Технологии обеспечения информационной безопасности
Классификация каналов проникновения в систему и утечки информации. Требования к технологиям информационной безопасности. Аутентификация, основанная на использовании цифровой подписи. Технологии защиты от вирусов. Симметричные криптосистемы шифрования.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | диссертация |
| Язык | русский |
| Дата добавления | 17.05.2015 |
| Размер файла | 3,9 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
регистрацию пользователей защищенной сети и внешних пользователей (держателей ЭЦП);
формирование секретного ключа подписи пользователя и его запись на аппаратный носитель ключевой информации;
формирование и отправку в УЦ запроса на сертификацию подписи от своего имени (Уполномоченного лица Центра регистрации), прием и ввод в действие;
ведение справочника запросов и изданных сертификатов;
формирование запросов на отзыв, приостановление и возобновление сертификатов зарегистрированных пользователей;
ведение журналов работы и хранение списков изданных сертификатов;
ведение журнала событий и действий уполномоченного лица Центра регистрации;
импорт учетных записей пользователей из LDAP-каталога.
Сервер публикации сертификатов открытых ключей должен обеспечивать:
публикацию списков отозванных сертификатов;
публикацию списков изданных сертификатов пользователей и Уполномоченных лиц;
обеспечение публикации (экспорта) и импорта сертификатов пользователей через стандартные транспортные протоколы (LDAP, FTP);
формирование отчетов о публикации сертификатов Уполномоченных лиц для УЦ с целью включения этой информации в сертификаты пользователей.
Цифровые сертификаты, выпускаемые УЦ, могут быть использованы для:
реализации функций шифрования, формирования ЭЦП;
обеспечения однократной аутентификации при доступе к домену Windows;
аутентификации компонент VPN-инфраструктуры.
3.2.3 Требования к Подсистеме криптографической защиты информации
Подсистема криптографической защиты должна предусматривать распределенные программно-технические средства криптографической защиты информации, обеспечивающие:
возможности шифрования/расшифрования блоков оперативной памяти, файлов, электронных документов, сетевых пакетов или сетевого трафика;
установку и проверку электронных цифровых подписей под электронными документами и файлами;
проверку целостности программного и информационного обеспечения на основе использования криптографических методов;
передачу информации по защищенным протоколам типа TLS и IPSec;
создание криптографических туннелей между удаленными объектами и пользователями для защиты информации при передаче по каналам связи;
идентификацию и аутентификацию пользователей и ресурсов ИС Э-Управления на основе использования криптографических способов.
Ключевая система шифрования и подписи должна строиться по принципу открытого распределения ключей. Генерация и управление ключевой информацией должны обеспечиваться инфраструктурой открытых ключей.
Алгоритм шифрования должен быть выполнен в соответствии с требованиями 3DES, AES. Цифровая подпись должна быть выполнена на алгоритме RSA.
3.2.4 Требования к Подсистеме защиты компонентов сетевой инфраструктуры
Подсистема защиты компонентов сетевой инфраструктуры должна обеспечивать:
сегментирование и защиту сегментов ЛВС Э-Управления от НСД для организации обработки конфиденциальной информации (персональных данных);
выделение демилитаризованной зоны для размещения серверов, которые должны быть доступны из открытых и внешних телекоммуникационных сетей;
выявление и предотвращение атак на ресурсы Э-Управления со стороны открытых и внешних телекоммуникационных сетей;
идентификацию и аутентификацию устройств и служб в сети;
разграничение доступа пользователей к узлам сети и сервисам;
централизованное администрирование средств защиты от НСД;
регистрацию системных событий и попыток НСД к защищаемым ресурсам штатными и наложенными средствами.
Подсистема защиты компонентов сетевой инфраструктуры может включать:
средства межсетевого экранирования и организации виртуальных частных сетей (VPN);
средства обнаружения и предотвращения вторжений (IDS/IPS);
штатные средства разграничения доступа активного коммуникационного оборудования сети.
Средства межсетевого экранирования и организации виртуальных частных сетей должны обеспечивать выполнение следующих функций:
поддержку межсетевого взаимодействия с удаленными организациями;
защиту транзитного трафика между удаленными пользователями и узлами сети;
пакетную фильтрацию трафика.
