КАТЕГОРИИ: Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748) |
Обеспечение безопасности корпоративных информационных систем
8.1. Информационная безопасность, безопасная система Информационная безопасность (ИБ) – состояние защищенности информационной среды общества, обеспечивающее её формирование, использование и развитие в интересах граждан, организаций, государства [3,4]. Под информационной средой понимается сфера деятельности субъектов, связанная с созданием, преобразованием и потреблением информации. Безопасная система – система, которая обеспечивает строго управляемый доступ к информации. Управление доступом – метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую последний входит. Применительно к компьютерным информационным технологиям под информационной безопасностью подразумевается состояние защищенности информации, обрабатываемой в информационно-вычислительной системе, от случайных или преднамеренных воздействий внутреннего или внешнего характера, которые могут нанести ущерб владельцам информационных ресурсов или пользователям информации. Информационную безопасность образуют три основные составляющие: · конфиденциальность - защита критической информации от несанкционированного доступа; · целостность - защита точности и полноты информации и программного обеспечения; · доступность - обеспечение доступности информации и основных услуг для пользователя в нужное для него время, а также предотвращение несанкционированного отказа в получении информации. Под критической информацией (сервисами) понимают данные (сервисы), которые требуют защиты из-за наличия вероятности нанесения ущерба (наличия риска) определенной величины в том случае, если произойдет их случайное или умышленное раскрытие, изменение или разрушение. Этот термин включает в себя данные, чье неправильное использование или раскрытие может отрицательно отразиться на способности организации решать свои задачи. Применительно к информационной системе целью информационной безопасности является обеспечение названных составляющих путем защиты процессов создания данных, их ввода, обработки, хранения и вывода. Информационную безопасность обеспечивают меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Данные меры принимаются на различных уровнях: · на государственном в виде выработки государственной политики ИБ, законодательных и нормативно-технических актов; · на уровне юридических лиц в виде планирования и реализации мер физической и технической защиты; · на уровне физических лиц в виде изучения проблем ИБ и внедрения индивидуальных средств защиты. Согласно [7] в Республике Беларусь в зависимости от доступа информация подразделяется на: - общедоступную информацию; - информацию, распространение и (или) предоставление которой ограничено. К информации, распространение и (или) предоставление которой ограничено, относится: - информация о частной жизни физического лица и персональные данные; - сведения, составляющие государственные секреты; - информация, составляющая коммерческую и профессиональную тайну; -информация, содержащаяся в делах об административных правонарушениях, материалах и уголовных делах органов уголовного преследования и суда до завершения производства по делу; - иная информация, доступ к которой ограничен законодательными актами Республики Беларусь. Государственные секреты подразделяются на две категории: государственная тайна и служебная тайна. Государственная тайна - государственные секреты, разглашение или утрата которых могут повлечь тяжкие последствия для национальной безопасности Республики Беларусь, а также создать угрозу безопасности граждан либо их конституционным правам и свободам. Служебная тайна - государственные секреты, разглашение или утрата которых могут причинить существенный вред национальной безопасности Республики Беларусь, а также конституционным правам и свободам граждан. Сведения, составляющие служебную тайну, имеют характер отдельных данных, входящих в состав сведений, составляющих государственную тайну и не раскрывающих ее в целом. В зависимости от категории сведений, составляющих государственные секреты, характера и объема мер, необходимых для обеспечения их сохранности и защиты, устанавливаются три степени секретности сведений: особой важности, совершенно секретно, секретно. Коммерческую тайну составляют преднамеренно скрываемые экономические интересы и информация о различных сторонах и сферах производственно-хозяйственной, управленческой, научно-технической, финансовой деятельности субъекта хозяйствования, охрана которых обусловлена интересами конкуренции и возможной угрозой экономической безопасности субъекта хозяйствования. Под коммерческой тайной предприятия понимаются не являющиеся государственными секретами сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятия, разглашение или передача, утечка которых может нанести ущерб его интересам. Информация, составляющая коммерческую тайну, является собственностью субъекта хозяйствования, либо находится в его владении, пользовании, распоряжении в пределах, установленных собственником и законодательными актами.
