· поддержку различных методов аутентификации, в том числе с использованием сертификатов открытых ключей;

· возможность использования различных ключевых носителей;

· разграничение доступа пользователей к ресурсам рабочих станций, серверов баз данных и прикладных информационных систем;

· эффективное управление правами доступа и идентификацией пользователей информационных систем.

Подсистема управления доступом должна иметь возможность интегрировать:

· сервер аутентификации;

· LDAP-каталог пользователей системы;

· средства управления ключевыми носителями;

· штатные средства управления учетными записями и правами пользователей сетевых операционных систем;

· штатные средства управления учетными записями и правами пользователей систем управления базами данных;

· штатные средства управления учетными записями и правами пользователей используемых прикладных систем;

· дополнительные средства контроля устройств ввода/вывода.

Сервер аутентификации должен обеспечивать:

· возможность аутентификации пользователей на основе сертификатов открытых ключей;

· использование в качестве реестра пользователей единого каталога пользователей системы.

Каталог пользователей системы должен обеспечивать:

· масштабируемое хранилище информации о пользователях, основанное на стандартах LDAP;

· управление всем жизненным циклом информации о пользователях (заведение, изменение и удаление) из единой точки;

· средства автоматической синхронизации информации о пользователях между реестрами различных приложений и операционных систем;

· средства делегирования полномочий по администрированию пользователей;

· средства интеграции с другими системами безопасности.

Средства управления ключевыми носителями должны позволять с минимальными затратами времени и средств выполнять основные задания по комплексному управлению носителями ключевой информации, в том числе:

· создавать, импортировать, экспортировать, редактировать учетные записи пользователей;

· назначать пользователям ключевые носители;

· записывать в памяти этих устройств сертификаты открытого ключа и закрытые ключи;

· обновлять, отзывать сертификаты;

· разблокировать устройства;

· управлять полномочиями пользователей.

Носители ключевой информации должны использоваться как единое хранилище сертификатов пользователей для доступа к АРМ и информационным ресурсам, для защиты электронных документов (ЭЦП, шифрование), для установления защищенных соединений (VPN, SSL).

Штатные средства управления учетными записями и правами пользователей операционных систем, СУБД и прикладных систем должны использоваться для разграничения доступа пользователей к ресурсам рабочих станций, серверов и информационных систем.

3.2.2 Требования к инфраструктуре открытых ключей

Инфраструктура открытых ключей должна обеспечивать централизованное управление криптографическими ключами и цифровыми сертификатами, и может включать Удостоверяющий Центр, центр(ы) регистрации, АРМы генерации закрытых и открытых криптографических ключей, сервер публикации сертификатов открытых ключей, на котором могут находиться сертификаты открытых ключей и списки отозванных сертификатов, серверное и клиентское программное обеспечение, поддерживающее работу с сертификатами открытых ключей.

Инфраструктура открытых ключей должна обеспечивать:

· работу ключевой системы;

· генерацию пар закрытого и открытого криптографических ключей для каждого участника информационного обмена;

· формирование электронных сертификатов открытых ключей пользователей в формате Х.509v3 и ключей подписи на основе алгоритма RSA;

· регистрацию пользователей системы, заверение и публикацию цифровых сертификатов с открытыми ключами участников информационного обмена;

· формирование и доставку зарегистрированным пользователям списка отозванных сертификатов открытых ключей пользователей;

· отзыв и выпуск списков отозванных сертификатов;

· криптографическую аутентификацию пользователей и ресурсов по цифровым сертификатам;

· регламент и программно-технические средства разрешения конфликтных ситуаций.

Сервер Удостоверяющего центра (УЦ) должен обеспечивать:

· создание ключей подписи и издание сертификатов уполномоченных лиц УЦ;

· импорт сертификатов Уполномоченных лиц УЦ смежных сетей и головного УЦ;

· создание ключей подписи пользователей и издание соответствующих сертификатов, рассмотрение запросов на издание сертификатов от пользователей сети;

· взаимодействие с Центрами регистрации;

· выполнение операций по отзыву, приостановлению и возобновлению сертификатов, рассылка соответствующих списков отзыва;

· ведение журналов работы и хранение списков изданных сертификатов;

· запись сертификатов и секретных ключей пользователей на аппаратные носители ключей;

· возможность кросс-сертификации с УЦ других производителей, используемых в других ведомствах Кыргызской Республики.

