КАТЕГОРИИ: Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748) |
Комплексная защита информации в корпоративных системах
Частичную защиту обеспечивает блокировка портов, реализуемая в большинстве современных маршрутизаторов путем формирования списков контроля доступа на основе языка команд маршрутизатора. Еще один способ защиты - сконфигурировать маршрутизатор так, чтобы он разрешал соединения из Internet только с теми компьютерами сети, информация на которых открыта для всеобщего пользования. Остальные части сети изолируются от этих компьютеров брандмауэрами или иными средствами. Такой способ защиты используется многими крупными корпорациями. Полноценное использование сервера требует его подключения через местный маршрутизатор, который станет одним из рубежей защиты. Маршрутизатор можно запрограммировать таким образом, что он будет блокировать опасные функции и разрешать передачу поступающих извне запросов только в специально назначенные серверы. Независимая архитектура реализуется в том случае, когда организация обеспечивает все технологические требования на своем оборудовании, делегируя сервис-провайдеру лишь транспортные функции. Такая архитектура обходится дороже, однако предоставляет пользователю возможность полного контроля за всеми операциями. АРХИТЕКТУРА VPN. УПРАВЛЯЕМОСТЬ. ДОСТУПНОСТЬ. Доступность включает три в равной степени важные составляющие: время предоставления услуг, пропускную способность и время задержки. Время предоставления услуг является предметом договора с сервис-провайдером, а остальные две составляющие относятся к элементам качества услуг (Quality of Service - QoS). Современные технологии транспорта позволяют построить VPN, удовлетворяющие требованиям практически всех существующих приложений. Администраторы сетей всегда хотят иметь возможность осуществлять сквозное, из конца в конец, управление корпоративной сетью, включая и ту часть, которая относится к телекоммуникационной компании. Оказывается, что VPN предоставляют в этом плане больше возможностей, чем обычные частные сети. Типичные частные сети администрируются «от границы до границы», т.е. сервис-провайдер управляет сетью до фронтальных маршрутизаторов корпоративной сети, в то время как абонент управляет собственно корпоративной сетью до устройств доступа к WAN. Технология VPN позволяет избежать этого своеобразного разделения «сфер влияний», предоставляя и провайдеру, и абоненту единую систему управления сетью в целом, как ее корпоративной частью, так и сетевой инфраструктурой общедоступной сети. Администратор сети предприятия имеет возможность выполнять мониторинг и реконфигурацию сети, управлять фронтальными устройствами доступа, определять состояние сети в режиме реального времени. Существуют три модели архитектуры виртуальных частных сетей: зависимая, независимая и гибридная как комбинация первых двух альтернатив. Принадлежность к той или иной модели определяется тем, где реализуются четыре основных требования, предъявляемых к VPN. Если провайдер сетевых глобальных услуг предоставляет полное решение для VPN, т.е. обеспечивает туннелирование, безопасность, производительность и управление, то это делает архитектуру зависимой от него. В этом случае все процессы в VPN для пользователя прозрачны, и он видит только свой нативный трафик – IP-, IPX- или NetBEUI–пакеты. Преимущество зависимой архитектуры для абонента заключается в том, что он может использовать существующую сетевую инфраструктуру «как она есть», добавляя лишь брандмауэр между VPN и частной WAN/LAN. Гибридная архитектура включает зависимые и независимые от организации (соответственно, от сервис-провайдера) сайты. Какие же коврижки сулят VPN для корпоративных пользователей? Прежде всего, по оценкам индустриальных аналитиков, это снижение расходов на все виды телекоммуникаций от 30 до 80 %. А также это практически повсеместный доступ к сетям корпорации или других организаций; это реализация безопасных коммуникаций с поставщиками и заказчиками; это улучшенный и расширенный сервис, недостижимый в сетях PSTN, и многое другое. Специалисты рассматривают виртуальные частные сети как новую генерацию сетевых коммуникаций, а многие аналитики считают, что VPN вскоре заменят большинство частных сетей, базирующихся на арендуемых линиях. ЗАКЛЮЧЕНИЕ. <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML//EN"> Internet: эволюция философии защиты. Проблема защиты информации в Internet ставится и, с той или иной степенью эффективности, решается с момента появления сетей на основе протоколов семейства TCP/IP. В эволюциях технологий защиты можно выделить три основных направления. Первое — разработка стандартов, имплиментирующих в сеть определенные средства защиты, прежде всего