8.2. Критерии оценки информационной безопасности и классы безопасности информационных систем [4] Безопасность информационной системы обеспечивается комплексом технологических и административных мер, которые применяются к данным, программам и аппаратным средствам с целью обеспечить доступность, целостность и конфиденциальность ресурсов. Первые критерии оценки безопасности компьютерных систем – «Критерии оценки безопасности компьютерных систем» (TCSEC – Trusted Computer System Evalution Criteria) были разработаны в США в 1988г. В них были выделены общие требования к обеспечению безопасности обрабатываемой информации и определен перечень показателей защищенности. Было выделено шесть основных требований, из них четыре относятся к управлению доступом к информации, а два – к предоставленным гарантиям. По качеству управления доступом к информации выделяются следующие классы безопасности компьютерных систем: класс D (подсистема безопасности) – присваивается тем системам, которые не прошли испытаний на более высокий уровень защищенности, а также системам, которые для своей защиты используют лишь отдельные функции безопасности; класс С1 (избирательная защита) – средства защиты данного класса отвечают требованиям избирательного управления доступом. При этом обеспечивается разделение пользователей и данных. Каждый субъект идентифицируется и аутентифицируется в этом классе и ему задается перечень возможных типов доступа; класс С2 (управляемый доступ) – требования данного класса такие же, что и в классе С1, но при этом добавляются требования уникальной идентификации субъектов доступа, защиты и регистрации событий; класс В1 (меточная защита) – метки конфиденциальности присваиваются всем субъектам и объектам системы, которые содержат конфиденциальную информацию. Доступ к объектам внутри системы разрешается только тем субъектам, чья метка отвечает определенному критерию относительно метки объекта; класс В2 (структурированная защита) – требования данного класса включают в себя требования класса В1 и наличие требований хорошо определенной и документированной формальной модели политики безопасности и управления информационными потоками (контроль скрытых каналов) и предъявление дополнительного требования к защите механизмов аутентификации; класс ВЗ (область безопасности) – в оборудовании систем данного класса реализована концепция монитора ссылок. Все взаимодействия субъектов с объектами должны контролироваться этим монитором. Действия должны выполняться в рамках областей безопасности, которые имеют иерархическую структуру и защищены друг от друга с помощью специальных механизмов. Механизм регистрации событий безопасности оповещает администратора и пользователя о нарушении безопасности; класс А1 (верифицированная разработка) – для проверки спецификаций системы применяются методы формальной верификации – анализа спецификаций на предмет неполноты или противоречивости. Аналогичные критерии оценки безопасности информационных технологий разработаны европейскими государствами (Францией, Германией, Нидерландами и Великобританией) – «Критерии оценки безопасности информационных технологий» (ITSEC- Information Technology Security Evaluation Criteria). В них определяются семь возможных уровней гарантированности корректности – от ЕО до Е6. Уровень ЕО обозначает отсутствие гарантированности – аналог уровня D в TCSEC. Основной чертой «Европейских Критериев» является отсутствие априорных требований к условиям, в которых должна работать информационная система. Здесь выделяют десять классов. Пять из них (F-C1, F-C2, F-B1, F-B2, F-B3) соответствуют классам безопасности TCSEC. В 1992 г. Гостехкомиссия при Президенте России опубликовала «Руководящие документы», посвященные проблеме защиты от несанкционированного доступа к информации, обрабатываемой средствами вычислительной техники и автоматизированными системами. Средства вычислительной техники по уровню защищенности от несанкционированного доступа разбиваются на семь классов защищенности. Самый низкий класс – седьмой, самый высокий – первый. В свою очередь классы подразделяют на четыре группы, отличающиеся качественным уровнем защиты. Автоматизированные системы по уровню защищенности от несанкционированного доступа делят на девять классов. Классы подразделяют на три группы, отличающиеся особенностями обработки информации в автоматизированных системах. В пределах каждой группы соблюдают иерархию требований к защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархию классов защищенности автоматизированных систем. В Республике Беларусь придерживаются той же концепции, что и в России.