Центр регистрации должен обеспечивать:

· регистрацию пользователей защищенной сети и внешних пользователей (держателей ЭЦП);

· формирование секретного ключа подписи пользователя и его запись на аппаратный носитель ключевой информации;

· формирование и отправку в УЦ запроса на сертификацию подписи от своего имени (Уполномоченного лица Центра регистрации), прием и ввод в действие;

· ведение справочника запросов и изданных сертификатов;

· формирование запросов на отзыв, приостановление и возобновление сертификатов зарегистрированных пользователей;

· ведение журналов работы и хранение списков изданных сертификатов;

· ведение журнала событий и действий уполномоченного лица Центра регистрации;

· импорт учетных записей пользователей из LDAP-каталога.

Сервер публикации сертификатов открытых ключей должен обеспечивать:

· публикацию списков отозванных сертификатов;

· публикацию списков изданных сертификатов пользователей и Уполномоченных лиц;

· обеспечение публикации (экспорта) и импорта сертификатов пользователей через стандартные транспортные протоколы (LDAP, FTP);

· формирование отчетов о публикации сертификатов Уполномоченных лиц для УЦ с целью включения этой информации в сертификаты пользователей.

Цифровые сертификаты, выпускаемые УЦ, могут быть использованы для:

· реализации функций шифрования, формирования ЭЦП;

· обеспечения однократной аутентификации при доступе к домену Windows;

· аутентификации компонент VPN-инфраструктуры.

3.2.3 Требования к Подсистеме криптографической защиты информации

Подсистема криптографической защиты должна предусматривать распределенные программно-технические средства криптографической защиты информации, обеспечивающие:

· возможности шифрования/расшифрования блоков оперативной памяти, файлов, электронных документов, сетевых пакетов или сетевого трафика;

· установку и проверку электронных цифровых подписей под электронными документами и файлами;

· проверку целостности программного и информационного обеспечения на основе использования криптографических методов;

· передачу информации по защищенным протоколам типа TLS и IPSec;

· ?создание криптографических туннелей между удаленными объектами и пользователями для защиты информации при передаче по каналам связи;

· идентификацию и аутентификацию пользователей и ресурсов ИС Э-Управления на основе использования криптографических способов.

· Ключевая система шифрования и подписи должна строиться по принципу открытого распределения ключей. Генерация и управление ключевой информацией должны обеспечиваться инфраструктурой открытых ключей.

Алгоритм шифрования должен быть выполнен в соответствии с требованиями 3DES, AES.

Цифровая подпись должна быть выполнена на алгоритме RSA.

3.2.4 Требования к Подсистеме защиты компонентов сетевой инфраструктуры

Подсистема защиты компонентов сетевой инфраструктуры должна обеспечивать:

· сегментирование и защиту сегментов ЛВС Э-Управления от НСД для организации обработки конфиденциальной информации (персональных данных);

· выделение демилитаризованной зоны для размещения серверов, которые должны быть доступны из открытых и внешних телекоммуникационных сетей;

· выявление и предотвращение атак на ресурсы Э-Управления со стороны открытых и внешних телекоммуникационных сетей;

· идентификацию и аутентификацию устройств и служб в сети;

· разграничение доступа пользователей к узлам сети и сервисам;

· централизованное администрирование средств защиты от НСД;

· регистрацию системных событий и попыток НСД к защищаемым ресурсам штатными и наложенными средствами.

Подсистема защиты компонентов сетевой инфраструктуры может включать:

· средства межсетевого экранирования и организации виртуальных частных сетей (VPN);

· средства обнаружения и предотвращения вторжений (IDS/IPS);

· штатные средства разграничения доступа активного коммуникационного оборудования сети.

Средства межсетевого экранирования и организации виртуальных частных сетей должны обеспечивать выполнение следующих функций:

· поддержку межсетевого взаимодействия с удаленными организациями;

· защиту транзитного трафика между удаленными пользователями и узлами сети;

· пакетную фильтрацию трафика.

Средства обнаружения и предотвращения вторжений должны обеспечивать выполнение следующих функций:

· мониторинг объектов защиты на сетевом, транспортном и прикладном уровнях;

· мониторинг используемых сетевых сервисов;

· выявление и блокирование атак;

· выдача рекомендаций по изменению конфигурации компонентов защиты при обнаружении неблокируемых атак;

· фиксация описаний выявленных атак;

· информирование администратора безопасности при регистрации в журнале аудита событий, нарушающих политику безопасности компонентов ИС Э-Управления.

Аутентификация и авторизация служб и программных компонент обеспечивается за счет реализации стандартов безопасности передачи данных с использованием цифровых сертификатов.

Разграничение доступа к сервисам обеспечивается расположением компонентов и служб сервиса в отдельном сегменте сети с использованием штатных средств активного коммуникационного оборудования сети и применения технологий VLAN.

