Интернет-ресурсы по проблемам информационной безопасности и защиты информации

Краткие выводы

Программно-технические меры информационной безопасности

Программно-технические меры, то есть меры, направленные на контроль компьютерных сущностей - оборудования, программ и/или данных, образуют последний и самый важный рубеж информационной безопасности.

На этом рубеже становятся очевидными не только позитивные, но и негативные последствия быстрого прогресса информационных технологий. Во-первых, дополнительные возможности появляются не только у специалистов по ИБ, но и у злоумышленников. Во-вторых, информационные системы все время модернизируются, перестраиваются, к ним добавляются недостаточно проверенные компоненты (в первую очередь программные), что затрудняет соблюдение режима безопасности.

Меры безопасности целесообразно разделить на следующие виды:

· превентивные, препятствующие нарушениям ИБ;

· меры обнаружения нарушений;

· локализующие, сужающие зону воздействия нарушений;

· меры по выявлению нарушителя;

· меры восстановления режима безопасности.

В продуманной архитектуре безопасности все они должны присутствовать.

С практической точки зрения важными также являются следующие принципы архитектурной безопасности:

· непрерывность защиты в пространстве и времени, невозможность миновать защитные средства;

· следование признанным стандартам, использование апробированных решений;

· иерархическая организация ИС с небольшим числом сущностей на каждом уровне;

· усиление самого слабого звена;

· невозможность перехода в небезопасное состояние;

· минимизация привилегий;

· разделение обязанностей;

· эшелонированность обороны;

· разнообразие защитных средств;

· простота и управляемость информационной системы.

Центральным для программно-технического уровня является понятие сервиса безопасности. В число таких сервисов входят:

· идентификация и аутентификация;

· управление доступом;

· протоколирование и аудит;

· шифрование;

· контроль целостности;

· экранирование;

· анализ защищенности;

· обеспечение отказоустойчивости;

· обеспечение безопасного восстановления;

· туннелирование;

· управление.

Эти сервисы должны функционировать в открытой сетевой среде с разнородными компонентами, то есть быть устойчивыми к соответствующим угрозам, а их применение должно быть удобным для пользователей и администраторов. Например, современные средства идентификации/аутентификации должны быть устойчивыми к пассивному и активному прослушиванию сети и поддерживать концепцию единого входа в сеть.

Выделим важнейшие моменты для каждого из перечисленных сервисов безопасности:

Предпочтительными являются криптографические методы аутентификации, реализуемые программным или аппаратно-программным способом. Парольная защита стала анахронизмом, биометрические методы нуждаются в дальнейшей проверке в сетевой среде.

В условиях, когда понятие доверенного программного обеспечения уходит в прошлое, становится анахронизмом и самая распространенная - произвольная (дискреционная) - модель управления доступом. В ее терминах невозможно даже объяснить, что такое "троянская" программа. В идеале при разграничении доступа должна учитываться семантика операций, но пока для этого есть только теоретическая база. Еще один важный момент - простота администрирования в условиях большого числа пользователей и ресурсов и непрерывных изменений конфигурации. Здесь может помочь ролевое управление.

Протоколирование и аудит должны быть всепроникающими и многоуровневыми, с фильтрацией данных при переходе на более высокий уровень. Это необходимое условие управляемости. Желательно применение средств активного аудита, однако нужно осознавать ограниченность их возможностей и рассматривать эти средства как один из рубежей эшелонированной обороны, причем не самый надежный. Следует конфигурировать их таким образом, чтобы минимизировать число ложных тревог и не совершать опасных действий при автоматическом реагировании.

Все, что связано с криптографией, сложно не столько с технической, сколько с юридической точки зрения; для шифрования это верно вдвойне. Данный сервис является инфраструктурным, его реализации должны присутствовать на всех аппаратно-программных платформах и удовлетворять жестким требованиям не только к безопасности, но и к производительности. Пока же единственным доступным выходом является применение свободно распространяемого ПО.

Надежный контроль целостности также базируется на криптографических методах с аналогичными проблемами и методами их решения. Возможно, более широкое применение на практике обмена электронными документами в рамках Закона «Об электронной цифровой подписи»[3] изменит ситуацию к лучшему, будет расширен спектр реализаций. К счастью, к статической целостности есть и некриптографические подходы, основанные на использовании запоминающих устройств, данные на которых доступны только для чтения. Если в системе разделить статическую и динамическую составляющие и поместить первую в ПЗУ или на компакт-диск, можно в корне пресечь угрозы целостности. Разумно, например, записывать регистрационную информацию на устройства с однократной записью; тогда злоумышленник не сможет «замести следы».