административной. Примером являются IP security option и варианты протоколов семейства TCP/IP, используемые в Министерстве обороны США. Второе направление — это культура межсетевых экранов (firewalls), давно применяемых для регулирования доступа к подсетям. Третье, наиболее молодое и активно развивающееся, направление — это так называемые технологии виртуальных защищенных сетей (VPN, virtual private network, или intranet). Наблюдаемый в последние годы взрывной рост популярности Internet и связанных с ней коммерческих проектов послужил толчком для развития нового поколения технологий защиты информации в TCP/IP-сетях. Причем если ранее, вплоть до начала 90-х, основной задачей защиты в Internet было сохранение ресурсов преимущественно от хакерских атак, то в настоящее время актуальной становится задача защиты коммерческой информации. Качественно это совершенно разные виды защиты. Атакующая коммерческую информацию сторона может позволить себе большие затраты на взлом защиты и, следовательно, существенно более высокий уровень: наблюдение трафика, перехват информации, ее криптоанализ, а также разного рода имитоатаки, диверсии и мошенничества. Наивные способы защиты, такие как запрос пароля с последующей передачей его в открытом виде по коммуникационному каналу и списки доступа на серверах и маршрутизаторах, становятся в этих условиях малоэффективными. Что же может быть противопоставлено квалифицированной и технически вооруженной атакующей стороне? Конечно же, только полноценная, криптографически обеспеченная система защиты. Предложений подобных средств на рынке Internet достаточно много. Однако по ряду параметров ни одно из них не может быть признано адекватным задачам защиты информации именно для Internet. Например, достаточно криптостойкой и замечательной по своей идее формирования «паутины доверия» является распространенная система PGP (Pritty good privacy). Однако, поскольку PGP обеспечивает шифрование файлов, она применима только там, где можно обойтись файловым обменом. Защитить, допустим, приложения on-line при помощи PGP затруднительно. Кроме того, уровень защиты PGP слишком высок. Стыковка защиты PGP с другими прикладными системами потребует определенных усилий, если, конечно, вообще окажется осуществимой. Выбор технологии защиты информации для большой открытой системы — сети масштаба Internet, крупной корпоративной сети, сети коммуникационного провайдера, должен удовлетворять ряду специфических требований: · наличие открытой спецификации, отсутствие монополизма в части технологических решений · широкая масштабируемость решений по техническим и ценовым параметрам · универсальность технологии, переносимость, многоплатформенность · совместимость аппаратных, программных, коммуникационных решений · обеспечение, при необходимости, комплексной защиты информации · простота управления ключами и организации защищенных коммуникаций для вновь подключенных пользователей. По своим функциям к маршрутизаторам примыкают автономные пакеты фильтрации трафика, устанавливаемые на ПК или рабочих станциях. Типичным продуктом этого класса является ПО FireWall-1 компании CheckPoint Software Technologies, инсталлируемое на рабочие станции фирмы Sun и выполняющее фильтрацию входного и выходного потоков. FireWall-1 в отличие от маршрутизаторов способен динамически открывать пути передачи данных в соответствии с протоколами Internet, например с FTP. Кроме того, данный пакет снабжен удобным в работе графическим интерфейсом, средствами оповещения об угрозе взлома системы защиты и средствами регистрации доступа к сети, генерирующими сообщения о необычных действиях. Подобные продукты, как правило, обеспечивают лучшую защиту по сравнению с маршрутизаторами, но отличаются высокой стоимостью. Брандмауэры Маршрутизаторы и продукты типа только что рассмотренного ПО FireWall-1 не имеют некоторых функций, повышающих степень защищенности от опасных вторжений в сеть. Например, при передаче потока данных они не анализируют его содержимое и не в состоянии осуществлять проверку полномочий на доступ к ресурсам сети. Такими возможностями обладают брандмауэры - выделенные компьютеры с активными функциями фильтрации информационных потоков в точке связи локальной сети с внешним миром. Основная задача систем этой категории - изолировать сеть от посягательств извне путем просмотра пакетов данных, блокировки "подозрительных" видов трафика и использования специальных средств подтверждения полномочий на доступ. Таким образом, брандмауэр выступает в роли сторожа, не пропускающего любые входные или выходные данные, которые не соответствуют явно сформулированным критериям. Сегодня на рынке имеется широкий выбор средств защиты данных на основе брандмауэров.
