Общие сведения

Программное обеспечение СЗИ «Сфера» является комплексом специализированных и функциональных программных средств, предназначенным для исключения несанкционированного доступа к информации хранимой и обрабатываемой в автоматизированных системах АРАС УВД

Структура программных средств

Программное обеспечение СЗИ «Сфера» представляет собой совокупность компьютерных программ, данных и соответствующей документации, отражающей принятые проектные решения по реализации требований ТЗ на проведение работ по разработке и изготовлению программного комплекса «Сфера».

Программное обеспечение СЗИ «Сфера» подразделяется на:

а) специальное системное программное обеспечение (ССПО);

б) функциональное программное обеспечение (ФПО).

В качестве ССПО используется операционная система Windows XP и следующих версий.

В состав ФПО входит комплекс программ и компонент, обеспечивающих выполнение задач по назначению

Компоненты ФПО СЗИ «Сфера»:

1. Программное обеспечение сервера (СЗИ Сервер)

2. Программное обеспечение защищаемых рабочих мест (СЗИ Агент)

3. Защищаемые и обрабатываемые данные.

Компоненты программного обеспечения устанавливаются на все компьютеры защищаемой автоматизированной системы и представляется одним набором комплекса программного обеспечения.

Программное обеспечение СЗИ «Сфера» построено по модульному принципу с иерархической организацией взаимодействия отдельных модулей.

БИЛЕТ № 4

1. Межсетевое экранирование.

Межсетевой экран является основным элементом защиты корпоративной сети от несанкционированного доступа (НСД). Отсутствие межсетевого экрана позволяет внешнему злоумышленнику проникнуть в сеть организации и нанести ей вред путем уничтожения или хищения конфиденциальной информации, либо использования ИТ-инфраструктуры компании в личных целях. Построение системы межсетевого экранирования необходимо для обеспечения безопасного взаимодействия локально-вычислительной сети Заказчика с внешними сетями, тем самым обеспечивая:

• Защиту периметра сети организации;

• Контроль входящего и исходящего трафика;

• Эффективное использования полосы пропускания;

• Защиту от атак на сетевом и прикладном уровне;

• Контроль передающейся информации между сегментами внутренней сети;

• Защита от несанкционированного доступа (НСД);

Построение системы межсетевого экранирования позволит компаниям предотвратить угрозы и снизить риски информационной безопасности.  Что даст построение системы межсетевого экранирования:

• Повышенный уровень защиты локальной сети;

• Снижение рисков информационной безопасности;

• Повышенную защиту от внешних злоумышленников и НСД (несанкционированного доступа);

• Повышенную защиту от вредоносного ПО попадающего в локальную сеть из Интернет.

Межсетевой экран реализует контроль за информацией, поступающей в защищенную РКС и (или) выходящей из защищенной системы 

Межсетевой экран выполняет четыре функции: * фильтрация данных; * использование экранирующих агентов; * трансляция адресов; * регистрация событий.

Основной функцией межсетевого экрана является фильтрация входного (выходного) трафика. В зависимости от степени защищенности корпоративной сети могут задаваться различные правила фильтрации. Правила фильтрации устанавливаются путем выбора последовательности фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола. Межсетевой экран осуществляет фильтрацию на канальном, сетевом, транспортном и на прикладном уровнях. Чем большее количество уровней охватывает экран, тем он совершеннее.  БИЛЕТ № 5

1. Системы обнаружения вторжений.

Система обнаружения вторжений (СОВ) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей)

Обычно архитектура СОВ включает:

• сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы

• подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров

• хранилище, обеспечивающее накопление первичных событий и результатов анализа

• консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты

виды:

• Сетевая СОВ (Network-based IDS, NIDS) отслеживает вторжения, проверяя сетевой трафик и ведет наблюдение за несколькими хостами.

• Основанное на протоколе СОВ (Protocol-based IDS, PIDS) представляет собой систему (либо агента), которая отслеживает и анализирует коммуникационные протоколы со связанными системами или пользователями.

• Основанная на прикладных протоколах СОВ (Application Protocol-based IDS, APIDS) — это система (или агент), которая ведет наблюдение и анализ данных, передаваемых с использованием специфичных для определенных приложений протоколов.