Экранирование - идейно очень богатый сервис безопасности. Его реализации - это не только межсетевые экраны, но и ограничивающие интерфейсы, и виртуальные локальные сети. Экран инкапсулирует защищаемый объект и контролирует его внешнее представление. Современные межсетевые экраны достигли очень высокого уровня защищенности, удобства использования и администрирования; в сетевой среде они являются первым и весьма мощным рубежом обороны. Целесообразно применение всех видов МЭ - от персонального до внешнего корпоративного, а контролю подлежат действия как внешних, так и внутренних пользователей.

Анализ защищенности - это инструмент поддержки безопасности жизненного цикла. С активным аудитом его роднит эвристичность, необходимость практически непрерывного обновления базы знаний и роль не самого надежного, но необходимого защитного рубежа, на котором можно расположить свободно распространяемый продукт.

Обеспечение отказоустойчивости и безопасного восстановления - аспекты высокой доступности. При их реализации на первый план выходят архитектурные вопросы, в первую очередь - внесение в конфигурацию (как аппаратную, так и программную) определенной избыточности, с учетом возможных угроз и соответствующих зон поражения. Безопасное восстановление - действительно последний рубеж, требующий особого внимания, тщательности при проектировании, реализации и сопровождении.

Туннелирование - скромный, но необходимый элемент в списке сервисов безопасности. Он важен не столько сам по себе, сколько в комбинации с шифрованием и экранированием для реализации виртуальных частных сетей.

Управление - это инфраструктурный сервис. Безопасная система должна быть управляемой. Всегда должна быть возможность узнать, что на самом деле происходит в ИС (а в идеале - и получить прогноз развития ситуации). Возможно, наиболее практичным решением для большинства организаций является использование какого-либо свободно распространяемого каркаса с постепенным "навешиванием" на него собственных функций.

К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. К настоящему времени разработано значительное число аппаратных средств различного назначения, однако наибольшее распространение получают следующие:

· специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности,

· генераторы кодов, предназначенные для автоматического генерирования идентифицирующего кода устройства,

· устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации,

· специальные биты секретности, значение которых определяет уровень секретности информации, хранимой в ЗУ, которой принадлежат данные биты,

· схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.

Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы).

Современная кpиптогpафия включает в себя четыре крупных раздела:

1. Симметричные криптосистемы.

2. Криптосистемы с открытым ключом.

3. Системы электронной подписи.

4. Управление ключами.

Основные наплавления использования кpиптогpафических методов - передача конфиденциальной информации по каналам связи (напpимеp, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.

Представляется, что массовая популяризация теоретических основ криптографии весьма актуальна. Криптография, которая раньше была засекречена, сейчас касается самых разных сторон жизни, в том числе и бытовых. Любой пользователь, даже школьник, не раз сталкивается со словами "шифр", "ключ", "криптограмма. Например, он входит в Internet; в меню многих средств навигации Сети задается вопрос, нужен ли режим шифрования, и если ответить "нужен", начинается процедура выработки ключа. Чтобы правильно действовать, пользователь должен иметь представление об основах криптографии.

Второй пример, не менее яркий - это банковские карточки. Раньше карточки были только магнитными и держались на магнитной неподделываемости. Потом появились интеллектуальные карточки, в них вшит процессор, который выполняет криптографические функции.

Третий пример - цифровая подпись. Это у всех на слуху, все об этом говорят, но не все понимают, что это такое, и тем более не понимают математическую основу. Цифровая подпись - это некоторая криптографическая конструкция, но отличная от шифров, и от нее требуются другие качества: не просто защита открытого текста, но и неподделываемость, и защита от отказа от подписи. Именно это имеет исключительное значение во всех делах, связанных с использованием в бизнесе электронных документов.

К программным средствам защиты относятся специальные программы, которые предназначены для выполнения функций защиты и включаются в состав программного обеспечения систем обработки данных. Программная защита является наиболее распространенным видом защиты, чему способствуют такие положительные свойства данного средства, как универсальность, гибкость, простота реализации, практически неограниченные возможности изменения и развития и т.п. По функциональному назначению их можно разделить на следующие группы:

· идентификация технических средств (терминалов, устройств группового управления вводом-выводом, ЭВМ, носителей информации), задач и пользователей,

· определение прав технических средств (дни и время работы, разрешенные к использованию задачи) и пользователей,

· контроль работы технических средств и пользователей,

· регистрация работы технических средств и пользователей при обработки информации ограниченного использования,

· уничтожения информации в ЗУ после использования,

· сигнализации при несанкционированных действиях,

· вспомогательные программы различного назначения: контроля работы механизма защиты, проставления грифа секретности на выдаваемых документах.