Список сокращений 3-DES (Triple Data Encryption Standard) — алгоритм тройного шифрования, разновидность алгоритма DES. АСК (Acknowledgement) —' подтверждение. AES (Advanced Encryption Standard) — американский стандарт шифрования данных. АН (Authentication Header) — аутентифицирующий заголовок в IPSec. АР (Acces's Point) — точка доступа — коммуникационный узел для пользователей или беспроводное устройство. AS (Authentication Server) — сервер аутентификации. ASA (Adaptive1 Security Algorithm) — алгоритм адаптивной безопасности. В2В (Business-to-Business) — схема бизнес—бизнес: модель ведения бизнеса в Интернете на уровне компаний. В2С (Business-to-Corisumer) — схема бизнес—потребитель: розничная продажа товаров и услуг частным лицам через Интернет. СА (Certification Authority)'— центр сертификации. СЕК (Content Encryption Key) — ключ шифрования данных. CHAP (Challenge-Handshake Authentication Protocol) — протокол аутентификации на основе процедуры запрос—отклик. CRL (Certificate Revocation List) — список аннулированных сертификатов. DDoS (Distributed Denial of Service) — распределенная атака отказа в обслуживании. DES (Data Encryption Standard) — бывший стандарт шифрования в США. DH (Diffie — Hellman) — Диффи — Хеллман. DHCP (Dynamic Host Configuration Protocol) — конфигурации хостов. DMZ. (Demilitarized Zone) — демилитаризованные сети. DNS (Domain Name Server) — служба имен домене. DOI (Domain of Interpretation) — область интерпретации. DoS (Denial of Service) — атака отказа в обслуживании. DSSS (Direct Sequence Spread Spectrum) — распределенный спектр с прямой последовательностью. ЕАР (Extensible Authentification Protocol) — расширяемый протокол аутентификации. ЕСС (Elliptic Curve, Cryptography) — криптография эллиптических кривых. ЕЕ (End Entity) — конечный пользователь. EEPROM (Electrically Erasable Programmable Read-only Memory) электрически программируемая память только для чтения данных. FTP (File Transfer Protocol) — протокол передачи файлов. GPS (Global Positipning System) — система глобального, позиционирования. GSR (Global Security Policy) — глобальная политика безопасности для, всей VPN. HMAC (Hashing for Message, Authentication) — аутентификация сообщений С Хэшированием по ключам. HTTP (HyperText Transfer Protocol)— протокол передачи.гипертекстовых файлов. ICMP (Internet Control Message Protocol) — протокол управляющих сообщений в сети Интернет. '' ICV (Integrity Check Value) — значение проверки целостности. IDS (Intrusion Detection System) — система определения вторжений. IKE (Internet Key Exchange) — протокол обмена ключами IP (Internet Protocol) — интернет-протокол межсетевого взаимодействия IPS.(Intrusion Prevention System) — система передачи сообщения, IPSec (Internet Security Protocol) — интернет-пpoтокол сетевого обмена. IPv4 (Internet Protocol, version. 4) — интернет-протокол, межсетевого обмена, версия 4. IPv6 (Internet Protocol, version 6) — интернет-протокол межсетевого обмена, версия 6. ISAKMP (Internet Security Association and Key Management Protocol) — протокол безопасных ассоциаций и управления ключами Интернета. ISDN (Integrated Services Digital Network) — цифровые сети с интегральными услугами. ISO (International Standards Organization) — Международная организация по стандартизации. ISP (Internet Service Provider) — поставщик услуг Интернета. IT (Information Technology) — информационная технология. КЕК (Key-Encryption Key) — ключ для шифрования ключей. KS (Kerberos Server) — сервер системы Kerberos. L2F (Layer-2 Forwarding) — протокол передачи данных второго (канального) уровня. L2TP (Layer-2 Tunneling Protocol) — протокол туннелирования данных второго (канального) уровня. LAC (L2TP Access Concentrator) — концентратор доступа L2TP. LAN (Local Access Network) — локальная сеть. LCJ (Link Control Protocol) — протокол управления соединением. LDAP (Lightweight Directory Access Protocol) — облегченный протокол доступа к каталогам. LNS (L2TP Network Server)—.