8.3. Политика информационной безопасности [3] Политика информационной безопасности представляет собой документ, на основе которого строится комплексная система обеспечения безопасности информации корпорации. Политика безопасности строится в соответствии со спецификой корпорации и законодательной базой государства. Формирование политики информационной безопасностивключает в себяэтапы: 1. Анализ рисков. При анализе рисков выполняются следующие мероприятия: инвентаризация, классификация, выявление угроз, оценка рисков. Инвентаризация проводится для определения объема необходимой защиты, и в интересах контроля защищенности. Инвентаризации подлежат: · ресурсы данных: накопители файлов, базы данных, документация: учебные пособия, инструкции и описания по работе с элементами ИС, документы служебного и производственного уровня и т.д.; · программные ресурсы: системное и прикладное программное обеспечение, утилиты и т.д.; · материально-техническая база, обеспечивающая информационные ресурсы (вычислительное и коммуникационное оборудование, носители данных (ленты и диски), другое техническое оборудование (блоки питания, кондиционеры), мебель, помещения и т. п). · коммунальное и хозяйственное обеспечение: отопление, освещение, энергоснабжение, кондиционирование воздуха; · человеческие ресурсы (наличие необходимых специалистов, уровень их профессионализма, психологические качества, связи в коммерческом мире и т.д.). Классификация информационных ресурсов производится с целью определения их ценности. В качестве основной переменной, например, можно выбрать степень конфиденциальности информации со следующими значениями: · информация, содержащая государственную тайну - 3; · информация, содержащую коммерческую тайну - 2; · конфиденциальная информация (информация, не представляющая собой коммерческой или государственной тайны, хотя огласка ее нежелательна)-1; · свободная (открытая) информация - 0. Другими переменными могут быть выбраны отношение того или иного ресурса к нарушениям основных трех аспектов информационной безопасности (конфиденциальности, целостности, доступности). При этом вводится n-бальная система оценки. Выявление угроз.Определяются носители, потенциальные источники утечки информации, вероятности реализации разных видов угроз на основе анализа статистического материала. Так, например: · уничтожение всей информации в результате пожара (стихийного бедствия) может быть 1 раз в 40 лет; · несанкционированное чтение или копирование сотрудником закрытых сведений (активная угроза) может быть 1 раз в 4 года; · искажение информации в файле памяти ЭВМ из-за сбоя в аппаратуре или системных программах (пассивная угроза) может быть 1 раз в 10 дней. Оценка рисков. Для каждого из информационных ресурсов определяется его интегральная ценность и возможные угрозы. Каждая из угроз оценивается с точки зрения её применимости к данному ресурсу, вероятности возникновения и возможного ущерба. 2. Определение стратегии защиты осуществляется по следующим направлениям: предотвращение (предупреждение) ущерба(например, авторизация персонала на доступ к информации и технологии); обнаружение угроз- обеспечение раннего обнаружения преступлений и злоупотреблений, даже если механизмы защиты были обойдены; минимизация размера потерь, если преступление все-таки произошло, несмотря на меры по его предотвращению и обнаружению; восстановление- обеспечение эффективного восстановления информации в случае ее потери. 3. Составление документов политики информационной безопасности. Специалисты рекомендует включать в состав документа, характеризующего политику безопасности организации, следующие разделы: · введение, где определяется отношение высшего руководства к проблемам информационной безопасности корпорации; · организационный раздел, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности, планы и график работы; · классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты; · штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.); · раздел физической защиты; · раздел управления информацией, описывающий подход к управлению компьютерами и компьютерными сетями; · раздел правил разграничения доступа к производственной информации; · раздел, характеризующий порядок разработки и сопровождения систем; · раздел, описывающий меры, направленные на обеспечение непрерывной работы организации; · юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству. 4. Разработка программы реализации политики информационной безопасности. На этом этапе выделяются ресурсы, назначаются ответственные, формируется план действий, определяется порядок контроля выполнения программы и т.п. Таким образом, политика информационной безопасности корпорации представляет собой основной документ, на основе которого строится система обеспечения безопасности информации и который доводится до всех сотрудников. 8.4. Классификация угроз информационной безопасности [3]