Для реализации защищённого входа в сеть может применяться ПО защищённого доступа, обеспечивающее аутентификацию пользователей на компьютере и в сети Windows с помощью носителей ключевой информации и использование цифровых сертификатов Х.509 для входа в домен.

3.2.5 Требования к Подсистеме анализа защищенности

Подсистема анализа защищенности должна обеспечивать выполнение следующих функций:

· ?инвентаризацию элементного состава ИС Э-Управления, который может подвергаться анализу защищенности;

· анализ настроек и выявление уязвимостей объектов сетевой инфраструктуры ЭП СО;

· контроль изменений в конфигурациях элементов ИС;

· контроль целостности программных средств и среды исполнения;

· регистрацию в журнале аудита событий, нарушающих политику безопасности компонентов ИС ЭП.

Анализ защищенности должен обеспечиваться специализированными средствами анализа уязвимостей.

Контроль целостности программных средств и среды исполнения должен обеспечиваться средствами автопроверки программных компонентов, проверками контрольных сумм фалов и средствами обеспечения целостности программной среды серверных операционных систем.

3.2.6 Требования к Подсистеме регистрации и мониторинга

Подсистема регистрации и мониторинга должна использоваться для регистрации действий пользователей по доступу к защищаемым ресурсам, и мониторинга состояния элементов технической инфраструктуры, на которых обрабатывается защищаемая информация.

Подсистема регистрации и мониторинга должна обеспечивать выполнение следующих функций:

· регистрацию запуска приложений, используемых для обработки защищаемой информации, попыток доступа к защищаемым файлам;

· настройку списка контролируемых событий и уровень детализации записей журнала аудита;

· централизованный сбор событий безопасности и автоматизированный разбор данных аудита.

Подсистема регистрации и мониторинга должна интегрировать:

· штатные средства операционных систем и систем управления базами данных (регистрация событий доступа, загрузки или останова систем);

· штатные средства используемых прикладных систем (регистрация событий попыток доступа пользователей и программных компонентов к защищаемым ресурсам);

· штатные средства межсетевых экранов, маршрутизаторов и другого коммуникационного оборудования (регистрация событий доступа к ресурсам сети).

Подсистема регистрации и мониторинга должна иметь возможность использовать специализированное ПО активного мониторинга событий ИБ.

3.2.7 Требования к подсистеме антивирусной защиты

Подсистема антивирусной защиты должна обеспечивать надежный контроль над всеми потенциальными источниками проникновения вредоносных программ в ИС Э-Управления, максимально автоматизировать антивирусную защиту компьютеров и локальной сети, а также обеспечить централизованное управление всеми антивирусными продуктами.

Эта подсистема должна соответствовать следующим требованиям. Она должна выполнять:

· антивирусную защиту рабочих станций;

· антивирусную защиту файловых серверов;

· антивирусную защиту электронной почты;

· антивирусную защиту шлюзов Интернет;

· антивирусную защиту Web серверов.

При этом желательно организовать двухуровневую антивирусную защиту с применением антивирусного ПО различных производителей.

Подсистема антивирусной защиты должна обеспечивать:

· централизованное управление сканированием, удалением вирусов и протоколированием вирусной активности;

· централизованную автоматическую инсталляцию клиентского ПО на АРМ пользователей;

· централизованное автоматическое обновление вирусных сигнатур на АРМ пользователей;

· возможность обнаружения и удаления вирусов в режиме реального времени при работе с информационными ресурсами серверов;

· возможность выявления вирусной активности в режиме реального времени при осуществлении связи с сетями общего пользования по протоколам SMTP, HTTP и FTP;

· ведение журналов вирусной активности в ИС Э-Управления;

· автоматическое уведомление администратора по электронной почте о вирусной активности;

· администрирование всех антивирусных продуктов, установленных в сети.



Выводы по третьей главе

В главе 3 была проведена работа по предотвращению незаконных действий моделей нарушителя к системе Э-Управления, в ходе которой выработаны характерные методы воздействия нарушителя на систему, а так же предложены основные способы и технологии защиты. Наибольшую опасность для системы Э-Управления несет пользователь внутренней сети, так как по статистке утечки информации согласно глобальных исследований утечек конфиденциальной информации за 2013 год от аналитического центра "InfoWatch" эта цифра приближается к 50% из которых 44% это умышленные действия и 45% случайные, т.е. ошибки пользователей сети [24].

