МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах
РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ" ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах Гендерна антидискримінаційна експертиза може зробити нас моральними рабами ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів
Контакти
Тлумачний словник Авто Автоматизація Архітектура Астрономія Аудит Біологія Будівництво Бухгалтерія Винахідництво Виробництво Військова справа Генетика Географія Геологія Господарство Держава Дім Екологія Економетрика Економіка Електроніка Журналістика та ЗМІ Зв'язок Іноземні мови Інформатика Історія Комп'ютери Креслення Кулінарія Культура Лексикологія Література Логіка Маркетинг Математика Машинобудування Медицина Менеджмент Метали і Зварювання Механіка Мистецтво Музика Населення Освіта Охорона безпеки життя Охорона Праці Педагогіка Політика Право Програмування Промисловість Психологія Радіо Регилия Соціологія Спорт Стандартизація Технології Торгівля Туризм Фізика Фізіологія Філософія Фінанси Хімія Юриспунденкция |
|
|||||||
Засоби забезпечення безпеки даних і інформаційного захистуЯк захищатися?Найбільш простий спосіб - купити новітні рекламовані засоби захисту і встановити їх у себе в організації, не утрудняючи себе обґрунтуванням їх корисності і ефективності. Якщо компанія багата, то вона може дозволити собі цей шлях. Проте дійсний керівник повинен системно оцінювати ситуацію і правильно витрачати засоби. У всьому світі зараз прийнято будувати комплексну систему захист інформації і інформаційних систем у декілька етапів - на основі формування концепції інформаційної безпеки, маючи на увазі в першу чергу взаємозв'язок її основних понять (рис. 5.2) [Лапоніна О.Р. Основи мережевої безпеки. М.: ІНТУІТ.ru, 2005]. Перший етап - інформаційне обстеження підприємства - найважливіший. Саме на цьому етапі визначається, від чого в першу чергу необхідно захищатися компанії. Спочатку будується так звана модель порушника, яка описує вірогідну зовнішність зловмисника, тобто його кваліфікацію, наявні засоби для реалізації тих або інших атак, звичайний час дії і т.п. На цьому етапі можна одержати відповідь на два питання, які були задані вище: "Навіщо і від кого треба захищатися?" На цьому ж етапі виявляються і аналізуються вразливі місця і можливі шляхи реалізації погроз безпеки, оцінюється вірогідність атак і збиток від їх здійснення.
Рис. 5.2. Взаємозв'язані параметри поля інформаційної безпеки
За наслідками етапу виробляються рекомендації по усуненню виявлених погроз, правильному вибору і застосуванню засобів захисту. На цьому етапі може бути рекомендовано не набувати достатньо дорогих засобів захисту, а скористатися вже наявними в розпорядженні. Наприклад, у разі, коли в організації є могутній маршрутизатор, можна рекомендувати скористатися вбудованими в нього захисними функціями, а не набувати дорожчого між мережевого екрану (Fairwall). Разом з аналізом існуючої технології повинна здійснюватися розробка політики у області інформаційної безпеки і зведення організаційно-розпорядливих документів, що є основою для створення інфраструктури інформаційної безпеки (рис. 5.3). Ці документи, засновані на міжнародному законодавстві і законах Російській федерації і нормативних актах, дають необхідну правову базу службам безпеки і відділам захисту інформації для проведення всього спектру захисних заходів, взаємодії із зовнішніми організаціями, залучення до відповідальності порушників і т.п. Рис. 5.3. Що становлять інфраструктури інформаційної безпеки
Формування політики ІБ повинне зводитися до наступних практичних кроків. 1. Визначення і розробка керівних документів і стандартів у області ІБ, а також основних положень політики ІБ, включаючи: принципи адміністрування системи ІБ і управління доступом до обчислювальних і телекомунікаційних засобів, програм і інформаційних ресурсів, а також доступом в приміщення, де вони розташовуються; принципи контролю стану систем захисту інформації, способи інформування про інциденти у області ІБ і вироблення коректуючих заходів, направлених на усунення погроз; принципи використання інформаційних ресурсів персоналом компанії і зовнішніми користувачами; організацію антивірусного захисту і захисту проти несанкціонованого доступу і дій хакерів; питання резервного копіювання даних і інформації; порядок проведення профілактичних, ремонтних і відновних робіт; програму навчання і підвищення кваліфікації персоналу. 2. Розробка методології виявлення і оцінки погроз і ризиків їх здійснення, визначення підходів до управління ризиками: чи є достатнім базовий рівень захищеності або потрібно проводити повний варіант аналізу ризиків. 3. Структуризацію контрзаходів по рівнях вимог до безпеки. 