Применительно к информационной системе угроза - событие, которое потенциально может нанести вред корпорации путем раскрытия, модификации или разрушения критической информации, или отказа в обслуживании критическими сервисами. Виды угроз: Естественные угрозы – это угрозы, вызванные воздействиями на элементы информационной системы объективных физических процессов или стихийных природных явлений, не зависящих от человека, такие как стихийные бедствия (пожар, молния, ураган, землетрясение, наводнение, электромагнитные и ионизирующие излучения, военные действия и др.). Искусственные угрозы – это угрозы, порожденные человеческой деятельностью, и могут быть преднамеренные и непреднамеренные. К непреднамеренным (пассивным) угрозам относятся: - утечка информации при текучке специалистов; - некомпетентная эксплуатация информационной системы и средств ее защиты; - недостатки в проектировании и сооружении зданий, помещений, систем вентиляции, отопления и др., создающие каналы утечки информации; -ошибки проектирования и производства изделий, вычислительной техники и оргтехники; -ошибки проектирования, производства, прокладки и установки средств связи и коммуникаций; - ошибки разработки и применения программного обеспечения; - использование неучтенного программного обеспечения; - ошибки процессов подготовки, ввода, обработки и вывода информации; - сбои, отказы в работе аппаратуры, приводящие к искажению или уничтожению информации. Преднамеренными (активными) угрозами являются преднамеренные действия людей с целью нанесения вреда (ущерба), например: - физическое разрушение информационной системы или вывод из строя ее наиболее важных компонент; - утечка информации при целенаправленной миграции специалистов для передачи определенных сведений; - внедрение в систему агентов и вербовка сотрудников; - контактный доступ к служебным разговорам и просмотру документов с целью передачи их содержания; - фотографирование, хищение, искажение иди уничтожение документов, фотографий, чертежей, описаний изобретений, новых технологий и др.; - визуально-оптические способы получения информации; - бесконтактное подслушивание служебных разговоров с помощью технических средств; -несанкционированный доступ к ресурсам ЭВМ и компьютерных сетей, средствам связи и оргтехники; - доступ к сменным машинным носителям информации (хищение, копирование, модификация); - разработка и использование бесконтрольных программ для искажения или уничтожения информации на машинных носителях; - перехват данных в процессе информационного обмена; - возможность фиксации электромагнитных и акустических излучений от ЭВМ, сигналов, наводимых в токопроводящих коммуникациях, радиосигналов и сигналов спутниковой связи. Вероятность проявления и ущерб от реализации той или иной угрозы в зависимости от типа информационной системы могут быть различными. Наличие самой угрозы еще не означает, что она нанесет вред. Когда появляется слабое место в средствах обеспечения безопасности системы и система становится «видима» из внешнего мира, возникает риск. Риск - это ситуация, когда угроза, использующая слабое место в защите, может нанести вред информационной системе. Вероятность проявления угроз информационной безопасности напрямую зависит от различных факторов: глобальных, региональных и локальных [4]. Глобальные факторы угроз – зависят от перераспределения национальных интересов отдельных государств. В первую очередь они связаны с переделом зон влияния и рынков сбыта. К ним можно отнести: недружественную политику иностранных государств в области глобального информационного мониторинга; деятельность иностранных разведывательных и специальных служб; преступные действия международных групп. Региональные факторы угроз – это рост преступности в информационной сфере; отставание от развитых стран; несоответствие информационного обеспечения государственных и общественных институтов современным требованиям; зависимость технических средств и программного обеспечения от их зарубежных производителей и др. Локальные факторы угроз – это действия отдельных физических и юридических лиц по причинам любознательности, неосторожности, гипертрофированного чувства мести, корыстных целей, а также не знания или не выполнения соответствующих законов, инструкций и правил работы с различными техническими средствами и программного обеспечения. 8.5. Понятие компьютерной преступности [4] Компьютерная преступность – любые незаконные, неэтичные или неправомерные действия, связанные с обработкой данных и/или их передачей. Данный термин, возникший первоначально как средство для обозначения появившихся новых способов совершения преступлений, по своему содержанию давно уже перерос в криминологическое понятие, обозначающее самостоятельный вид преступности. В настоящее время этот вид преступности включает в себя в зависимости от уголовно-правового регулирования в тех или иных стран уже целый перечень такого рода деяний и способов их совершения. Международная организация уголовной полиции рассматривает компьютерную преступность в одном ряду с такими новыми категориями преступлений, как захват заложников, угон самолетов, "экологический бизнес'', международные синдикаты наемных убийц и т.п. Поэтому не случайно в 1991 году по решению 19-й Европейской Региональной Конференции Интерпола при Генеральном Секретариате была создана Рабочая группа по компьютерным преступлениям. Комитетом по законодательству Совета Европы разработаны рекомендации по данному виду преступной деятельности, в которых предлагается следующий минимальный перечень компьютерных преступлений: компьютерное мошенничество; компьютерный подлог (подделка); повреждение компьютерной информации или программ; компьютерная диверсия (саботаж); несанкционированный доступ; несанкционированный перехват информации; несанкционированное производство патентованных компьютерных программ (пиратство программного обеспечения); несанкционированное воспроизводство топографии (чертежей). Владелец информационных ресурсов и/или информационных систем должен обеспечивать уровень защиты информации в соответствии с действующим законодательством. Ответственность за использование не сертифицированных ИС и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств. Защита прав субъектов в указанной сфере осуществляется судом, арбитражным судом, третейским судом, с учетом специфики правонарушений и нанесенного ущерба.