Важной остается проблема борьбы с компьютерными вирусами. По сведениям аналитической компании Gartner Group, лидерами рынка антивирусного программного обеспечения являются Network Associates, Symantec, TrendMicro. Значительную роль на рынке играют и компании Sophos, Computer Associates, F-Secure. Все указанные фирмы производят продукты для настольных систем, файловых серверов, SMTP-шлюзов, Web- и FTP-серверов, а также позволяют поддерживать распределенные системы.

На российском рынке, помимо перечисленных выше продуктов, широко распространены корпоративные антивирусы «Лаборатории Касперского» и ЗАО «ДиалогНаука».

Корпоративные брандмауэры контролируют трафик, поступающий в локальную корпоративную сеть и выходящий из нее, и могут представлять собой как чисто программные средства, так и аппаратно-программные комплексы. Каждый пакет данных, проходящий через брандмауэр, анализируется им (например, на предмет происхождения или соответствия иным правилам пропускания пакетов), после чего пакет либо пропускается, либо нет. Обычно брандмауэры могут выполнять роль фильтра пакетов или роль прокси-сервера, в последнем случае брандмауэр выступает в качестве посредника в выполнении запросов, инициируя собственный запрос к ресурсу и тем самым не допуская непосредственного соединения между локальной и внешней сетями.

При выборе брандмауэра компании обычно руководствуются результатами независимого тестирования. Наиболее распространенными стандартами, на соответствие которым тестируются брандмауэры, являются ITSEC (Information Technology Security Evaluation and Certification Scheme) и IASC (Information Assurance and Certification Services), также носящий название Common Criteria Standard.

Самыми популярными производителями корпоративных брандмауэров, с точки зрения Gartner Group, являются CheckPoint Software, Cisco Systems, Microsoft, NetScreen Technologies и Symantec Corporation.

Отметим, что продукты Check Point Software Technologies, Cisco Systems и NetScreen Technologies представляют собой аппаратно-программные комплексы, тогда как продукты Microsoft и Symantec — это программные средства, функционирующие на обычных компьютерах под управлением стандартных серверных операционных систем.

Цель мероприятий в области информационной безопасности - защитить интересы субъектов информационных отношений. Интересы эти многообразны, но все они концентрируются вокруг трех основных аспектов:

· доступность;

· целостность;

· конфиденциальность.

Первый шаг при построении системы ИБ организации - ранжирование и детализация этих аспектов.

Важность проблематики ИБ объясняется двумя основными причинами:

· ценностью накопленных информационных ресурсов;

· критической зависимостью от информационных технологий.

Разрушение важной информации, кража конфиденциальных данных, перерыв в работе вследствие отказа - все это выливается в крупные материальные потери, наносит ущерб репутации организации. Проблемы с системами управления или медицинскими системами угрожают здоровью и жизни людей.

Современные информационные системы сложны и, значит, опасны уже сами по себе, даже без учета активности злоумышленников. Постоянно обнаруживаются новые уязвимые места в программном обеспечении. Приходится принимать во внимание чрезвычайно широкий спектр аппаратного и программного обеспечения, многочисленные связи между компонентами.

Меняются принципы построения корпоративных ИС. Используются многочисленные внешние информационные сервисы; предоставляются вовне собственные; получило широкое распространение явление, обозначаемое словом "аутсорсинг", когда часть функций корпоративной ИС передается внешним организациям. Развивается программирование с активными агентами.

Подтверждением сложности проблематики ИБ является параллельный (и довольно быстрый) рост затрат на защитные мероприятия и количества нарушений ИБ в сочетании с ростом среднего ущерба от каждого нарушения.

Успех в области информационной безопасности может принести только комплексный подход, сочетающий меры четырех уровней:

· законодательного;

· административного;

· процедурного;

· программно-технического.

Проблема ИБ - не только (и не столько) техническая; без законодательной базы, без постоянного внимания руководства организации и выделения необходимых ресурсов, без мер управления персоналом и физической защиты решить ее невозможно. Комплексность также усложняет проблематику ИБ, требуется взаимодействие специалистов из разных областей.

http://infosecurity.report.ru

Мировые события в сфере информационной безопасности. Каталог порталов посвященных Информационной безопасности. Статьи и обзоры, каталог продукций и компаний.

http://bugtraq.ru

Обозрение уязвимостей систем. Много статей разной категории на тему информационной безопасности, конкурсы, форум.

http://www.security.ukrnet.net

Авторский сайт кандидата технических наук Домарева В.В. по безопасности информационных технологий. Статьи, форум, файлы и новости из мира ИТ.