• Узловая СОВ (Host-based IDS, HIDS) — система (или агент), расположенная на хосте, отслеживающая вторжения, используя анализ системных вызовов, логов приложений, модификаций файлов (исполняемых, файлов паролей, системных баз данных), состояния хоста и прочих источников

• Гибридная СОВ совмещает два и более подходов к разработке СОВ. Данные от агентов на хостах комбинируются с сетевой информацией для создания наиболее полного представления о безопасности сети. В качестве примера гибридной СОВ можно привести Prelude.

БИЛЕТ № 6

1. Протоколирование и аудит.

Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе. У каждого сервиса свой набор возможных событий, но в любом случае их можно разделить на внешние (вызванные действиями других сервисов), внутренние (вызванные действиями самого сервиса) и клиентские (вызванные действиями пользователей и администраторов).

Аудит – это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически (например, раз в день). Оперативный аудит с автоматическим реагированием на выявленные нештатные ситуации называется активным.

Реализация протоколирования и аудита решает следующие задачи:

• обеспечение подотчетности пользователей и администраторов;

• обеспечение возможности реконструкции последовательности событий;

• обнаружение попыток нарушений информационной безопасности;

• предоставление информации для выявления и анализа проблем.

Протоколирование требует для своей реализации здравого смысла. Какие события регистрировать? С какой степенью детализации? На подобные вопросы невозможно дать универсальные ответы. Необходимо следить за тем, чтобы, с одной стороны, достигались перечисленные выше цели, а, с другой, расход ресурсов оставался в пределах допустимого. Слишком обширное или подробное протоколирование не только снижает производительность сервисов (что отрицательно сказывается на доступности), но и затрудняет аудит, то есть не увеличивает, а уменьшает информационную безопасность.

Разумный подход к упомянутым вопросам применительно к операционным системам предлагается в "Оранжевой книге", где выделены следующие события:

• вход в систему (успешный или нет);

• выход из системы;

• обращение к удаленной системе;

• операции с файлами (открыть, закрыть, переименовать, удалить);

• смена привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т.п.).

При протоколировании события рекомендуется записывать, по крайней мере, следующую информацию:

• дата и время события;

• уникальный идентификатор пользователя – инициатора действия;

• тип события;

• результат действия (успех или неудача);

• источник запроса (например, имя терминала);

• имена затронутых объектов (например, открываемых или удаляемых файлов);

• описание изменений, внесенных в базы данных защиты (например, новая метка безопасности объекта).

Задача активного аудита – оперативно выявлять подозрительную активность и предоставлять средства для автоматического реагирования на нее.

БИЛЕТ № 7

1. Доктрина информационной безопасности. Особенности обеспечения информационной безопасности Российской Федерации в области науки и техники.

2. Принципы обеспечения целостности информации.

Целостность информации (также целостность данных) — термин в информатике и теории телекоммуникаций, который означает, что данные полны, условие того, что данные не были изменены при выполнении любой операции над ними, будь то передача, хранение или представление.

В криптографии и информационной безопасности целостность данных в общем — это данные в том виде, в каком они были созданы. Примеры нарушения целостности данных:

• злоумышленник пытается изменить номер аккаунта в банковской транзакции, или пытается подделать документ.

• случайное изменение при передаче информации или при неисправной работе жесткого диска.

• искажение фактов средствами массовой информации с целью манипуляции общественным мнением.

Обнаружение ошибок в технике связи — действие, направленное на контроль целостности данных при записи/воспроизведении информации или при её передаче по линиям связи. Исправление ошибок (коррекция ошибок) — процедура восстановления информации после чтения её из устройства хранения или канала связи.

После того, как сформулировано определение понятия целостности данных и обсуждены основные принципы построения системы контроля целостности, в качестве примера политики контроля целостности рассмотрим модель, предложенную Кларком и Вилсоном. 

Все содержащиеся в системе данные подразделяются на контролируемые и неконтролируемые элементы данных (constrained data items – CDI и unconatrained data items - UDIсоответственно). Целостность первых обеспечивается моделью Кларка - Вилсона. Последние содержат информацию, целостность которой в рамках данной модели не контролируется (этим и объясняется выбор терминологии).

Далее, модель вводит два класса операций над элементами данных:

                    процедуры контроля целостности (integrity verification procedures – IVP);

                    процедуры преобразования (transformation procedures – TP).