4. Порядок сертифікації на відповідність стандартам у області ІБ. Повинна бути визначена періодичність проведення нарад з тематики ІБ на рівні керівництва, включаючи періодичний перегляд положень політики ІБ, а також порядок навчання всіх категорій користувачів інформаційної системи з питань ІБ. Наступним етапом побудови комплексної системи інформаційної безпеки служить придбання, установка і настройка рекомендованих на попередньому етапі засобів і механізмів захисту інформації. До таких засобів можна віднести системи захисту інформації від несанкціонованого доступу, системи криптографічного захисту, міжмережеві екрани, засоби аналізу захищеності та інші. Для правильного і ефективного застосування встановлених засобів захисту необхідний кваліфікований персонал. З часом наявні засоби захисту застарівають, виходять нові версії систем забезпечення інформаційної безпеки, постійно розширюється список знайдених слабких місць і атак, міняється технологія обробки інформації, змінюються програмні і апаратні засоби, приходить і йде персонал компанії. Тому необхідно періодично переглядати розроблені організаційно-розпорядливі документи, проводити обстеження ІС або її підсистем, навчати новий персонал, оновлювати засоби захисту. Проходження описаним вище рекомендаціям побудови комплексної системи забезпечення інформаційної безпеки допоможе досягти необхідного і достатнього рівня захищеності вашої автоматизованої системи. Чим захищатися?Умовно можна виділити три категорії засобів захисту - традиційні засоби, нові технології і засоби криптографічного захисту інформації. Криптографічні засоби винесені в окрему категорію, тому що вони являють собою абсолютно особливий клас захисних засобів, який не може бути віднесений до якого-небудь іншому класу. Традиційні засоби захисту будувалися з урахуванням класичних моделей розмежування доступу, розроблених в 1960-1970-х роках. У той час мережі ще не набули такого широкого поширення, та і розроблялися ці моделі у військових відомствах. До таких засобів можна віднести системи розмежування доступу і міжмережеві екрани. Перші засоби реалізують розмежування доступу конкретних користувачів до ресурсів конкретного комп'ютера або всієї мережі, а другі - розмежовують доступ між двома ділянками мережі з різними вимогами по безпеці. Яскравим прикладом систем розмежування доступу є системи сімейства SecretNet, розроблені науково-інженерним підприємством "Інформзахист" і на сьогодні що є лідерами російського ринку інформаційної безпеки. З міжмережевих екранів можна назвати продукти компаній CheckPoint і CyberGuard - Firewall-1 і CyberGuard Firewall відповідно. Зокрема, міжмережевий екран CheckPoint Firewall-1 за даними незалежних агентств охоплює більше 40% світового ринку захисних засобів цього класу. До класу міжмережевих екранів можна також віднести і багато маршрутизаторів, що реалізовують фільтрацію даних на основі спеціальних правил (рис. 5.4).
Рис. 5.4. Використання комплексу "маршрутізатор-файерволл" в системах захисту інформації при підключенні до Internet
Проте у цих засобів є свої особливості. Наприклад, якщо пред'явити цим системам вкрадені ідентифікатор і секретний елемент (як правило, ім'я користувача і пароль), то і системи розмежування доступу, і міжмережеві екрани "пропустять" зломщика в корпоративну мережу і дадуть доступ до тих ресурсів, до яких допущений користувач, чиї ім'я і пароль "відведені". А одержати пароль зараз достатньо просто. Для цього можна використовувати великий арсенал різних засобів, починаючи від програм-зломщиків, що перебирають за короткий час величезне число можливих паролів, і закінчуючи аналізаторами протоколів, які досліджують трафік, що передається по мережах, і вичленують з нього саме ті фрагменти, які характеризують паролі. Для усунення таких недоліків були розроблені нові технології і різні механізми захисту, з яких широке розповсюдження одержали аналіз захищеності і виявлення атак. Аналіз захищеності полягає в пошуку в обчислювальній системі і її компонентах різних вразливих місць, які можуть стати мішенню для реалізації атак. Саме наявність цих місць приводить до можливості несанкціонованого проникнення в комп'ютерні мережі і системи. Найвідомішим продуктом у області аналізу захищеності є сімейство SAFEsuite американської компанії Internet Security Systems, яке складається з трьох систем, що виявляють уразливості ("дірки") і помилки в програмному забезпеченні - Internet Scanner, System Scanner і Database Scanner (рис. 5.5). Виявлення атак - це нова технологія, яка набула поширення останніми роками. Її відмітна особливість полягає у виявленні будь-яких атак, зокрема випливаючих і від авторизованих користувачів, і що пропускаються міжмережевими екранами і засобами розмежування доступу. На цьому ринку також лідирує компанія ISS з системою виявлення атак RealSecure. Необхідно сказати декілька слів про криптографічні засоби, які призначені для захисту критично важливих даних від несанкціонованого прочитання і/або модифікації. Криптографія - це сукупність технічних, математичних, алгоритмічних і програмних методів перетворення даних (шифрування даних), яка робить їх даремними для будь-якого користувача, у якого немає ключа для розшифровки.