Текст книги Домарев В.В. «Безопасность информационных технологий».

http://www.egovernment.ru

Информационная безопасность: ФСТЭК, инсайдеры, шифрование, ЭЦП, вирусы, трояны, спам.

http://www.securit.ru

Разработчик и поставщик систем защиты информации

Продукты: (http://www.securit.ru/products/info/

Zserver

Система защиты информации, хранимой и обрабатываемой на корпоративных серверах, работающее по принципу «прозрачного» шифрования разделов жестких дисков.

Zbackup

Система защиты информации в процессе ее резервного копирования на магнитные ленты и CD/DVD-диски, гарантирующая защиту от несанкционированного доступа к резервным копиям информации.

Zlock

Система Zlock позволяет гибко настроить права доступа к портам и устройствам и минимизировать риск утечки информации, связанный с несанкционированным использованием внешних устройств, прежде всего, USB-накопителей.

Zgate

Система Zgate обеспечивает контроль и архивирование электронной почты в масштабах предприятия, минимизируя риск утечки конфиденциальной информации и существенно облегчая расследование инцидентов.

Zdisk

Средство защиты информации на локальных рабочих станциях, позволяющее создавать и использовать защищенные логические диски, информация в которых хранится в зашифрованном виде и недоступна для посторонних даже при изъятии диска или компьютера.

Zlogin

Система двухфакторной аутентификации, предполагающая использование электронных ключей для хранения учетных записей пользователей: учетные данные считываются из памяти электронного ключа или смарт-карты при его подсоединении к компьютеру.

Zshell

Программное обеспечение класса single sign-on, которое позволяет автоматизировать процесс аутентификации пользователей для доступа к приложениям.

http://www.agnitum.com

Agnitum Ltd. – признанный профессионал в области создания программных средств для защиты корпоративных и домашних компьютеров. Компания предлагает четыре основных продукта – Outpost Firewall PRO, защищающий домашние компьютеры, Outpost Network Security, обеспечивающий надежную защиту конечных пользователей корпоративной сети от повреждения и кражи ценных данных, Outpost Antivirus Pro, просто и понятно защищающий ПК от вредоносного ПО и новых угроз, и Outpost Security Suite PRO, обеспечивающий комплексную защиту компьютера от всего спектра Интернет-угроз. Agnitum предлагает решения безопасности как для средних и малых предприятий, так и для домашних пользователей.

http://www.ruscrypto.ru

Сайт Российской криптографической ассоциации. Российская криптографическая ассоциация - это общественная организация, объединяющая разработчиков и потребителей информационных технологий, юристов и экономистов, бизнесменов и политиков, всех тех, кто заинтересован в развитии гражданской криптологии в России.

http://so.yandex.ru

Продукт Спамоборона, Спамоборона1024 (free). Набор защиты о спама по электронной почте, как корпоративная версия так и бесплатная для домашнего пользования и малого бизнеса.

http://www.avconf.ru

Сайт ежегодной отраслевой конференции «Информационная безопасность».

Конференция «Информационная безопасность в современных условиях» посвящена анализу последних тенденций в области современных IT-угроз для бизнеса, средствам защиты от этих угроз, новейшим технологическим разработкам в сфере обеспечения информационной безопасности для корпоративных клиентов.

С 2007 года в рамках встречи проходит также международная конференция "Проблема спама и ее решения".

http://www.citforum.ru/security

Вопросы информационной безопасности, форум, статьи.

http://sec.ru

Интернет-портал по безопасности. Видеонаблюдение, контроль доступа, охранно-пожарные системы и сигнализация. Форум по вопросам безопасности, доска объявлений, тендеры по техническим средствам безопасности. Новости, вакансии, средства защиты и др.

http://www.kodges.ru/2008/02/27/programmno-apparatnye-sredstva.html

Платонов В.В. «Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей».

http://www.kodges.ru/7692-informacionnaja-bezopasnost-sovremennogo.html

Игнатьев В.А. «Информационная безопасность современного коммерческого предприятия».

[1] Доктрина информационной безопасности Российской Федерации

(утв. Президентом РФ 09.09.2000 № Пр-1895) «Российская газета», № 187, 28.09.2000

[2] Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» "Российская газета", № 165, 29.07.2006.

[3] Федеральный закон от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи». "Российская газета", № 6, 12.01.2002.

Дата добавления: 2014-01-03; Просмотров: 1855; Нарушение авторских прав?; Мы поможем в написании вашей работы!