Предмет и задачи программных и программноаппаратных средств защиты информации
Скачать 0.79 Mb.
|
Аппаратно-программные Способы этой категории определяются политикой компании и регламентом ИТ-подразделений. Методы программного уровня поддерживают защищенность данных при обработке в АИС и передаче по различным каналам связи. Аппаратные методы предусматривают использование высокоточных контрольно-технических средств для дублирования функций программных способов защиты. Такие средства могут обнаруживать ошибки, недоступные для выявления программными способами. Основные группы задач, которые выполняются аппаратно-программными методами: Трехуровневое резервирование и дублирование данных, формирование удаленных баз данных. Оперативное резервирование предусматривает копирование информации в реальном времени. Восстановительное резервирование применяется для восстановления информации в случае утери из-за сбоев. Долгосрочное резервирование — сохранение значительного объема данных, в том числе копий полного объема системных файлов, с длительным хранением для восстановления и проведения аудита. Блокирование ошибочных или преднамеренных вредоносных операций. Защита информации от вредоносного ПО. Применяется сканирование, обнаружение изменений элементов файлов, аудит, антивирусное программное обеспечение. Защита от несанкционированного доступа к данным. Применяются файерволы, средства выявления атак. Шифрование данных методами криптографической защиты. Контроль доступа, аутентификация пользователей. Помимо этих методов, активно внедряется DLP- и SIEM-системы, а также другие комплексные решения. Методы контроля доступа Формирование контроля доступа пользователей — необходимая мера для защиты информации. Контроль доступа реализуется на организационном и программном уровне. Предусматривается размещение рабочих станций и периферийного оборудования в замкнутом пространстве, куда исключается доступ посторонних. Для этого в компании создается пропускная система. Для обработки информации повышенной важности могут выделяться отдельные зоны с доступом по электронному пропуску. Рабочие станции в таких зонах работают без подключения к общей сети. Определенные процессы могут обрабатываться на специально выделенных рабочих станциях, которые также зачастую не подключаются к сети. Этот метод предполагает создание отдельных кластеров для вывода на печать. Методы идентификации пользователей Еще одним ключевым системным решением для обеспечения безопасности данных в АИС является допуск только уполномоченных пользователей к работе с информацией. Для аутентификации могут использоваться разные способы, с учетом степени ценности защищаемых данных, в том числе: Логин и пароль. Пользователь аутентифицируется путем введения этих идентификационных данных, которые должны иметь определенный формат. Устанавливаются требования по периодичности смены логина и пароля, предусматриваются меры дисциплинарной ответственности за передачу этих данных третьим лицам или за вход в систему под чужими данными. Диалоговый режим. Для распознавания определенного пользователя в систему вводится набор определенных данных. После этого для входа в систему пользователь должен будет отвечать на меняющиеся вопросы. Биометрический метод. Распознавание при помощи специального оборудования по отпечаткам пальцев, сетчатке глаза. Использование автоматических радиокодовых устройств (токенов), которые передают в систему зашифрованные сигналы. Если эти сигналы совпадают с заданными значениями, пользователю предоставляется доступ. Аутентификация при помощи чипов. Информация, идентифицирующая пользователя, содержится на чипе и считывается при входе в систему. Эта информация может быть нанесена в зашифрованном виде. В этом случае ключ шифрования используется как дополнительный идентификационный параметр. Максимальное снижение рисков обеспечивают аппаратные методы контроля доступа, которые исключают подделку или перехват паролей. При этом наиболее высокая эффективность достигается с помощью биометрии. Средства разграничения доступа Применяются следующие варианты разграничения доступа пользователей к информации в соответствии с установленными полномочиями: По уровню конфиденциальности. Предусматривается установка грифов секретности для маркировки информационных массивов и пользователей. Каждый пользователь получает доступ к данным не выше собственного уровня. По специальным спискам. Каждому файлу, базе данных, программе или другому информационному объекту устанавливается перечень допущенных пользователей. Второй вариант — определение для каждого пользователя перечня разрешенных информационных объектов. По матрице полномочий. Применяется двухмерная матрица, внутри которой за каждым пользователем закреплен идентификатор. Этот идентификатор прописывается в столбце. В строке матрицы прописаны идентификаторы информационных элементов. Допуск разрешается при совпадении обоих идентификаторов. По мандатному принципу. Элементу информации, подлежащему защите, присваивается метка. Аналогичная метка должна содержаться и в запросе для предоставления доступа. Минусом этих методов является слабый уровень эффективности против инсайдеров, которые могут присвоить признаки идентификации других пользователей. Для защиты от них должна быть реализована система протоколирования. Протоколирование Система протоколирования предусматривает создание учетного журнала, в который автоматически заносятся сведения о действиях пользователей. Такие журналы функционируют на основе программ-регистраторов, работающих самостоятельно или в составе системы DLP. Протоколирование обеспечивает контроль использования информации, подлежащей защите, фиксируют безуспешные и успешные попытки доступа к ней, осуществляют запись действий. Это позволяет накапливать статистическую базу для последующего аудита. SIEM-системы SIEM-системы (Security Information