сетевой сервер L2TP. LSP (Local Security Policy) — локальная политика безопасности ;(для клиента). MAC (Media Access Control) — управление доступом к среде. MAC (Message Authentication Code) — код аутентификации сетевого устройства. MAN (Metropolitan Area Network) — городская сетъ. MD (Message Digest) — дайджест сообщения. MTU (Maximum Transmission Unit) — максимальный (размер передаваемого блока. NAK (Negative Acknowledgement) — подтверждение отказа. NAS (Network Access Server) — сервер доступа к сети. NAT (Network Address Translation) — трансляция сетевых адресов. NCP (Network Control Protocol) — протокол управления сетью. NIDS (Network-based Intrusion Detection System) — система обнаружения вторжений в сеть. NNM (Network Node Manager) — система сетевого управления. OCSP (Online Certificate Status Protocol).— протокол статуса текущего сертификата. OSI (Open Systems Interconnection) — взаимодействие открытых систем. ОТК (One-Time Key) — одноразовый ключ. ОТР (One-Time Password) — одноразовый пароль. PAP (Password Authentication Protocol) — протокол аутентификации по паролю. PDA (Personal Digital Assistant) — карманный персональный компьютер, КПК. PGP (Pretty Good Privacy) — достаточно хорошая секретность. PKD (Public Key Directory) — каталог открытых ключей. PKI (Public Key Infrastructure) — инфраструктура управления открытыми ключами. РРР (Point-to-Point Protocol) — протокол двухточечного соединения. РРТР (Point-to-Point Tunneling Protocol) — протокол туннелирования для двухточечного соединения. RADIUS (Remote Authentication Dial-In User Service) — система удаленной аутентификации пользователей по коммутируемым лини RAS (Remote Access Service) — служба удаленного досту п RC4 (Rivest Cipher 4) — SKIP (Simple Key management for. Internet Protocols) — простое управление ключами для интернет-протоколов. SMTP4(Simple Mail Transfer Protocol) — простой протокол электронной почты. SNMP (Simple Network Management Protocol) — простой протокол сетевого, управления. SPP (Security Policy Database) — база данных правил безопасности. SPI (Security-Parameter Index) — индекс параметров защиты. SQL (Structured Query Language) — структурированный язык запросов. SSH (Secure Shell) — безопасный уровень. Протокол и программа SSH обеспечивают надежные шифрование и аутентификацию. SSL (Secure Sockets Layer) — уровень безопасных соединений. Протокол для установки шифрованных соединений между Интернет-сервером и интернет-браузером. TLS (Transport Layer Security) — защита транспортного уровня. UDP (User, Data Protocol) — протокол, передачи данных пользователей. URL (Uniform Resource Locator) — унифицированный адрес. VPN (Virtual Private Network) — защищенная виртуальная сеть WAN (Wide Area'Network) — сеть, развернутая на большойтерритории. 1. Некоторые понятия Фишинг является относительно новым видом интернет-мошенничества, Цели которого — получить идентификационные данные пользователей. Сюда относятся кражи паролей, номеров кредитных-карт, банковских счетов, PIN-кодов и другой конфиденциальной информации, дающей доступ к деньгам пользователя. Фишинг использует не Технические недостатки программного обеспечения, а легковерность пользователей Интернета. Сам термин phishing, созвучный с fishing (рыбная ловля), расшифровывается как— выуживание пароля. Действительно, фишинг очень похож на рыбную ловлю. Злоумышленник закидывает в Интернет приманку и-«вылавливает» всех «рыбок»,— пользователей Интернета, которые клюнут на эту приманку. Злоумышленником создается практически точная копия: сайта выбранного банка (электронной; платежной системы, аукциона