Первые из них обеспечивают проверку целостности контролируемых элементов данных (CDI), вторые изменяют состав множества всех CDI (например, преобразуя элементы UDI в CDI).

Поддержка целостности включает в себя 3 аспекта.

• поддержка структурной целостности

• поддержка языковой целостности

• поддержка ссылочной целостности

• поддержка семантической целостности.

Методы и способы реализации требований, изложенных в определении термина, подробно описываются в рамках единой схемы обеспечения информационной безопасностиобъекта (защиты информации).

Основными методами обеспечения целостности информации (данных) при хранении в автоматизированных системах являются:

• обеспечение отказоустойчивости (резервирование, дублирование, зеркалирование оборудования и данных, например через использование RAID-массивов);

• обеспечение безопасного восстановления (резервное копирование и электронное архивирование информации).

Одним из действенных методов реализации требований целостности информации при ее передаче по линиям связи является криптографическая защита информации(шифрование, хеширование, электронная цифровая подпись).

БИЛЕТ № 8

1. Криптографические методы обеспечения целостности информации.

Одним из действенных методов реализации требований целостности информации при ее передаче по линиям связи является криптографическая защита информации(шифрование, хеширование, электронная цифровая подпись).

Хеширование (иногда хэширование, англ. hashing) — преобразование входного массива данных произвольной длины в выходную битовую строку фиксированной длины. Такие преобразования также называются хеш-функциями или функциями свёртки, а их результаты называют хешем, хеш-кодом или дайджестом сообщения(англ. message digest).

Электро́нная по́дпись (ЭП) — реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭП и проверить принадлежность подписи владельцу сертификата ключа ЭП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭП.

БИЛЕТ № 9.

2. Построение систем защиты от угроз нарушения доступности.

Доступность информации — информация в безопасном состоянии должна быть доступна, то есть должна быть сохранена возможность проведения всех операций по ее обработке. Для этого необходимо работающее оборудование, не поврежденные носители и, конечно, наличие необходимых программ, причем правильно настроенных. 

Для защиты информации создается система защиты информации, состоящая из совокупности органов и (или) исполнителей, используемой ими техники защиты, организованная и функционирующая по правилам, установленным правовыми, распорядительными и нормативными документами в области защиты информации

Построение сложных защищенных информационных систем связано с решением следующих двух ключевых взаимосвязанных проблем:

• распределение задач администрирования средствами защиты информации между субъектами управления системой;

• использование встроенных механизмов защиты на всех уровнях иерархии системы.

Первая проблема обусловлена иерархическими принципами построения сложной системы - как правило, можно выделить уровень платформы (операционная система), общесистемный уровень (СУБД и другие системные средства), уровень приложений. Каждый уровень требует своего администрирования. В сложной системе в общем случае выделяются следующие задачи администрирования:

• системное администрирование (настройка ОС, конфигурация и маршрутизация сетевого трафика и т.п.);

• администрирование СУБД и других общесистемных средств;

• администрирование прикладных приложений.

При этом на уровне системного администрирования в сложных системах может присутствовать разделение задач по функциональному назначению объектов - рабочие станции, файл-серверы и серверы приложений, серверы доступа к внешним сетям и др. 

БИЛЕТ № 10

2. Стандарты в информационной безопасности.

Стандарты информационной безопасности, из которых выделяют:

• Международные стандарты;

• Государственные (национальные) стандарты РФ;например госты

ГОСТ Р 50922-2006 — Защита информации. Основные термины и определения.

Р 50.1.053-2005 — Информационные технологии. Основные термины и определения в области технической защиты информации.

ГОСТ Р 51188—98 — Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.

• Рекомендации по стандартизации;

• Методические указания.

В качестве примера можно привести стандарт ISO 15408, известный как "Common Criteria".

Принятый в 1998 году базовый стандарт информационной безопасности ISO 15408, безусловно, очень важен для российских разработчиков. Тем более что в текущем, 2001 году Госстандарт планирует подготовить гармонизованный вариант этого документа. Международная организация по стандартизации (ISO) приступила к разработке Международного стандарта по критериям оценки безопасности информационных технологий для общего использования "Common Criteria" ("Общие критерии оценки безопасности ИТ") в 1990 году. В его создании участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция). После окончательного утверждения стандарта ему был присвоен номер ISO 15408