У свою чергу, менеджер видає агентам команди на дії, що управляють, і одержує повідомлення.
Ієрархія взаємодіючих менеджерів і агентів може мати декілька рівнів. При цьому елементи проміжних рівнів грають двояку роль: по відношенню до елементів вищих рівнів вони є агентами, а до елементів нижчих рівнів – менеджерами. Багаторівнева архітектура менеджер/агент – ключ до розподіленого, масштабованого управління великими системами.
Логічно пов’язаною з багаторівневою архітектурою є концепція довіреного(абоделегованого)управління. При довіреному управлінні менеджер проміжного рівня може керувати об'єктами, що використовують власні протоколи, тоді як “вгорі” спираються виключно на стандартні засоби.
Обов'язковим елементом для будь-якої кількості архітектурних рівнів є консоль, що управляє.
Важливим є поняття “проактивного”, тобтопопереднього управління. Попереднє управління базується на прогнозування поведінки системи на основі поточних даних і раніше накопиченої інформації. Простий приклад подібного управління – видача сигналу про можливі проблеми з диском після серії помилок читання/запису.
Розвинені системи управління можуть настроюватися на потреби конкретних організацій і на зміни в інформаційних технологіях.
Єдиний вихід – наявність каркаса, з якого можна знімати старе і “навішувати” нове, не втрачаючи ефективності.
Каркас як самостійний продукт необхідний для досягнення принаймні таких цілей:
згладжувати різнорідності керованих ІС, надавати уніфіковані програмні інтерфейси для швидкої розробки керуючих додатків;
створювати інфраструктури управління, що забезпечують підтримку розподілених конфігурацій, масштабованість, інформаційну безпеку тощо;
надавати функціонально корисні універсальні сервіси, таких як планування завдань, генерація звітів тощо.
Управління безпекою в сукупності з відповідним програмним інтерфейсом дозволяє реалізувати незалежне розмежування доступу до об’єктів довільної природи і вилучити функції безпеки з прикладних систем. Щоб з’ясувати, чи дозволений доступ поточною політикою, додатку досить звернутися до менеджера безпеки системи управління.
Менеджер безпеки здійснює ідентифікацію/автентифікацію користувачів, контроль доступу до ресурсів і протоколювання невдалих спроб доступу. Можна вважати, що менеджер безпеки вбудовується в ядро операційних систем контрольованих елементів ІС, перехоплює відповідні звернення і здійснює свої перевірки перед перевірками, що виконуються ОС, так що він створює ще один захисний рубіж, не відміняючи, а доповнюючи захист, що реалізується засобами ОС.
Розвинені системи управління мають у своєму розпорядженні централізовану базу, в якій зберігається інформація про контрольовану ІС і, зокрема, деяке уявлення про політику безпеки. Можна вважати, що при кожній спробі доступу виконується перегляд збережених в базі правил, в результаті якого з’ясовується наявність у користувача необхідних прав. Тим самим для проведення єдиної політики безпеки в рамках корпоративної інформаційної системи закладається міцний технологічний фундамент.
Зберігання параметрів безпеки в базі даних дає адміністраторам ще одну важливу перевагу – можливість виконання різноманітних запитів. Можна одержати список ресурсів, доступних даному користувачу, список користувачів, що мають доступ до даного ресурсу тощо.
Одним з елементів забезпечення високої доступності даних є підсистема автоматичного управління зберіганням даних, що виконує резервне копіювання даних, а також автоматичне відстеження їх переміщення між основними і резервними носіями.
Для забезпечення високої доступності інформаційних сервісів використовується управління завантаженням, яке можна поділити на управління проходженням завдань і контроль продуктивності.
Контроль продуктивності– поняття багатогранне. Сюди входять і оцінка швидкодії комп'ютерів, і аналіз пропускної спроможності мереж, і відстеження кількості одночасно підтримуваних користувачів, і час реакції, і накопичення й аналіз статистики використання ресурсів.
Управління подіями (точніше, повідомленнями про події) – це базовий механізм, що дозволяє контролювати стан інформаційних систем у реальному часі. Системи управління дозволяють класифікувати події і призначати для деяких з них спеціальні процедури обробки. Тим самим реалізується важливий принцип автоматичного реагування.
КОНТРОЛЬНІ ПИТАННЯ
Назвіть рекомендовані сервіси безпеки.
Проаналізуйте основні проблеми, які виникають при побудові сучасних ІС з точки зору ІБ.
Охарактеризуйте принципи архітектурної безпеки ІС.
Охарактеризуйте особливості ідентифікації та автентифікації.
Проаналізуйте переваги та недоліки парольних методів автентифікації.
У чому полягає різниця між довільним та примусовим управлінням доступом?
Проаналізуйте основні переваги та недоліки “рольового управлінням доступом”.
У чому полягають задачі протоколювання та аудиту?
Охарактеризуйте поняття “активний аудит” і підходи до розв’язання задач активного аудиту.
Наведіть та проаналізуйте основні функціональні компоненти активного аудиту.
Обґрунтуйте необхідність використання сервісу екранування.
Які архітектурні аспекти необхідно враховувати при побудові екранів?
Для чого призначений сервіс аналізу захищеності?
Наведіть показники потрібного рівня доступності ІС.
Яким чином забезпечується відмовостійкість?
Перерахуйте основні заходи забезпечення високої доступності.
Назвіть заходи, які дозволяють підвищити обслуговуємість ІС.
Що таке “тунелювання”?
Практичне завдання 7
Запропонуватипрограмні рішення щодо захисту підприємства відповідно до розробленої політики безпеки:
антивірусний контроль;
шифрування;
автентифікація на робочому місці тощо.
Повторно оцінити ризики з урахуванням всіх запропонованих організаційних та інженерно-програмних рішень.
Зробити висновки щодо ефективності запропонованого захисту.