и т. т). Затем при помощи спам-технологии по электронной почте рассылается письмо, составленное таким образом, чтобы быть максимально похожим на настоящее письмо от выбранного банка. При составлении письма используются логотипы банка; имена и фамилии реальных руководителей банка. В таком письме, как правило, сообщается о том; что из-за смены программного обеспечения в системе интернет-банкинга пользователю необходимо подтвердить или изменить свои учетные данные: В качестве, причины для изменения данных могут быть названы выход из строя ПО банка или же нападение хакеров. Наличие правдоподобной легенды, побуждающей пользователя к необходимым действиям, — непременная составляющая успеха мошенников фишеров. Во всех случаях цель таких писем одна — заставить пользователя щёлкнуть по приведенной ссылке, а затем ввести свои конфиденциальные данные (пароль; номер счета, PIN-код) на ложном сайте банка (электронной платежной системы, аукциона). Зайдя на ложный сайт, пользователь вводит в соответствующие строки свои конфиденциальные данные, а далее аферисты получают доступ в лучшем случае к его почтовому ящику, а в худшем — к электронному счету. Технологии фишеров: совершенствуются, применяются методы социальной инженерии. Клиента пытаются напугать, придумать критичную причину для того, чтобы он выдал; свои конфиденциальные данные. Как правило сообщения содержат угрозы, например, заблокировать счет в случае невыполнения получателем требований в сообщении. В настоящее время мошенники часто используют специальные программы. Задача фишера в этом случае заставить пользователя зайти на фишерский сайт и «подцепить» программу, которая самостоятельно разыщет компьютерные жертвы все, что нужно. Наравне с троянскими программами на подставных сайтах на компьютеры жертв загружают шпионские утилиты, отслеживающие нажатие клавиш.
Успеху фишинг-афер способствует низкий уровень осведомленности пользователей о правилах работы компаний, от имени которых действуют преступники. В частности, около 5 % пользователей не знают простого факта: банки не рассылают, писем с просьбой подтвердить в онлайне номер своей кредитной карты и ее PIN-код. Появилось сопряженное с фишингом понятие — фарминг. Фарминг (Pharming) — это еще один вид мошенничества, ставящий целью получить персональные данные пользователей, но не через почту, а прямо через, официальные веб-сайты. Фармеры заменяют на серверах DNS цифровые адреса легитимных веб-сайтов на поддельные, в результате чего пользователи перенаправляются на сайты мошенников. Этот вид мошенничества еще опаснее, так как заметить подделку практически невозможно. Основной защитой от фишинга пока остаются спам-фильтры. К сожалению, программный инструментарий для защиты от фишинга обладает ограниченной эффективностью, поскольку злоумышленники эксплуатируют в первую очередь не бреши в ПО, а человеческую психологию. Активно разрабатываются технические средства безопасности, прежде всего плагины для популярных браузеров. Суть защиты заключается в блокировании сайтов, попавших в черные списки мошеннических ресурсов. Следующим шагом, могут стать системы генерации одноразовых паролей для интернет-доступа к банковским счетам и аккаунтам в платежных системах, повсеместное распространение дополнительных уровней защиты за счет, комбинации ввода пароля с использованием аппаратного USB-ключа. Рассмотрим тенденции развития ИТ-угроз Десятка наиболее опасных ИТ-угроз (источник: Computer Economics)
Угрозы от вредоносных программ занимают третье место в рейтинге поскольку по-прежнему имеется немало Организаций, где защита от подобных угроз пока реализована на недостаточном уровне. На четвертом месте находится неавторизованный доступ со стороны внешних нарушителей, а на пятом — угроза физической потери носителя информации.