Из предложенных пяти типов возможных нарушителей были предложены средства и технологии по предотвращению или осложнению доступа к конфиденциальной информации Э-Управления. Далее произведена научная работа по созданию и формированию подсистем и решений безопасности системы Э-Управления:

· Подсистема Управление доступом

· Инфраструктура открытых ключей

· Подсистема криптографической защиты информации

· Подсистема защиты компонентов сетевой инфраструктуры

· Подсистема анализа защищенности

· Подсистема регистрации и мониторинга

· подсистема резервного копирования и архивирования

· подсистема антивирусной защиты

· инженерно-технические системами безопасности

Ко всем предложенным подсистемам даны рекомендательные характеристики с учетом соблюдения необходимого уровня безопасности АС, так же возможность интегрирования с другими ведомствами КР.



Заключение

В диссертационной работе решалась задача защиты информации по средствам современных технологий защиты информации. В ходе решения поставленных задач были получены следующие выводы и результаты: 1. Практически все рассмотренные технологии защиты имеют соответствующие уровни надежности и соответствия современным требованиям. В ходе исследования технологий были установлены как положительные, так и отрицательные стороны. В большинстве случаев установленные недостатки и уязвимости в технологиях безопасности АС носят не критичный аспект. Технологии, разработанные в 70-90 годах по настоящее время, используются и справляются с этими задачами на высоком уровне производя только незначительную доработку выявляемых уязвимостей на фоне современных угроз безопасности.

2. Результатом работы являются полученные требования к современным технологиям по обеспечению соответствующего уровня безопасности и защиты информационных ресурсов в системе "Э-Управления" Кыргызской Республике. Произведено разделение системы безопасности на подсистемы с учетом угроз и технологий противостояния им. Особое внимание уделено вопросам достойной защиты информации. Это тем более актуально, если учесть, что в современной отечественной действительности началось проявляться стремление к максимальной информационной открытости государства.

В ходе проведенной работы были установлены проблемы в сфере обеспечения ИБ. При решении проблем, связанных с вопросами проектирования, построения, модернизации систем защиты государственных или муниципальных информационных сетей, отвечающие за данный вопрос лица обращаются к интернет-ресурсам, либо к своим знакомым, которые считают себя специалистами в области защиты информации, хотя зачастую не имеют ни профильного образования, ни практических навыков. В результате получается, что вновь созданные и запускаемые информационные ресурсы, в частности системы электронного документооборота, требуют доработки с точки зрения наличия уязвимостей -- таких как несанкционированное ознакомление с информацией на различных участках технологического процесса, невозможность определения и идентификации при прохождении определенного промежутка времени, обезличенность -- то есть когда, кем и на каком основании внесены изменения в электронный документ. Исходя из вышесказанного, считаю, что при формировании, реализации и внедрении IT-проектов как система "Э-Управления" КР целесообразно обратить внимание на следующие моменты:

1. При разработке и запуске проектов, связанных с информатизацией общества ИТ-технологиями уделять больше внимания процессам, связанным с информационной безопасностью, необходимость создания предпроектной подготовки и проведения экспертизы.

2. Осуществлять системное и плановое обучение технического персонала, задействованного в реализации и обслуживании информационных проектов по линии информационной безопасности для привития им грамотности в данной сфере.

3. Обращать большее внимание на такие принципы реализации системы защиты информации, как адаптивность и гибкость, в обязательном порядке закладывая их при проектировании информационных проектов, реализуемых на территории КР, наряду с построением модели угроз.

4. Скорректировать политику безопасности при развертывании и эксплуатации вновь создаваемых и существующих информационных систем в соответствии с изменяющимися нормативно-правовыми актами в данной области и требовать ее выполнение от всех лиц, имеющих допуск к государственным и муниципальным информационным ресурсам, по возможности исключив формальный подход.

Практическая значимость разработанных требований системам защиты информации определяются тем, что они позволяют усовершенствовать процесс оценки соответствия СЗИ АС требованиям действующих нормативных документов. Полученные данные позволяют повысить защищённость автоматизированных систем, сократить число привлекаемых специалистов, а также, для поддержки принятия решений по выбору защитных мер и технологий.

Исходя из этого, можно сделать заключение, что в диссертации получено решение научной задачи, состоящей в анализе и исследовании технологий защиты информационных систем с последующей выработкой требований защиты к применяемым технологиям на базе действующих нормативных документов, учитывающих особенности обработки трудно формализуемых данных предметной области.



Список использованных источников

1. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.

2. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. - М.: Горячая линия - Телеком, 2000.