Средства обнаружения и предотвращения вторжений должны обеспечивать выполнение следующих функций:
мониторинг объектов защиты на сетевом, транспортном и прикладном уровнях;
мониторинг используемых сетевых сервисов;
выявление и блокирование атак;
выдача рекомендаций по изменению конфигурации компонентов защиты при обнаружении неблокируемых атак;
фиксация описаний выявленных атак;
информирование администратора безопасности при регистрации в журнале аудита событий, нарушающих политику безопасности компонентов ИС Э-Управления .
Аутентификация и авторизация служб и программных компонент обеспечивается за счет реализации стандартов безопасности передачи данных с использованием цифровых сертификатов.
Разграничение доступа к сервисам обеспечивается расположением компонентов и служб сервиса в отдельном сегменте сети с использованием штатных средств активного коммуникационного оборудования сети и применения технологий VLAN.
Для реализации защищённого входа в сеть может применяться ПО защищённого доступа, обеспечивающее аутентификацию пользователей на компьютере и в сети Windows с помощью носителей ключевой информации и использование цифровых сертификатов Х.509 для входа в домен.
3.2.5 Требования к Подсистеме анализа защищенности
Подсистема анализа защищенности должна обеспечивать выполнение следующих функций:
анализ настроек и выявление уязвимостей объектов сетевой инфраструктуры ЭП СО;
контроль изменений в конфигурациях элементов ИС;
контроль целостности программных средств и среды исполнения;
регистрацию в журнале аудита событий, нарушающих политику безопасности компонентов ИС ЭП.
Анализ защищенности должен обеспечиваться специализированными средствами анализа уязвимостей.
Контроль целостности программных средств и среды исполнения должен обеспечиваться средствами автопроверки программных компонентов, проверками контрольных сумм фалов и средствами обеспечения целостности программной среды серверных операционных систем.
3.2.6 Требования к Подсистеме регистрации и мониторинга
Подсистема регистрации и мониторинга должна использоваться для регистрации действий пользователей по доступу к защищаемым ресурсам, и мониторинга состояния элементов технической инфраструктуры, на которых обрабатывается защищаемая информация.
Подсистема регистрации и мониторинга должна обеспечивать выполнение следующих функций:
регистрацию запуска приложений, используемых для обработки защищаемой информации, попыток доступа к защищаемым файлам;
настройку списка контролируемых событий и уровень детализации записей журнала аудита;
централизованный сбор событий безопасности и автоматизированный разбор данных аудита.
Подсистема регистрации и мониторинга должна интегрировать:
штатные средства операционных систем и систем управления базами данных (регистрация событий доступа, загрузки или останова систем);
штатные средства используемых прикладных систем (регистрация событий попыток доступа пользователей и программных компонентов к защищаемым ресурсам);
штатные средства межсетевых экранов, маршрутизаторов и другого коммуникационного оборудования (регистрация событий доступа к ресурсам сети).
Подсистема регистрации и мониторинга должна иметь возможность использовать специализированное ПО активного мониторинга событий ИБ.
3.2.7 Требования к подсистеме антивирусной защиты
Подсистема антивирусной защиты должна обеспечивать надежный контроль над всеми потенциальными источниками проникновения вредоносных программ в ИС Э-Управления, максимально автоматизировать антивирусную защиту компьютеров и локальной сети, а также обеспечить централизованное управление всеми антивирусными продуктами.
Эта подсистема должна соответствовать следующим требованиям. Она должна выполнять:
антивирусную защиту рабочих станций;
антивирусную защиту файловых серверов;
антивирусную защиту электронной почты;
антивирусную защиту шлюзов Интернет;
антивирусную защиту Web серверов.
При этом желательно организовать двухуровневую антивирусную защиту с применением антивирусного ПО различных производителей.
Подсистема антивирусной защиты должна обеспечивать:
централизованное управление сканированием, удалением вирусов и протоколированием вирусной активности;
централизованную автоматическую инсталляцию клиентского ПО на АРМ пользователей;
централизованное автоматическое обновление вирусных сигнатур на АРМ пользователей;
возможность обнаружения и удаления вирусов в режиме реального времени при работе с информационными ресурсами серверов;
возможность выявления вирусной активности в режиме реального времени при осуществлении связи с сетями общего пользования по протоколам SMTP, HTTP и FTP;
ведение журналов вирусной активности в ИС Э-Управления;
автоматическое уведомление администратора по электронной почте о вирусной активности;
администрирование всех антивирусных продуктов, установленных в сети.
Выводы по третьей главе
В главе 3 была проведена работа по предотвращению незаконных действий моделей нарушителя к системе Э-Управления, в ходе которой выработаны характерные методы воздействия нарушителя на систему, а так же предложены основные способы и технологии защиты.