2. Расширение спектра ИТ-угроз Сегодня все более серьезную угрозу для безопасности компаний представляют возрастающая мобильность пользователей (применение ноутбуков за пределами корпоративной сети стало практически повсеместным) и современные пользовательские информационные технологии (бесплатная почта, ICQ, чаты, блоги, Wi-Fi и пр.), все активнее проникающие в корпоративную сферу. Мобильные устройства сотрудников и пользовательские информационные технологии (при всей своей полезности) представляют для компаний огромную опасность. Мобильные устройства вместе с имеющейся на них корпоративной информацией нередко оказываются украденными или потерянными, причем часто информация никак не защищена. Кроме устройства и пользовательские технологии предоставляют множество способов скопировать конфиденциальную информацию, чем и пользуются инсайдеры. Часто хакеры пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название «атака полного перебора» (Brute Force Attack). Для этой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате злоумышленнику удается подобрать пароль, он получает доступ к ресурсам на правах обычного пользователя; Если этот пользователь имеет значительные привилегии доступа, злоумышленник может создать для себя «проход» для будущего доступа, который будет действовать, даже если пользователь изменит свои пароль и логин. Средства перехвата, подбора и взлома паролей в настоящее время считаются практически легальными и официально выпускаются достаточно большим числом компаний. Они позиционируются как программы для аудита безопасности и восстановления забытью паролей, и их можно на законных основаниях приобрести у разработчиков.
3. Политика безопасности 3.1. Базовая политика безопасности Базовая политика безопасности устанавливает как организация обрабатывает информацию, кто может получить к ней доступ и как это можно сделать. В описании базовой политики безопасности определяются разрешенные и запрещенные действия, а также указываются необходимые средства управления: в рамках реализуемой, архитектуры безопасности. С базовой политикой безопасности согласовываются специализированные политики, и процедуры безопасности. Обычно базовая политика безопасности организации поддерживается набором специализированных политик и процедур безопасности.
3.2. Специализированные политики безопасности К специализированным политикам, затрагивающим значительное число пользователей, относятся: · политика допустимого использования; · политика удаленного доступа к ресурсам сети; · политика защиты информации; · политика защиты паролей и др. К специализированным политикам, связанным с конкретными техническими областями, относятся: · политика конфигурации межсетевых экранов; · политика по шифрованию и управлению крипто-ключами; · политика безопасности виртуальных защищенных сетей VPN; · политика по оборудованию беспроводной сети и др. Рассмотрим подробнее некоторые из ключевых специализированных политик. Политика допустимого использования. Базовая политика безопасности связана с рядом политик допустимого использования. Целью политики допустимого использования является установление стандартных норм безопасного использования компьютерного оборудования и сервисов в компании, а также соответствующих мер безопасности сотрудников с целью защиты корпоративных ресурсов и собственной информации. Неправильное использование компьютерного оборудования и сервисов подвергает компанию рискам, включая вирусные атаки; компрометацию сетевых систем и сервисов. Конкретный тип и количество политик допустимого использования зависят от результатов анализа требований бизнеса, оценки рисков корпоративной культуры в организации: Политика допустимого использования применяется к сотрудникам, консультантам, временным служащим и другим работникам в компании, включая сотрудников сторонних организаций. Политика допустимого использования предназначается в основном для конечных пользователей. Эта политика указывает пользователям, какие действия разрешаются, а какие запрещены. Политика допустимого, использования должна установить: · ответственность пользователей за защиту любой информации, используемой и/или хранимой их компьютерами; · возможность читать и копировать файлы, которые не являются собственными документами пользователей, но доступны им; · уровень допустимого использования для, электронной почты и Web-доступа.