8.6. Программно-техническое обеспечение безопасности информационных систем [3,4]
Программно-техническое обеспечение защиты объектов информационной безопасности включает следующие методы и средства защиты информации: 1. Физические средства защиты. Обеспечивают внешнюю охрану территории объектов, защиту ЭВМ и информационных систем в целом.В настоящее время используются преимущественно чисто механические средства физической защиты при доминирующем участии человека. Однако достижения микроэлектроники и появление микропроцессоров создали объективную базу для разработки и внедрения, наряду с традиционными механическими системами, универсальных автоматизированных электронных систем физической защиты, предназначенных для охраны территории, охраны помещений, организации пропускного режима, организации наблюдения, систем пожарной сигнализации, систем предотвращения хищения носителей. Так, для организации охраны оборудования (узлов и блоков компьютеров, средств передачи данных) и перемещаемых носителей информации (дискеты, магнитные ленты, распечатки) используются: замки и микро выключатели, инерционные датчики, специальные наклейки из фольги или с чипами (микросхемами) на документах, приборах, узлах и блоках системы, специальные сейфы и металлические шкафы. Для нейтрализации утечки информации по электромагнитным каналам используют экранирующие и поглощающие материалы и изделия. Для контроля электропитания могут использоваться электронные устройства, которые устанавливаются в местах ввода сети переменного напряжения. Если шнур питания перерезан, оборван или перегорел, кодированное послание включает сигнал тревоги или активирует ТВ-камеру для последующей записи событий. 2. Аппаратные средства защиты. Представляют собой различные электронные, электронно-механические и другие устройства, непосредственно встроенные в серийные блоки электронных систем обработки и передачи данных или оформленные в виде самостоятельных устройств и сопрягающиеся с этими блоками. Они предназначаются для внутренней защиты структурных элементов ЭВМ, средств и систем вычислительной техники: терминалов, устройств ввода-вывода, процессоров, периферийного оборудования, линий связи и т.д.Основные функции аппаратных средств защиты информации: запрещение несанкционированного (неавторизованного) внешнего доступа (удаленного пользователя, злоумышленника) к работающей вычислительной системе; запрещение несанкционированного (неавторизованного) внутреннего доступа к отдельным файлам или базам данных вычислительной системы, возможного в результате случайных или умышленных действий обслуживающего персонала; защита активных и пассивных (архивных) файлов и баз данных, связанная с не обслуживанием или отключением вычислительной системы (компьютера) из сети ЭВМ; идентификации субъектов (пользователей, обслуживающего персонала) и объектов (ресурсов) системы; проверки полномочий, заключающейся в проверке соответствия дня недели, времени суток, а также разрешение и создание условий работы субъекту в пределах установленного регламента; регистрации (протоколирования) при обращении к запрещаемым ресурсам; реагирования (задержки выполнения работ, отказа в обслуживании, тревожной сигнализации) при попытках несанкционированного доступа к защищаемым ресурсам 3. Программные средства защиты. Предназначены для выполнения логических и интеллектуальных функций защиты и включаются либо в состав программного обеспечения систем обработки данных, либо в состав средств, комплексов и систем аппаратуры контроля.С помощью программных средств защиты решаются следующие задачи информационной безопасности: контроль загрузки и входа в систему с помощью персональных идентификаторов (имя, код, пароль и т. п.); разграничение и контроль доступа субъектов к системным и пользовательским ресурсам. изоляция программ процесса, выполняемого в интересах конкретного субъекта от других субъектов (обеспечение работы каждого пользователя в индивидуальной среде); управление потоками конфиденциальной информации с целью предотвращения записи на магнитные носители данных несоответствующего уровня (грифа) секретности; защита файлов от вирусных инфекций; удаление остаточной информации из запоминающих устройств; автоматический контроль работы пользователей на ЭВМ на базе результатов протоколирования и подготовка отчетов по данным записей в системном регистрационном журнале. 4. Аппаратно-программные средства защиты. Данные средства защиты широко используются при реализации биометрических методов аутентификации пользователей автоматизированных информационных систем. Аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности личности пользователя или его действий Аутентификация обычно осуществляемая перед разрешением доступа к ресурсам автоматизированной информационной системы. Классификация и примеры реализации методов аутентификации, расположенных в порядке возрастания степени их надежности, представлены в таблице 8.1:
Таблица 8.1