and Event Management) — решения, которые внедряются крупными компаниями для обеспечения комплексной информационной защиты. Они не защищают напрямую от инцидентов, а обеспечивают оперативное информирование о сбоях и нарушениях в работе ПО и оборудования. SIEM с установленной периодичностью выполняет опрос программ, включая антивирусы и DLP, маршрутизаторов, другого оборудования. Полученные данные сопоставляются с заданными значениями. При обнаружении отклонений SIEM отправляет уведомление, на основании которого соответствующие службы принимают необходимые меры. К дополнительным функциям таких систем относится протоколирование и ведение журналов учета, что позволяет сформировать доказательную базу для расследования преступлений и нарушений в сфере информационной безопасности. Кроме того, SIEM обеспечивают аудит готовности системы к исполнению своих функций. Данные, получаемые от SIEM, дают основания для внедрения нового ПО или изменения технологических параметров АИС. DLP-системы DLP-системы призваны поддерживать максимальную защиту от несанкционированных действий пользователей, обеспечивая полную целостность и конфиденциальность защищаемых данных. Действие такой системы строится на способности отличать открытую информацию от конфиденциальной. Она осуществляет мониторинг внутреннего и внешнего трафика и фиксируется события, связанные с копированием, передачей наружу или выводом на печать конфиденциальной информации. В таких случаях применяется блокировка и с предупреждением пользователя. Система DLP может дорабатываться под индивидуальные потребности организации и обеспечивает комплексную защиту информации. Необходимым условием для внедрения таких систем является наличие сертификата ФСТЭК, подтверждающего отсутствие незадекларированных возможностей. 8. / Дистабилизирующее воздействие на объекты защиты Дестабилизирующее воздействие - негативное воздействие на компьютерную систему, реализуемое использованием реализации угрозы ИБ, в результате чего происходит нарушение конфиденциальности информации, её уничтожение, блокирование, модификация. Методы дестабилизирующего воздействия, негативное воздействие на компьютерную систему, реализуемое реализацией угрозы ИБ в рез-те чего происходит нарушение конфиденциальности информации, ее блокирование, уничтожение или модификация со стороны людей – физическое разрушение, создание аварийных ситуаций, удаление информации, размагничивание, словесная передача информации, публикация информации - непосредственной воздействие на носитель информации - несанкционированное распространение информации - вывод из строя технических средств - нарушение режима работы технических средств и технологий обработки информации - вывод из строя и нарушения режима работы систем обеспечения функционирования со стороны технических средств – техническая поломка, возгорание, и.т.д. - выход технического средства из строя - создание побочных э-м излучений и наводок со стороны систем функционирования тех средств выход систем из строя и сбой в работе системы со стороны природных явлений – землетрясения, ураган, и.т.д. со стороны людей НСД - получения доступа путем брутфорса, взлом ИС с использованием известных ошибок в ПО, DoS, внедрение программно-аппаратных закладок защита – межсетевые экраны, антивирусные средства, система обнаружения вторжения, система типа Honeypot, криптосредства, орг. мероприятия В качестве ловушки (Honeypot) можно использовать устаревший компьютер, производительность которого не позволяет применять его для решения производственных задач. На этот ПК следует установить наиболее распространенную в ЛВС операционную систему и выбрать одну из стратегий: Установить операционную систему без пакетов обновлений — она будет индикатором появления в сети активного сетевого червя, эксплуатирующего любую из известных уязвимостей для данной операционной системы; установить операционную систему с обновлениями, которые установлены на других ПК сети — Honeypot будет аналогом любой из рабочих станций. Естественно, что, создав Honeypot, администратор должен отслеживать его работу и реагировать на любые аномалии, обнаруженные на данном компьютере. В качестве средств регистрации изменений можно применять ревизоры, для регистрации сетевой активности можно использовать сниффер. Важным моментом является то, что у большинства снифферов предусмотрена возможность настройки отправки оповещения администратору в случае обнаружения заданной сетевой активности. 9. / Учёт, обработка и хранение информации в автоматизированной информационной системе (АИС) Автоматизированной информационной системой (АИС) называют комплекс программ и аппаратных средств. Благодаря АИС можно хранить и (или) управлять данными и проводить вычисления. Автоматизированные информационные системы – это машины, которые автоматически готовят, ищут и обрабатывают различные сведения в рамках интегрированных сетевых, компьютерных и коммуникационных технологий с целью упростить и оптимизировать работу предприятий в разных отраслях. Автоматизированные информационные системы создаются для 2 видов задач. --- Структурированной (формализуемой) называют задачу, в которой известны все ее составляющие и то, как они между собой связаны. --- Неструктурированной (неформализуемой) именуют задачу, в которой нельзя выделить составляющие и определить, как они связаны друг с другом. Самостоятельно функционировать автоматизированные информационные системы не могут. Как правило, автоматизированные информационные системы выполняют множество действий. Все их функции можно распределить по 3 категориям. 1. Автоматизированные информационные системы собирают и оценивают данные технического процесса, то есть проводят мониторинг. В первую очередь автоматизированные информационные системы мониторят процесс, то есть собирают сведения о нем. Это основная задача, которую выполняют все автоматизированные информационные системы управления. Мониторинг – фундаментальное свойство всех программ, основное назначение которых заключается в обработке информации. В рамках этого отслеживания АИС собирают значения переменных технологического процесса, хранят и отображают их в удобной для человека-оператора форме. При мониторинге система может только выводить первичные или обработанные данные на экран компьютера или бумагу. Следует отметить, что все автоматизированные информационные системы при мониторинге проверяют, что измеренные или рассчитанные показатели находятся в допустимых пределах. Если же автоматизированная система умеет лишь собирать и отображать информацию, все решения о действиях, связанных с дальнейшим процессом, принимает оператор. Такой тип управления – супервизорное или дистанционное (supervisory control) – был очень популярен в первых компьютерных системах, руководивших различными операциями. Его до сих пор используют, особенно по отношению к сложным и достаточно медленным действиям, где должен участвовать человек. В еще более современных решениях, особенно в тех, основой для которых стали экспертные системы или базы знаний, комбинированные оперативные данные с датчиков объединяют с оценками операторов. 2. Автоматизированные информационные системы управляют некоторыми параметрами технического процесса. Управление – противоположное мониторингу действие. Если рассматривать термин в прямом смысле, то он означает поступление команд ЭВМ к исполнительным механизмам, чтобы повлиять на физический процесс. В ряде случаев воздействие на параметры процесса осуществляется лишь косвенно, посредством других рычагов управления. 3. Автоматизированные информационные системы связывают входные и выходные данные, то есть осуществляют обратную связь, управление в автоматическом режиме. Первый – традиционное прямое цифровое управление (ПЦУ, Direct Digital Control – DDC), при котором центральной ЭВМ ведется расчет управляющих сигналов для исполнительных устройств. Весь объем данных наблюдения датчики передают центру управления, а сигналы управления – обратно к исполнительным устройствам. Если мы рассматриваем системы распределенного прямого цифрового управления (Distributed Direct Digital Control – DDDC), здесь у вычислительного комплекса есть распределенная архитектура, а основой для реализации цифровых регуляторов являются локальные процессоры, то есть они находятся рядом с техническим процессом. ЭВМ верхних уровней управления ведет расчет опорных значений, а локальные процессоры отвечают в первую очередь за непосредственное управление технологическими операциями, то есть вырабатывают управляющие сигналы для исполнительных механизмов, основой для которых становятся данные локального мониторинга. Эти локальные электронно-вычислительные машины состоят в том числе из цифровых контуров управления. Более простой и традиционной формой автоматического управления считается управление опорными значениями (setpoint control). ЭВМ вычисляет их, после чего передает простым аналоговым регуляторам. В данном случае с помощью информационных систем проводят только вычисления – управляющие воздействия не измеряют и не генерируют. Термин SCADA (от Supervisory Control And Data Acquisition – дистанционное управление и сбор данных) используется, как правило, в отношении систем дистанционного мониторинга и управления. В соответствии с идеей SCADA используются совершенные средства отображения, накопления информации и дистанционного управления, которое чаще всего трактуют как диспетчерское, то есть управление вручную, однако в данном случае не применяются процедуры регулирования или управления. Автоматизированные информационные системы должны быть окупаемыми. Иными словами, компания, применяющая их, должна затрачивать меньше средств и получить надежный, эффективный и производительный комплекс и оперативно решать поставленные задачи. Отметим, согласно общепринятому мнению система не должна окупаться больше двух лет. Еще одна отличительная черта качественных АИС – надежность. Чтобы системы были таковыми, применяют современные программные и технические средства и новейшие технологии. Все продукты должны сопровождаться сертификатами и (или) лицензиями. АИС должны быть гибкими, то есть легко адаптироваться к меняющимся требованиям и новым функциональным возможностям. В этих целях, как правило, создают модульные комплексы. АИС должны быть безопасными, то есть обеспечивать сохранность данных с применением шифров и специального оборудования. Для взаимодействия с АИС разрабатываются свои регламенты. И еще одна характеристика – дружественность. Это значит, что система должна быть проста, удобна для освоения и применения (меню, подсказки, механизм исправления ошибок и проч.). 10. / Криптографические методы защиты информации Криптографические методы защиты информации - это специальные методы шифрования, кодирования или иного преобразования информации, в результате которого ее содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования. Криптографический метод защиты, безусловно, самый надежный метод защиты, так как охраняется непосредственно сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи носителя). Основным достоинством криптографических методов защиты информации является то, что они обеспечивают высокую гарантированную стойкость защиты, которую можно рассчитать и выразить в числовой форме (средним числом операций или временем, необходимым для раскрытия зашифрованной информации или вычисления ключей). К числу основных недостатков криптографических методов можно отнести следующие: большие затраты ресурсов (времени, производительности процессоров) на выполнение криптографических преобразований информации высокие требования к сохранности секретных ключей и защиты открытых ключей от подмены необходимость защиты открытой информации и ключей от НСД. |