3. Теоретические основы компьютерной безопасности: Уч. пособие для вузов / Авт.: П.Н. Девянин, О.О. Михальский, Д.И. Правиков и др. - М.: Радио и связь, 2000

4. Лукацкий А. Обнаружение атак - СПб.: БХВ-Петербург, 2003.

5. Панасенко С.П., Батура В.П. Основы криптографии для экономистов: Уч. пособие / Под ред. Л.Г. Гагариной. - М.: Финансы и статистика, 2005.

6. Зима В.М., Молдовян А.А., Молдовян Н.А. Компьютерные сети и защита передаваемой информации. - СПб: Издательство СПбГУ, 1998.

7. Шеннон К.Э. Теория связи в секретных системах / В кн.: Шеннон К.Э. Работы по теории информации и кибернетике. - М.: ИЛ, 1963. - С. 333-402.

8. Беляев А.В. Методы и средства защиты информации // http://www.citforum.ru/ internet/infsecure/its2000_01.shtm

9. Advanced Encryption Standard (AES) Development Effort. - Feb. 2001 // csrc.nist.gov/CryptoToolkit/aes/index2.html

10. Daemen J., Rijmen V. AES Proposal: Rijndael. Document version 2. - Sept. 1999 //

11. Соколов А.В., Шаньгин В.Ф. Защита информации в распределенных корпоративных сетях и системах. - М.: ДМК Пресс, 2002.

12. Теоретические основы компьютерной безопасности: Уч. пособие для вузов / Авт.: П.Н. Девянин, О. Михальский, Д.И. Правиков и др. - М.: Радио и связь, 2000.

13. Галицкий А.В., Рябко С.Д., Шаньгин В.Ф. Защита информации в сети - анализ технологий и синтез решений. - М.: ДМК Пресс, 2004.

14. Schneier B. Applied Cryptography. John Wiley & Sons, Inc.', 1996.

15. Чмора А.Л. Современная прикладная криптография. - М.: Гелиос АРВ, 2001.

16. ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования. - М.: Госстандарт России, 1994.

17. Мамаев М., Петренко С. Технологии защиты информации Интернета. Специальный справочник. - СПб.: Питер, 2002.

18. ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма. - М.: Госстандарт России, 1994.

19. ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи.

20. Александр Астахов "IDS как средство управления рисками" Internet URL http://www.globaltrust.ru/security/Pubs/Pub2_part5.htm

21. Касперский Е. Компьютерные вирусы // http://www.kaspersky.ru/

22. Касперский Е. Компьютерные вирусы: что это такое и как с ними бороться. - М.: СК Пресс, 1998.

23. Электронное правительство: русско-английский глоссарий терминов и понятий. Правительство Московской области. Министерство информационных технологий и связи 2012г.

24. Аналитический Центр InfoWatch. 2014 г. www.infowatch.ru/analytics

25. ISO 17799/IEO "Code of practice for Information security management" (Практические правила управления информационной безопасностью).

26. ГОСТ Р 50922-2006. " Защита информации. Основные термины и определения".

27. ГОСТ Р 51583 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении".

28. Федеральный закон РФ "Об информации, информатизации и защите информации").

29. ГОСТ Р 50922-96. Защита информации. Основные термины и определения.

30. Биячуев Т.А. - Безопасность корпоративных сетей. - СПб, СПб ГУ ИТМО, 2004.- 161 с.

31. Решения компании Cisco Systems по обеспечению безопасности корпоративных сетей / Сост.: М. Кадер. - М.: Московский офис Cisco Systems, Inc., 2001

32. Сарбуков А., Грушо А. Аутентификация в компьютерных системах //Системы безопасности. - 2003. - № 5 (53).

33. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). - М.: Гостехкомиссия России, 2000

34. Типовые решения по применению средств VPN для защиты информационных ресурсов. - СПб: ООО "Конфидент", 2001.

35. Чепиков О. Особенности применения двухфакторной аутентификации // Информационная безопасность. - 2005. - №3.

36. Menezes A.J., Oorschot P.C. van, Vanstone S.A Handbook of Applied Cryptography CRC Press, 1999.

37. Daemen J., Rijmen V. AES Proposal: Rijndael. Document version 2. - Sept. 1999 // www.esat.kuleuven.ac.be/~rijmen/rijndael

38. PKCS #1 v2.1: RSA Cryptography Standard. RSA Laboratories. - June 2002 // www.rsasecurity.com/rsalabs/pkcs/pkcs-l



Приложения

Приложение 1

Зрелости технологии защиты антивирусных ПО по компаниям за 2014 год



Приложение 2

Зрелости технологий для МЭ, IPS/IDS по компаниям за 2014 год

Размещено на Allbest.ru