Наибольшую опасность для системы Э-Управления несет пользователь внутренней сети, так как по статистке утечки информации согласно глобальных исследований утечек конфиденциальной информации за 2013 год от аналитического центра “InfoWatch” эта цифра приближается к 50% из которых 44% это умышленные действия и 45% случайные, т.е. ошибки пользователей сети.
Из предложенных пяти типов возможных нарушителей были предложены средства и технологии по предотвращению или осложнению доступа к конфиденциальной информации Э-Управления. Далее произведена научная работа по созданию и формированию подсистем и решений безопасности системы Э-Управления:
Подсистема Управление доступом
Инфраструктура открытых ключей
Подсистема криптографической защиты информации
Подсистема защиты компонентов сетевой инфраструктуры
Подсистема анализа защищенности
Подсистема регистрации и мониторинга
подсистема резервного копирования и архивирования
подсистема антивирусной защиты
инженерно-технические системами безопасности
Ко всем предложенным подсистемам даны рекомендательные характеристики с учетом соблюдения необходимого уровня безопасности АС, так же возможность интегрирования с другими ведомствами КР.
ЗАКЛЮЧЕНИЕ
В диссертационной работе решалась задача защиты информации по средствам современных технологий защиты информации. В ходе решения поставленных задач были получены следующие выводы и результаты:
1. Практически все рассмотренные технологии защиты имеют соответствующие уровни надежности и соответствия современным требованиям. В ходе исследования технологий были установлены как положительные, так и отрицательные стороны. В большинстве случаев установленные недостатки и уязвимости в технологиях безопасности АС носят не критичный аспект. Технологии, разработанные в 70-90 годах по настоящее время, используются и справляются с этими задачами на высоком уровне производя только незначительную доработку выявляемых уязвимостей на фоне современных угроз безопасности.
2. Результатом работы являются полученные требования к современным технологиям по обеспечению соответствующего уровня безопасности и защиты информационных ресурсов в системе «Э-Управления» Кыргызской Республике. Произведено разделение системы безопасности на подсистемы с учетом угроз и технологий противостояния им. Особое внимание уделено вопросам достойной защиты информации. Это тем более актуально, если учесть, что в современной отечественной действительности началось проявляться стремление к максимальной информационной открытости государства.
В ходе проведенной работы были установлены проблемы в сфере обеспечения ИБ. При решении проблем, связанных с вопросами проектирования, построения, модернизации систем защиты государственных или муниципальных информационных сетей, отвечающие за данный вопрос лица обращаются к интернет-ресурсам, либо к своим знакомым, которые считают себя специалистами в области защиты информации, хотя зачастую не имеют ни профильного образования, ни практических навыков. В результате получается, что вновь созданные и запускаемые информационные ресурсы, в частности системы электронного документооборота, требуют доработки с точки зрения наличия уязвимостей -- таких как несанкционированное ознакомление с информацией на различных участках технологического процесса, невозможность определения и идентификации при прохождении определенного промежутка времени, обезличенность -- то есть когда, кем и на каком основании внесены изменения в электронный документ. Исходя из вышесказанного, считаю, что при формировании, реализации и внедрении IT-проектов как система «Э-Управления» КР целесообразно обратить внимание на следующие моменты:
1. При разработке и запуске проектов, связанных с информатизацией общества ИТ-технологиями уделять больше внимания процессам, связанным с информационной безопасностью, необходимость создания предпроектной подготовки и проведения экспертизы.
2. Осуществлять системное и плановое обучение технического персонала, задействованного в реализации и обслуживании информационных проектов по линии информационной безопасности для привития им грамотности в данной сфере.
3. Обращать большее внимание на такие принципы реализации системы защиты информации, как адаптивность и гибкость, в обязательном порядке закладывая их при проектировании информационных проектов, реализуемых на территории КР, наряду с построением модели угроз.
4. Скорректировать политику безопасности при развертывании и эксплуатации вновь создаваемых и существующих информационных систем в соответствии с изменяющимися нормативно-правовыми актами в данной области и требовать ее выполнение от всех лиц, имеющих допуск к государственным и муниципальным информационным ресурсам, по возможности исключив формальный подход.