Для политики допустимого использования не существует специального формата. В этой политике должно; быть указано имя сервиса, системы или подсистемы (например, политика использования компьютера, электронной почты, портативных компьютеров и паролей) и описано в самых четких терминах разрешенное и запрещенное поведение. В этой политике должны быть также; подробно описаны последствия нарушения ее правил и санкции, налагаемые на нарушителя. Политика удаленного доступа. Целью политики удаленного доступа является установление стандартных норм, безопасного удаленного соединения любого хоста с сетью компании. Политика удаленного доступа: • намечает и определяет допустимые методы удаленного, соединения с внутренней сетью; • должна охватывать по возможности все распространенные методы удаленного доступа к внутренним ресурсам. Политика удаленного доступа должна определить: • какие методы разрешаются для удаленного доступа; • каковы ограничения на данные, к которым можно получить удаленный доступ; • кто может иметь удаленный доступ. 3.3. Процедуры безопасности Процедура реагирования на события. Ее иногда называют процедурой обработки событий или процедурой, реагирования на инцидент. Основные типы нарушений, которые могут произойти: сканирование портов сети, атака типа «отказ в обслуживании», компрометация хоста, несанкционированный доступ и др. Данная процедура определяет: • каковы обязанности членов команды реагирования; • какую информацию следует регистрировать и прослеживать; • как обрабатывать исследование отклонений от нормы и атаки вторжения; • кого уведомлять и когда; • кто может выпускать в свет информацию и какова процедура ее выпуска; • как должен выполняться последующий анализ и кто будет в этом участвовать. 4. Электронная цифровая подпись Электронная подпись (ЭП) используется для аутентификации текстов, передаваемых по телекоммуникационным каналам. При таком обмене электронными документами существенно снижаются затраты на обработку и. хранение документов, ускоряется их поиск. Но возникает проблема аутентификации автора электронного документа и самого документа, т. е. установления подлинности автора и отсутствия изменений в полученном электронном документе. Целью аутентификации электронных документов является их защита от возможных видов злоумышленных действий, к которым относятся: • активный перехват - нарушитель, подключившийся к сети, перехватывает документы (файлы) и изменяет их; • маскарад — абонент С посылает документ абоненту В от имени абонента А; • ренегатство — абонент А заявляет, что не посылал сообщения абоненту Б хотя на самом деле послал; • подмена — абонент В изменяет или формирует новый документ и заявляет, что получил его от абонента А; • повтор — абонент С повторяет ранее переданный документ, который абонент А посылал абоненту В. Эти виды злоумышленных действий могут нанести существенный ущерб банковским и коммерческим структурам, государственным предприятиям и организациям, частным лицам, применяющим в своей деятельности компьютерные информационные технологии. Электронная цифровая подпись представляет собой относительно небольшое количество дополнительной цифровой информации, передаваемой вместе с подписываемым текстом. ЭП основана на взаимосвязанности содержимого сообщения, самой подписи и пары ключей. Изменение хотя бы одного из этих элементов сделает невозможным подтверждение подлинности цифровой подписи. ЭП реализуется при помощи асимметричных алгоритмов шифрования и хэш-функций. Технология применения системы ЭЦП предполагает наличие сети абонентов, посылающих друг другу подписанные электронные документы. Для каждого абонента генерируется пара ключей: секретный и открытый. Секретный ключ хранится абонентом в тайне и используется им для формирования ЭЦП. Открытый ключ известен всем другим пользователям и предназначен для проверки ЭЦП получателем подписанного электронного документа. Система ЭЦП включает две основные процедуры: • формирования цифровой подписи; • проверки цифровой подписи.
Дата добавления: 2015-07-13; Просмотров: 737; Нарушение авторских прав?; Мы поможем в написании вашей работы! Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет |