вкр. Ромахов М.А 476 ВКР Разработка комплекса..ой безопасности на пре. Разработка комплекса мероприятий по обеспечению информационной безопасности на предприятии
Скачать 2.8 Mb.
|
1.2Технические мерыПрограммно-технические меры, то есть меры, направленные на контроль компьютерных сущностей - оборудования, программ и/или данных, образуют последний и самый важный рубеж информационной безопасности. Далее будут рассмотрены, с пояснениями, следующие меры: Идентификация и аутентификация; Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация – это первая линия обороны информационного пространства организации. Идентификация позволяет пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту назвать себя. Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. «Существует несколько видов аутентификации: Парольная аутентификация Главное достоинство парольной аутентификации – простота и привычность. Пароли давно встроены в операционные системы и иные сервисы. При правильном использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности. Тем не менее, по совокупности характеристик их следует признать самым слабым средством проверки подлинности. Одноразовые пароли Рассмотренные выше пароли можно назвать многоразовыми; их раскрытие позволяет злоумышленнику действовать от имени легального пользователя. Гораздо более сильным средством, являются одноразовые пароли. Идентификация/аутентификация с помощью биометрических данных Биометрия представляет собой совокупность автоматизированных методов идентификации и/или аутентификации людей на основе их физиологических и поведенческих характеристик. К числу физиологических характеристик принадлежат особенности отпечатков пальцев, сетчатки и роговицы глаз, геометрия руки и лица. К поведенческим характеристикам относятся динамика подписи, стиль работы с клавиатурой. На стыке физиологии и поведения находятся анализ особенностей голоса и распознавание речи. Главная опасность состоит в том, что любая "пробоина" для биометрии оказывается фатальной. Пароли, при всей их ненадежности, в крайнем случае, можно сменить. Утерянную аутентификационную карту можно аннулировать и завести новую. Палец же, глаз или голос сменить нельзя. Если биометрические данные окажутся скомпрометированы, придется, как минимум производить существенную модернизацию всей системы».6 Управление доступом; «С традиционной точки зрения средства управления доступом позволяют специфицировать и контролировать действия, которые пользователи и процессы могут выполнять над информацией и другими компьютерными ресурсам. В данном разделе речь идет о логическом управлении доступом, которое, в отличие от физического, реализуется программными средствами. Логическое управление доступом – это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность.»7 Протоколирование и аудит; Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе. У каждого сервиса свой набор возможных событий, но в любом случае их можно разделить на внешние, внутренние и клиентские. Аудит – это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически. Оперативный аудит с автоматическим реагированием на выявленные нештатные ситуации называется активным. Реализация протоколирования и аудита решает следующие задачи: обеспечение подотчетности пользователей и администраторов; обеспечение возможности реконструкции последовательности событий; обнаружение попыток нарушений информационной безопасности; предоставление информации для выявления и анализа проблем. Протоколирование требует для своей реализации здравого смысла. Какие события регистрировать? С какой степенью детализации? На подобные вопросы невозможно дать универсальные ответы. Необходимо следить за тем, чтобы, с одной стороны, достигались перечисленные выше цели, а, с другой стороны, расход ресурсов оставался в пределах допустимой нормы. Слишком обширное или подробное протоколирование не только снижает производительность, но и затрудняет аудит, то есть не увеличивает, а уменьшает информационную безопасность. Характерная особенность протоколирования и аудита – зависимость от других средств безопасности. Идентификация и аутентификация служат отправной точкой подотчетности пользователей, логическое управление доступом защищает конфиденциальность и целостность регистрационной информации. Шифрование; Шифрование – наиболее мощное средство обеспечения конфиденциальности. Во многих отношениях оно занимает центральное место среди программно-технических регуляторов безопасности, являясь основой реализации многих из них, и в то же время последним защитным рубежом. Например, для портативных компьютеров только шифрование позволяет обеспечить конфиденциальность данных даже в случае кражи. «Различают два основных метода шифрования: симметричный и асимметричный»8. В первом из них один и тот же ключ используется и для зашифровывания, и для расшифровывания данных. Разработаны весьма эффективные методы симметричного шифрования. Существует и национальный стандарт на подобные методы – ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования". Основным недостатком симметричного шифрования является тот факт, что секретный ключ должен быть известен и отправителю, и получателю. С одной стороны, это создает новую проблему распространения ключей. С другой стороны, получатель на основании наличия зашифрованного и расшифрованного сообщения не может доказать, что он получил это сообщение от конкретного отправителя, поскольку такое же сообщение он мог сгенерировать самостоятельно. В асимметричных методах используются два ключа. Один из них, несекретный, может публиковаться вместе с другими открытыми сведениями о пользователе, применяется для шифрования, другой, секретный, известный только получателю, – для расшифровывания. Самым популярным из асимметричных является метод RSA, основанный на операциях с большими простыми числами и их произведениями. Существенным недостатком асимметричных методов шифрования является их низкое быстродействие, поэтому данные методы приходится сочетать с симметричными. Контроль целостности; «Криптографические методы позволяют надежно контролировать целостность как отдельных порций данных, так и их наборов; определять подлинность источника данных; гарантировать невозможность отказаться от совершенных действий.»9 В основе криптографического контроля целостности лежат два понятия: хэш-функция; Хэш-функция – это труднообратимое преобразование данных, реализуемое, как правило, средствами симметричного шифрования со связыванием блоков. Результат шифрования последнего блока и служит результатом хэш-функции. электронная цифровая подпись (ЭЦП). «Электронная цифровая подпись — информация в электронной форме, присоединенная к другой информации в электронной или иным образом связанная с такой информацией. Используется для определения лица, подписавшего информацию».10 Федеральный закон РФ от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» устанавливает следующие виды ЭП: « Видами электронных подписей, отношения в области использования которых регулируются настоящим Федеральным законом, являются простая электронная подпись и усиленная электронная подпись. Различаются усиленная неквалифицированная электронная подпись (далее - неквалифицированная электронная подпись) и усиленная квалифицированная электронная подпись (далее - квалифицированная электронная подпись). 2. Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом. 3. Неквалифицированной электронной подписью является электронная подпись, которая: 1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи; 2) позволяет определить лицо, подписавшее электронный документ; 3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания; 4) создается с использованием средств электронной подписи. 4. Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам: 1) ключ проверки электронной подписи указан в квалифицированном сертификате; 2) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом. 5. При использовании неквалифицированной электронной подписи сертификат ключа проверки электронной подписи может не создаваться, если соответствие электронной подписи признакам неквалифицированной электронной подписи, установленным настоящим Федеральным законом, может быть обеспечено без использования сертификата ключа проверки электронной подписи».11 Экранирование; С использованием экранирования уменьшается уязвимость внутренних мер безопасности, поскольку первоначально злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно. Кроме того, экранирующая система, в отличие от универсальной, может быть устроена более простым и, следовательно, более безопасным образом. Экранирование дает возможность контролировать также информационные потоки, направленные во внешнюю область, что способствует поддержанию режима конфиденциальности в ИС организации. Анализ защищенности; Анализ защищенности предназначен для выявления уязвимых мест с целью их оперативной ликвидации. Сам по себе этот сервис ни от чего не защищает, но помогает обнаружить пробелы в защите раньше, чем их сможет использовать злоумышленник. В первую очередь, имеются в виду не архитектурные, а бреши, появившиеся в результате ошибок администрирования или из-за невнимания к обновлению версий программного обеспечения. Системы анализа защищенности, как и рассмотренные выше средства активного аудита, основаны на накоплении и использовании знаний. В данном случае имеются в виду знания о пробелах в защите: о том, как их искать, насколько они серьезны и как их устранять. Соответственно, ядром таких систем является база уязвимых мест, которая определяет доступный диапазон возможностей и требует практически постоянной актуализации. Туннелирование; Туннелирование следует рассматривать как самостоятельную меру безопасности. Его суть состоит в том, чтобы "упаковать" передаваемую порцию данных, вместе со служебными полями, в новый "конверт". Туннелирование может применяться для нескольких целей: передачи через сеть пакетов, принадлежащих протоколу, который в данной сети не поддерживается; обеспечения слабой формы конфиденциальности за счет сокрытия истинных адресов и другой служебной информации; обеспечения конфиденциальности и целостности передаваемых данных при использовании вместе с криптографическими сервисами. |