5. Криптографические методы зашиты. Представляют собой методы защиты данных с помощью криптографического преобразования, под которым понимается преобразование данных шифрованием. Шифрование или криптографическое преобразование информации - это процедура, которая препятствует без знания определенного ключа получить первоначальный (незашифрованный) смысл сообщения. Практические приемы шифрования информации разрабатывает наука криптология, название которой идет от греческих слов criptos - тайна и logos - слово. Криптография известна с древних времен (например, еще Цезарь использовал специальные коды для своих документов) и до недавнего времени оставалась привилегий государственных и военных учреждений. Однако после выхода в 1949 г. книги К. Шеннона "Работы по теории информации и кибернетике" криптографией стали серьезно интересоваться ученые многих отраслей, в том числе и в коммерческой сфере. Необходимо, чтобы способы шифрования обладали двумя свойствами: - законный получатель может достаточно быстро и просто расшифровать сообщение; - нарушитель, перехвативший сообщение, не сможет его расшифровать без таких временных и материальных затрат, которые делают эту работу бессмысленной. Разработано и реализовано большое количество методов шифрования информации, основными элементами которых являются алгоритм шифрования и ключ. Ключ (специальный код) обеспечивает оригинальное преобразование информации при использовании одного и того же алгоритма. Знание ключа позволяет быстро и просто зашифровать и расшифровать данные. Без знания ключа расшифровка данных затруднена даже при известном алгоритме шифрования. Криптографические методы защиты информации могут использовать: - шифрование с помощью датчика псевдослучайных чисел заключается в генерации гаммы шифра с помощью датчика псевдослучайных чисел и наложении полученной гаммы на открытые данные обратимым образом; - шифрование с помощью криптографических стандартов шифрования данных (с симметричной схемой шифрования), использующих проверенные и апробированные алгоритмы шифрования данных с хорошей криптостойкостью; - шифрование с помощью систем с открытым ключом (с асимметричной схемой шифрования), в которых для шифрования данных используется один ключ, а для дешифровки – другой. Первый ключ не является секретным и может быть опубликован для использования всеми пользователями системы. Второй ключ является секретным и используется получателем зашифрованной информации для ее дешифровки. В настоящее время в качестве корпоративных проектов рынок предлагает следующие программные средства, обеспечивающие шифрование [3]: PGP, BestCrypt, PC-ENCRYPT, A-Lock(http://ware.aktobe.kz/secur/), «Шифратор» (http://softsearch.ru/), Cryptext, Coded Drag, GNU Privacy Guard (http://www.crackzone.org/download/), Advanced Encryption Package, Antiy Info Stego Personal Edition, CRYPKEY C.A.S.P.E.R, F-SECURE FILE CRYPTO, HotCrypt, Lock-It, Masker, Steganos Crypt and Go, Visual Soft Secure File Handling Suite (http://www.skladcd.com/) и др.
8.7. Обеспечение безопасности в компьютерных сетях [4] Компьютерные сети самим своим существованием создают дополнительные трудности для обеспечения информационной безопасности организаций-владельцев этих сетей. Указанные проблемы многократно возрастают, если корпоративная сеть имеет связь с глобальной сетью Интернет. В 1987 г. Национальный центр компьютерной безопасности США выпустил в свет интерпретацию TCSEC для сетевых конфигураций. В ней сформулированы функции безопасности, характерные для распределенных систем: аутентификация партнеров по общению и источников данных; управление доступом, целостность данных; шифрование, электронная подпись и т.п. Для обеспечения безопасности в компьютерных сетях используются следующие механизмы: 1. Механизм контроля целостности данных Различают два аспекта механизма контроля целостности данных: целостность отдельного сообщения, или поля информации, и целостность потока сообщений, или полей информации. Контроль двух видов целостности осуществляется различными механизмами, хотя контролировать целостность потока, не проверяя отдельные сообщения, едва ли имеет смысл. Для проверки целостности потока сообщений (защиты от кражи, переупорядочивания, дублирования и вставки сообщений) используются порядковые номера, временные штампы, криптографическое связывание, при котором результат шифрования очередного сообщения зависит от предыдущего, или иные аналогичные приемы. 2. Механизмы аутентификации Используют пароли, личные карточки или иные устройства аналогичного назначения, криптографические методы и др. Аутентификация в сети бывает односторонней (клиент доказывает свою подлинность серверу), двусторонней или взаимной. Для защиты от дублирования аутентификационной информации могут использоваться временные штампы и синхронизация часов в узлах сети. 3. Механизмы управления маршрутизацией Маршруты могут выбираться статически или динамически. Система, зафиксировав неоднократные атаки на определенном маршруте, может отказаться от его использования. На выбор маршрута способна повлиять метка безопасности, ассоциированная с передаваемыми данными. 4. Механизмы нотариального заверения Служат для подтверждения таких коммуникационных характеристик, как целостность, время, личность отправителя и получателя. Заверение обеспечивается надежной третьей стороной, которая обладает достаточной информацией, чтобы ее подтверждению можно было доверять. Обычно нотариального заверения опирается на механизм электронной подписи. Основой функционирования сетей вообще и коммуникационной безопасности, в частности, являются сетевые протоколы. Многие защитные механизмы встраиваются в протоколы. Последние влияют и на возможность поддержания целостности данных. Достаточно высокую степень конфиденциальности обеспечивает протокол SSL (Secure Sockets Layer), поддерживающийся Web-браузерами. Он обеспечивает установление канала шифрованной связи между Web-клиентами и серверами, а также независимость от алгоритма шифрования. Среди защитных механизмов в сетевых конфигурациях особое место занимает криптография, помогающая поддерживать как конфиденциальность, так и целостность потока информации. Наиболее уязвимый уровень с точки зрения защиты – это сетевой уровень. На нем формируется вся маршрутизирующая информация, отправитель и получатель фигурируют явно, осуществляется управление потоком. Протоколами сетевого уровня обрабатываются пакеты на всех маршрутизаторах, шлюзах и других промежуточных узлах. Почти все специфические сетевые нарушения осуществляются с использованием протоколов данного уровня (чтение, модификация, уничтожение, дублирование, переориентация отдельных сообщений или потока в целом, маскировка под другой узел и т.д.). Защита от всех подобных угроз осуществляется с помощью средств криптозащиты. На данном уровне может быть реализована и выборочная маршрутизация. Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая в заголовке этого пакета все IP-адреса, флаги или номера TCP-портов. IP-адрес и номер порта – это информация соответственно сетевого и транспортного уровней, но пакетные фильтры используют и информацию прикладного уровня, так как все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта. Брандмауэры прикладного уровня используют серверы конкретных услуг – TELNET, FTP, Proxy Server и т.д., запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения. Использование серверов прикладного уровня позволяет решить важную задачу – скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством является возможность аутентификации. При описании правил доступа используются такие параметры, как название сервиса, имя пользователя, допустимый период времени использования сервиса, компьютеры, с которых можно обращаться к сервису, схемы аутентификации. Серверы протоколов прикладного уровня позволяют обеспечить наиболее высокий уровень защиты – взаимодействие с внешним миром реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик. Очевидно, что никакие аппаратные, программные и любые другие решения не смогут гарантировать абсолютную надежность и безопасность данных в компьютерных сетях. В то же время свести риск потерь к минимуму возможно лишь при комплексном подходе к вопросам безопасности. При разработке и проведении в жизнь политики безопасности для информационной системы на базе компьютерной сети целесообразно учитывать следующие принципы: - невозможность миновать защитные средства при доступе в систему; - разделение обязанностей; - невозможность перехода системы в небезопасное состояние; - разнообразие защитных средств; - простота и управляемость информационной системы; - обеспечение всеобщей поддержки мер безопасности. 8.8. Организационно-экономическое обеспечение безопасности информационных систем [4] Организационное обеспечение защиты информации предусматривает формирование и реализацию следующих механизмов защиты: - стандартизации методов и средств защиты информации; - сертификации компьютерных систем и сетей по требованиям информационной безопасности; - лицензирования деятельности в сфере защиты информации; -страхования информационных рисков, связанных с функционированием компьютерных систем и сетей; - контроль действия персонала в защищенных информационных системах. Экономическое обеспечение безопасности информации заключается в применении финансовых операций для обеспечения эффективной политики в области защиты. В организации финансовой защиты информационных ресурсов систем электронной обработки и передачи информации особая роль принадлежит страхованию. Страхование информационных ресурсов предусматривает защиту каждого компонента автоматизированной информационной системы или же их различных комбинаций (комплексов) как от традиционных имущественных рисков, так и от рисков, связанных с техническими и технологическими нарушениями функционирования системы обработки и передачи данных. Компоненты систем обработки и передачи данных могут страховаться как имущество (в этом случае действуют правила имущественного страхования) или как интеллектуальная собственность (хранимые базы данных, программы). 8.9. Структура и функции системы информационной безопасности [4] Система информационной безопасности является составной частью общей системы национальной безопасности страны и представляет собой совокупность органов государственной власти и управления и предприятий, осуществляющих согласованную деятельность по обеспечению информационной безопасности. В систему входят: - органы государственной власти и управления, решающие задачи обеспечения информационной безопасности в пределах своей компетенции; - государственные и межведомственные комиссии и советы, специализирующиеся на проблемах информационной безопасности; - структурные и межотраслевые подразделения по защите информации органов государственной власти и управления, а также структурные подразделения предприятий, проводящих работы с использованием сведений, отнесенных к государственной тайне, или специализирующиеся на проведении работ в области защиты информации; - научно-исследовательские, проектные и конструкторские организации, выполняющие работы по обеспечению информационной безопасности; - заведения, осуществляющие подготовку и переподготовку кадров для работы в системе обеспечения информационной безопасности. Государственную систему защиты информации Республики Беларусь составляют: Государственный центр безопасности информации (ГЦБИ); структурные подразделения по защите информации органов государственного управления, предприятий, организация и учреждений; головные предприятия (организации, учреждения) по направлениям защиты информации. Основными функциями системы информационной безопасности страны являются: разработка и реализация стратегии обеспечения информационной безопасности; оценка состояния информационной безопасности в