Рис. 5.5. Схема застосування скануючої системи інформаційної безпеки
Формальні математичні методи криптографії були розроблені Клодом Шенноном [Шенон К. Математична теорія криптографія, 1945]. Він довів теорему про існування і єдність абсолютно стійкого шифру - такої системи шифрування, коли текст одноразово зашифровується за допомогою випадкового відкритого ключа такої ж довжини. У 1976 році американські математики У.Діффі і М.Хелман обґрунтували методологію асиметричного шифрування із застосуванням відкритої однонаправленої функції (це така функція, коли по її значенню не можна відновити значення аргументу) і відкритої однонаправленої функції з секретом. У 1990-і роки в США були розроблені методи шифрування за допомогою особливого класу функцій - хеш-функцій (Hash Function). Хеш-функція (дайджест-функція) - це відображення, на вхід якого подається повідомлення змінної довжини М, а виходом є рядок фіксованої довжини h(M) - дайджест повідомлення. Криптостійкість такого методу шифрування полягає в неможливості підібрати документ М', який володів би необхідним значенням хеш-функції. Параметри обчислення хеш-функції h є сімейством ключів { К}N. В даний час на цих принципах будуються алгоритми формування електронного цифрового підпису (ЭЦП). Найбільш використовуваними симетричними алгоритмами шифрування в даний час є DES (Data Encryption Standard), IDEA (International Data Encryption Algorithm) RC2, RC5, CAST, Blowfish. Асиметричні алгоритми - RSA (Rivest, Shamir, Adleman), алгоритм Ель Гамаля, криптосистема ЕСС на еліптичних кривих, алгоритм відкритого розподілу ключів Діффі-Хелмана. Алгоритми, засновані на застосуванні хеш-функцій, - MD4 (Message Digest 4), MD5 (Message Digest 5), SHA (Secure Hash Algorithm). Найбільш відомим програмним продуктом, поширюваним вільно, є пакет PGP (Pretty Good Privacy). Пакет розроблений в 1995 році Філом Цимерманом (Phil Zimmerman), який використовував згадані вище алгоритми RSA, IDEA, і MD5. PGP складається з трьох частин - алгоритму IDEA, сигнатури і цифрового підпису. PGP використовує три ключі - відкритий ключ адресата, секретний ключ власника і сеансовий ключ, що генерується за допомогою RSA і відкритого ключа випадковим чином при шифруванні повідомлення (рис. 5.6). Інформацію про цей продукт можна одержати за адресою <www.mit.edu/network/pgp-form.html>.
Рис. 5.6. Схема формування захищеного повідомлення за допомогою пакету PGP
Криптографічні перетворення забезпечують рішення наступних базових задач захисту - конфіденційності (неможливості прочитати дані і витягнути корисну інформацію) і цілісності (неможливості модифікувати дані для зміни сенсу або внесення помилкової інформації). Технології криптографії дозволяють реалізувати наступні процеси інформаційного захисту: ідентифікація (ототожнення) об'єкту або суб'єкта мережі або інформаційної системи; аутентифікація (перевірка достовірності) об'єкту або суб'єкта мережі; контроль/розмежування доступу до ресурсів локальної мережі або внемережевих сервісів; забезпечення і контроль цілісності даних. Ці засоби забезпечують достатньо високий рівень захищеності інформації, проте в Росії існує специфіка їх використання, пов'язана з діями державних органів і яка не дозволяє широко застосовувати їх в комерційному секторі.
Читайте також:
|
||||||||
|