Практическая значимость разработанных требований системам защиты информации определяются тем, что они позволяют усовершенствовать процесс оценки соответствия СЗИ АС требованиям действующих нормативных документов. Полученные данные позволяют повысить защищённость автоматизированных систем, сократить число привлекаемых специалистов, а также, для поддержки принятия решений по выбору защитных мер и технологий.
Исходя из этого, можно сделать заключение, что в диссертации получено решение научной задачи, состоящей в анализе и исследовании технологий защиты информационных систем с последующей выработкой требований защиты к применяемым технологиям на базе действующих нормативных документов, учитывающих особенности обработки трудно формализуемых данных предметной области.
ПРИЛОЖЕНИЕ 1
Зрелости технологии защиты антивирусных ПО по компаниям за 2014 год
ПРИЛОЖЕНИЕ 2
Зрелости технологий для МЭ, IPS/IDS по компаниям за 2014 год
Список использованных источников
1. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.
2. Зегжда Д. П., Ивашко А. М. Основы безопасности информационных систем. -М.: Горячая линия - Телеком, 2000.
3. Теоретические основы компьютерной безопасности: Уч. пособие для вузов Авт.: П. Н. Девянин, О. О. Михальский, Д. И. Правиков и др. - М.: Радио и связь, 2000
4. Лукацкий А. Обнаружение атак - СПб.: БХВ-Петербург, 2003.
5. Панасенко С. П., Батура В. П. Основы криптографии для экономистов: Уч. пособие / Под ред. Л. Г. Гагариной. - М.: Финансы и статистика, 2005.
6. Зима В. М., Молдовян А. А., Молдовян Н. А. Компьютерные сети и защита передаваемой информации. - СПб: Издательство СПбГУ, 1998.
7. Шеннон К. Э. Теория связи в секретных системах / В кн.: Шеннон К. Э. Работы по теории информации и кибернетике. - М.: ИЛ, 1963. - С. 333-402.
8. Daemen J., Rijmen V. AES Proposal: Rijndael. Document version 2. - Sept. 1999 //
9. Соколов А. В., Шаньгин В. Ф. Защита информации в распределенных корпоративных сетях и системах. - М.: ДМК Пресс, 2002.
10. Теоретические основы компьютерной безопасности: Уч. пособие для вузов / Авт.: П. Н. Девянин, О. О. Михальский, Д. И. Правиков и др. - М.: Радио и связь, 2000.
11. Галицкий А. В., Рябко С. Д., Шаньгин В. Ф. Защита информации в сети - анализ технологий и синтез решений. - М.: ДМК Пресс, 2004.
12. Чмора А. Л. Современная прикладная криптография. - М.: Гелиос АРВ, 2001.
Размещено на Allbest.ur
Подобные документы
Классификация каналов утечки информации, виды угроз. Основные принципы и средства обеспечения информационной безопасности. Методы предотвращения утечки, утраты, хищения, искажения, подделки информации и других несанкционированных негативных воздействий.
реферат [515,2 K], добавлен 03.04.2017Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.
курсовая работа [269,0 K], добавлен 24.04.2015Рассмотрение основных понятий криптографии: конфиденциальности, целостности, аутентификации и цифровой подписи. Описание криптографических средств защиты (криптосистемы, принципы работы криптосистемы, распространение ключей, алгоритмы шифрования).
дипломная работа [802,2 K], добавлен 08.06.2013Структурная и пространственная модели банка. Условные цены единицы информации. Моделирование угроз безопасности. Система рангов наиболее опасных технических каналов утечки информации. Требования к организации информационной безопасности на предприятии.
контрольная работа [48,6 K], добавлен 24.04.2014Организационная и функциональная структура объекта автоматизации. Методы и средства защиты информации. Инвентаризация объектов, потенциально требующих защиты. Классификация объектов информационной системы. Анализ возможных каналов утечки информации.
контрольная работа [312,5 K], добавлен 30.09.2012Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
курсовая работа [28,2 K], добавлен 17.05.2016Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа [4,5 M], добавлен 19.12.2012Основные принципы и условия обеспечения информационной безопасности. Защита информации от несанкционированного и преднамеренного воздействия, от утечки, разглашения и иностранной разведки. Цели, задачи и принципы системы ИБ. Понятие политики безопасности.
презентация [118,4 K], добавлен 19.01.2014Значение применения криптоалгоритмов в современном программном обеспечении. Классификация методов и средств защиты информации, формальные, неформальные средства защиты. Традиционные симметричные криптосистемы. Принципы криптографической защиты информации.
методичка [359,6 K], добавлен 30.08.2009Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011