стране, выявление источников внутренних и внешних угроз информационной безопасности, определение приоритетных направлений предотвращения и нейтрализации этих угроз; координация и контроль деятельности субъектов системы информационной безопасности; организация разработки общегосударственных и ведомственных программ обеспечения информационной безопасности и координация работ по их реализации; проведение единой технической политики в области обеспечения информационной безопасности; организация фундаментальных, поисковых и прикладных научных исследований в области информационной безопасности; обеспечение контроля создания и использования средств защиты информации посредством обязательного лицензирования деятельности в области защиты информации и сертификации средств защиты информации; осуществление международного сотрудничества в сфере информационной безопасности и представление интересов страны в соответствующих международных организациях. Особое внимание в ходе международного сотрудничества должно быть уделено проблемам взаимодействия со странами СНГ с учетом перспектив создания единого информационного пространства для большинства стран СНГ, в пределах которого используются практически единые телекоммуникационные системы и линии связи. На подразделения защиты информации предприятий, учреждений и организаций возлагаются: определение угроз безопасности, выявление возможных каналов утечки охраняемых сведений; разработка и внедрение необходимых мер защиты информации; контроль и анализ эффективности применяемых мер защиты информации. 8.10. Методы защиты информации [4] В общем случае методы защиты корпоративной информации подразделяются на: организационно-административные; организационно-технические. Организационно-административные методы защиты информации регламентируют процессы создания и эксплуатации корпоративных информационных систем, а также взаимодействие пользователей и систем таким образом, что несанкционированный доступ к информации становится либо невозможным, либо существенно затрудняется. К организационно-административным мероприятиям защиты информации относятся: выделение специальных защищенных помещений для размещения ЭВМ, средств связи и хранения носителей информации; выделение специальных ЭВМ для обработки конфиденциальной информации; организация хранения конфиденциальной информации на специальных промаркированных магнитных носителях; использование в работе с конфиденциальной информацией технических и программных средств, имеющих сертификат защищенности и установленных в аттестованных помещениях; организация специального делопроизводства для конфиденциальной информации, устанавливающего порядок подготовки, использования, хранения, уничтожения и учета документированной информации; организация регламентированного доступа пользователей к работе на ЭВМ, средствах связи и в хранилищах носителей конфиденциальной информации; установление запрета на использование открытых каналов связи для передачи конфиденциальной информации; разработка и внедрение специальных нормативно-правовых и распорядительных документов по организации защиты конфиденциальной информации; постоянный контроль соблюдения установленных требований по защите информации. Организационно-технические методы защиты информации охватывают все структурные элементы корпоративных информационных систем на всех этапах их жизненного цикла и состоят из следующих мероприятий: ограничение доступа посторонних лиц внутрь корпуса оборудования за счет установки механических запорных устройств или замков; отключение ЭВМ от локальной вычислительной сети или сети удаленною доступа (региональные и глобальные вычислительные сети) при обработке на ней конфиденциальной информации, кроме необходимых случаев передачи этой информации по каналам связи; использование для отображения конфиденциальной информации жидкокристаллических или плазменных дисплеев, а для печати – струйных принтеров или термопечати с целью снижения утечки информации по электромагнитному каналу; установка клавиатуры и печатающих устройств на мягкие прокладки с целью снижения утечки информации по акустическому каналу; размещение оборудования для обработки конфиденциальной информации на расстоянии не менее 2,5 метров от устройств освещения, кондиционирования, связи, металлических труб, теле- и радиоаппаратуры; организация электропитания ЭВМ от отдельного блока питания (с защитой от побочных электромагнитных излучений); использование бесперебойных источников питания (БИП) для силовых электрических сетей с неустойчивым напряжением и плавающей частотой. 8.11. Правовое обеспечение безопасности информационных систем [3,4] Программно-техническая подсистема защиты автоматизированных информационных систем, какой бы совершенной она ни была, в полном объеме не решает задач комплексной защиты объектов информационной безопасности. Используемые данной подсистемой физические, аппаратные, программные, криптографические и иные логические и технические средства и методы защиты выполняются без участия человека по заранее предусмотренной процедуре. Для обеспечения комплексного подхода к проблеме, программно-техническая защита объектов информационной безопасности должна быть дополнена соответствующим правовым обеспечением. Продвижение нашей страны по пути развития рыночной экономики обусловило необходимость принятия законодательных актов, регулирующих вопросы формирования и использования информационных ресурсов.
Дата добавления: 2014-12-27; Просмотров: 3733; Нарушение авторских прав?; Мы поможем в написании вашей работы! Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет |