Модели различных стратегий распространения вирусов в компьютерных сетях – тема научной статьи по математике читайте бесплатно текст научно-исследовательской работы в электронной библиотеке КиберЛенинка

Рассмотрим конкретные методы и средства защиты, которые используются в компьютерных сетях.

Парольная защита основывается на том, что для того, чтобы использовать какой-либо ресурс, необходимо задать пароль (некоторая комбинация символов). С помощью паролей защищаются файлы, архивы, программы и отдельные компьютеры. У парольной защиты есть недостатки – это слабая защищенность коротких паролей, которые с помощью специальных программ можно быстро раскрыть простым перебором. При выборе пароля нужно соблюдать ряд требований: пароль не должен состоять менее, чем из восьми символов; не использовать один и тот же пароль для доступа к разным ресурсам; не использовать старый пароль повторно; менять пароль как можно чаще. В сетях пароли могут использоваться самостоятельно, а также в качестве основы для различных методов аутентификации.

Идентификацию и аутентификацию пользователей можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов.

Идентификация представляет собой процедуру распознавания пользователя (процесса) по его имени.

Аутентификация – это процедура проверки подлинности пользователя, аппаратуры или программы для получения доступа к определенной информации или ресурсу.

В качестве синонима слова “аутентификация” иногда используют сочетание “проверка подлинности”. Субъект может подтвердить свою подлинность, если предъявит, по крайней мере, одну из следующих сущностей:

– нечто, что он знает: пароль, личный идентификационный номер, криптографический ключ и т.п.,

– нечто, чем он владеет: личную карточку или иное устройство аналогичного назначения,

– нечто, что является частью его самого: голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики,

– нечто, ассоциированное с ним, например координаты.

Криптографические методы защиты основываются на шифровании информации и программ. Готовое к передаче сообщение – будь то данные, речь либо графическое изображение того или иного документа, обычно называется открытым, или незащищенным текстом. Такое сообщение в процессе передачи по незащищенным каналам связи может быть легко перехвачено. Для предотвращения несанкционированного доступа к сообщению оно зашифровывается, преобразуясь в закрытый текст. Санкционированный пользователь, получив сообщение, дешифрует его обратным преобразованием криптограммы. В результате чего получается исходный открытый текст.

Шифрование может быть симметричным и асимметричным. Симметричное шифрование использует один и тот же секретный ключ для шифровки и дешифровки. Основным недостатком симметричного шифрования является то, что секретный ключ должен быть известен и отправителю, и получателю. С одной стороны, это ставит новую проблему рассылки ключей. С другой стороны, получатель, имеющий шифрованное и расшифрованное сообщение, не может доказать, что он получил его от конкретного отправителя, поскольку такое же сообщение он мог сгенерировать и сам.

При ассиметричном шифровании для шифрования используется один общедоступный ключ, а для дешифрования – другой, являющийся секретным, при этом знание общедоступного ключа не позволяет определить секретный ключ.

Асимметричные методы шифрования позволяют реализовать так называемую электронную подпись. Идея состоит в том, что отправитель посылает два экземпляра сообщения – открытое и дешифрованное его секретным ключом. Получатель может зашифровать с помощью открытого ключа отправителя дешифрованный экземпляр и сравнить с открытым ключом. Если они совпадут, личность и подпись отправителя можно считать установленными.

Существенным недостатком асимметричных методов является их низкое быстродействие, поэтому их приходится сочетать с симметричными. Так, для решения задачи рассылки ключей сообщение сначала симметрично шифруют случайным ключом, затем этот ключ шифруют открытым асимметричным ключом получателя, после чего сообщение и ключ отправляются по сети.

При использовании асимметричных методов необходимо иметь гарантию подлинности пары (имя, открытый ключ) адресата. Для решения этой задачи вводится понятие сертификационного центра, который заверяет справочник имен/ключей своей подписью.

Шифрование программ гарантирует невозможность внесения в них изменений. Криптографическая защита данных осуществляется и при хранении данных и при передаче их по сети. В настоящее время возможна как программная, так и аппаратная реализация средств криптографии.

Привязка программ и данных к конкретному компьютеру (сети или ключу). Идея этого метода заключается в том, чтобы включить в данные или в программу параметры или характеристики конкретного компьютера, что сделает невозможным чтение данных или выполнение программ на другом компьютере. Различные модификации этого метода применительно к сети могут требовать или выполнение всех операций на конкретном компьютере, или активного соединения сети с конкретным компьютером. Метод «привязки» может значительно повысить защищенность сети.

Разграничение прав доступа пользователей к ресурсам сети. Этот метод основан на использовании наборов таблиц, которые определяют права пользователей. Они построены по правилам «разрешено все, кроме» или «разрешено только». Таблицы по паролю или идентификатору пользователя определяют его права доступа к дискам, файлам, операциям чтения, записи, копирования, удаления и другим сетевым ресурсам. Такое разграничение доступа определяется, как правило, возможностями используемой ОС.

Управление доступом может быть достигнуто при использовании дискреционного или мандатного управления доступом.

Дискреционная модель разграничения доступа предполагает назначение каждому объекту списка контроля доступа, элементы которого определяют права доступа к объекту конкретного субъекта. Правом редактирования дискреционного списка контроля доступа обычно обладают владелец объекта и администратор безопасности. Эта модель отличается простотой реализации, но возможна утечка конфиденциальной информации даже в результате санкционированных действий пользователей.

Мандатная модель разграничения доступа предполагает назначение объекту метки (грифа) секретности, а субъекту – уровня допуска. Доступ субъектов к объектам в мандатной модели определяется на основании правил «не читать выше» и «не записывать ниже». Использование мандатной модели, в отличие от дискреционного управления доступом, предотвращает утечку конфиденциальной информации, но снижает производительность компьютерной системы.

Протоколирование и аудит состояния системы безопасности составляют основу обеспечения безопасности корпоративной сети.

Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе предприятия.

Аудит – это анализ накопленной информации, проводимый оперативно, почти в реальном времени, или периодически.

Реализация протоколирования и аудита преследует следующие главные цели:

– обеспечение подотчетности пользователей и администраторов – обеспечивается не только возможность расследования случаев нарушения режима безопасности, но и откат некорректных изменений. Тем самым обеспечивается целостность информации;

– обеспечение возможности реконструкции последовательности событий – позволяет выявить слабости в защите сервисов, найти виновника вторжения, оценить масштабы причиненного ущерба и вернуться к нормальной работе;

– обнаружение попыток нарушений информационной безопасности;

– предоставление информации для выявления и анализа проблем – позволяют помочь улучшить такой параметр безопасности, как доступность. Обнаружив узкие места, можно попытаться переконфигурировать или перенастроить систему, снова измерить производительность и т.д.

Аудит информационной безопасности является сегодня одним из наиболее эффективных инструментов для получения независимой и объективной оценки текущего уровня защищённости предприятия от угроз информационной безопасности. Кроме того, результаты аудита используются для формирования стратегии развития системы защиты информации в организации. Необходимо помнить, что аудит безопасности не является однократной процедурой, а должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную пользу и способствовать повышению уровня информационной безопасности компании.

Межсетевое экранирование

При подключении корпоративной сети к открытым сетям, например к сети Internet, появляются угрозы несанкционированного вторжения в закрытую (внутреннюю) сеть из открытой (внешней), а также угрозы несанкционированного доступа из закрытой сети к ресурсам открытой. Подобный вид угроз характерен также для случая, когда объединяются отдельные сети, ориентированные на обработку конфиденциальной информации разного уровня секретности.

Нарушитель через открытую внешнюю сеть может вторгнуться в сеть организации и получить доступ к техническим ресурсам и конфиденциальной информации, получить пароли, адреса серверов, а иногда и их содержимое, войти в информационную систему организации под именем зарегистрированного пользователя и т.д.

Угрозы несанкционированного доступа из внутренней сети во внешнюю сеть являются актуальными в случае ограничения разрешенного доступа во внешнюю сеть правилами, установленными в организации.

Ряд задач по отражению угроз для внутренних сетей способны решить межсетевые экраны.

Межсетевой экран (МЭ) или брандмауэр (Firewall) – это средство защиты, которое можно использовать для управления доступом между надежной сетью и менее надежной. Основная функция МЭ – централизация управления доступом. Если удаленные пользователи могут получить доступ к внутренним сетям в обход МЭ, его эффективность близка к нулю. МЭ обычно используются для защиты сегментов локальной сети организации.

Межсетевые экраны обеспечивают несколько типов защиты:

– блокирование нежелательного трафика;

– перенаправление входного трафика только к надежным внутренним системам;

– сокрытие уязвимых систем, которые нельзя обезопасить от атак из глобальной сети другим способом;

– протоколирование трафика в и из внутренней сети;

– сокрытие информации (имен систем, топологии сети, типов сетевых устройств и внутренних идентификаторов пользователей, от внешней сети;

– обеспечение более надежной аутентификации, чем та, которую представляют стандартные приложения.

Как и для любого средства защиты, нужны определенные компромиссы между удобством работы и безопасностью. Прозрачность – это видимость МЭ как внутренним пользователям, так и внешним, осуществляющим взаимодействие через МЭ, который прозрачен для пользователей, если он не мешает им получить доступ к сети. Обычно МЭ конфигурируются так, чтобы быть прозрачными для внутренних пользователей сети (посылающим пакеты наружу), и, с другой стороны, МЭ конфигурируется так, чтобы быть непрозрачным для внешних пользователей, пытающихся получить доступ к внутренней сети извне. Это обычно обеспечивает высокий уровень безопасности и не мешает внутренним пользователям.

Важным понятием экранирования является зона риска, определяемая как множество систем, которые становятся доступными злоумышленнику после преодоления экрана или какого-либо из его компонентов. Для повышения надежности защиты, экран реализуют как совокупность элементов, так что “взлом” одного из них еще не открывает доступ ко всей внутренней сети. Экранирование и с точки зрения сочетания с другими сервисами безопасности, и с точки зрения внутренней организации использует идею многоуровневой защиты, за счет чего внутренняя сеть оказывается в пределах зоны риска только в случае преодоления злоумышленником нескольких, по-разному организованных защитных рубежей. Экранирование может использоваться как сервис безопасности не только в сетевой, но и в любой другой среде, где происходит обмен сообщениями.

Обзор российского законодательства в области информационной безопасности

Требования российского законодательства, определяющие обязательность защиты информации ограниченного доступа, изложены в Федеральных иконах и уточнены в документах Федеральной службы по техническому и экспортному контролю Российской Федерации ФСБ (ФАПСИ) и других государственных учреждений, имеющих отношение к обеспечению безопасности информации. Реализация и контроль этих требований осуществляется при помощи соответствующих государственных систем сертификации средств защиты и аттестации объектов автоматизации.

Правовую основу информационной безопасности обеспечивают: Конституция Российской Федерации, Гражданский и Уголовный Кодекс, Федеральные законы “О безопасности” (№ 15-ФЗ от 07.03.2005), “О Государственной тайне” (№ 122-ФЗ от 22.08.2004), “Об информации, информатизации и защите информации” (№ 149-ФЗ от 27.07.2006), “Об участии в международном информационном обмене” (№ 85-ФЗ от 04.07.1996), “О коммерческой тайне” (№98-ФЗ от 29.07.2004), “О персональных данных” (№ 152-ФЗ от 27.07.2006), “О техническом регулировании” (№ 45-ФЗ от 09.05.2005), Доктрина информационной безопасности, Указы Президента и другие нормативные правовые акты Российской Федерации.

Соблюдение правовых норм, установленных законодательными актами Российской Федерации, должно являться одним из основополагающих принципов при создании любой комплексной системы защиты от информационных атак.

Общие правовые основы обеспечения безопасности личности, общества и государства определены в Федеральном законе “О безопасности”.Этим же законом определено понятие системы безопасности и ее функций, установлен порядок организации и финансирования органов обеспечения безопасности и правила контроля и надзора за законностью их деятельности.

Основные положения государственной политики в сфере обеспечения безопасности изложены в Доктрине информационной безопасности Российской Федерации.В Доктрине определены следующие основные задачи, которые необходимо учитывать при реализации комплекса мер по информационной безопасности:

– обеспечение конституционных прав и свобод человека и гражданина на личную и семейную тайны, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;

– укрепление механизмов правового регулирования отношений в области охраны интеллектуальной собственности, создание условий для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;

– запрещение сбора, хранения, использования и распространения информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством;

– защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России;

– обеспечение защиты сведений, составляющих государственную тайну.

В соответствии с Конституцией Российской Федерации (ст. 23, 24) мероприятия по защите данных от возможных информационных атак не должны нарушать тайну переписки, осуществлять сбор сведений о частной жизни сотрудников, а также ознакомление с их перепиской.

В Гражданском кодексе Российской Федерации (ст. 139) определены характерные признаки информации, которая может составлять служебную или коммерческую тайну. Кроме этого в гражданском кодексе установлена ответственность, которую несут лица, за незаконные методы получения такой информации.

Уголовным Кодексом Российской Федерации предусматривается ответственность в случае преднамеренного использования вредоносного программного обеспечения с целью:

– сбора или распространения сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия (ст. 137);

– незаконного получения или разглашения сведений, составляющих коммерческую или банковскую тайну (ст. 183);

– неправомерного доступа к охраняемой законом компьютерной информации (ст. 272);

– нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ (ст. 274);

– нарушения тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений, с использованием специальных технических средств, предназначенных для негласного получения информации (ст. 138).

Уголовная ответственность распространяется также на лиц, совершивших действия по созданию, использованию и распространению вредоносных программ для ЭВМ (ст. 273). При этом необходимо отметить, что в качестве вредоносного ПО могут выступать не только вирусы, программы типа “Троянский конь”, но и программы, предназначенные для проведения информационных атак.

Регулирование отношений, связанных с созданием, правовой охраной, а также использованием программ для ЭВМ и баз данных, осуществляется при помощи законов “О правовой охране программ для электронных вычислительных машин и баз данных” и “Об авторском праве и смежных правах”.

Федеральный закон “Об участии в международном информационном обмене” также определяет понятие информационной безопасности и направлен на создание условий для эффективного участия России в международном информационном обмене в рамках единого мирового информационного пространства. Требования данного нормативного документа необходимо учитывать при взаимодействии с зарубежными информационными ресурсами, например, через сеть Интернет. Отношения, возникающие при формировании и использовании информационных ресурсовна основе создания, сбора, обработки, накопления и предоставления потребителю документированной информации, регулируются Федеральным законом “Об информации, информатизации и защите информации”.Данный закон определяет понятие конфиденциальной информации, цели и задачи по ее защите, а такжеправа и обязанности субъектов в области защиты информации. В 2006 г. эти два закона были заменены Федеральным законом “Об информации, информационных технологиях и о защите информации”,в соответствии с которым защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

– обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

– соблюдение конфиденциальности информации ограниченного доступа;

– реализацию права на доступ к информации.

Более подробно информация конфиденциального характера определена в Указе Президента Российской Федерации № 188 от 06.03.1997 г. “Об утверждении перечня сведений конфиденциального характера”.В соответствии с данным Указом к подобным сведениям отнесены:

– сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные);

– служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);

– сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);

– сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Более подробные сведения об информации, составляющей коммерческую тайну, изложены в Федеральном законе “О коммерческой тайне”.Данный Закон регулирует отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности в целях обеспечения баланса интересов обладателей информации и других участников регулируемых отношений на рынке товаров, работ, услуг и предупреждения недобросовестной конкуренции, а также определяет сведения, которые не могут составлять коммерческую тайну.

Вопросы защиты персональных данных подробно описаны в Федеральном законе “О персональных данных”.В соответствии с этим документом при обработке персональных данных необходимо принимать организационные и технические меры, в том числе криптографические средства для защиты информации от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Вопросы отнесения информации к государственной тайне, а также порядок работы и защиты таких данных определены в Федеральном законе “О государственной тайне”.Статьи закона являются обязательными для исполнения для всех без исключения юридических и физических лиц, для государственных и территориальных органов власти. Закон определяет понятия государственной тайны, грифа секретности, средства защиты информации и др. Этот же закон устанавливает права и обязанности органов государственной власти по защите государственной тайны, а также определяет базовый перечень сведений, которые могут быть отнесены к государственной тайне. Более подробный перечень утвержден Указом Президента “О перечне сведений, отнесенных к государственной тайне” №61 от 28.03.1998 г. Данные нормативные документы должны учитываться при формировании системы защиты информации, составляющей государственную тайну.

Нормативно-методическую базу, определяющую требования и рекомендации к программно-техническим методам защиты информации в автоматизированных системах, составляют руководящие документы Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК) и государственные стандарты. Так, например, оценка защищенности автоматизированных систем, обрабатывающих информацию ограниченного доступа, осуществляется на основании руководящего документа (РД) ФСТЭК “Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации”.При разработке и модернизации средств вычислительной техники необходимо принимать во внимание требования РД ФСТЭК “Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации” и ГОСТ Р 50739-95″Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования”.Данные нормативные документы необходимо учитывать в процессе реализации комплексной системы защиты от информационных атак для того, чтобы не нарушить установленные в них требования к автоматизированным системам и средствам вычислительной техники соответствующих классов.

Еще одним нормативным документом ФСТЭК, который может применяться по отношению к средствам защиты отинформационных атак, является РД “Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (НДВ)”.Данный РД устанавливает классификацию ПО средств защиты информации по уровню контроля отсутствия в нем НДВ. Необходимо отметить, что под НДВ понимают функциональные возможности ПО, не описанные в документации, при использовании которых возможно нарушение конфиденциальности, целостности или доступности обрабатываемой информации.

При использовании персональных и корпоративных межсетевых экранов для защиты от информационных атак необходимо учитывать требования РД ФСТЭК “Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации” ,а также “требования ФСБ к устройствам типа межсетевые экраны”.Данные нормативные документы классифицируют межсетевые экраны на пять различных классов в зависимости от категории информации, для защиты которой они предназначены. При этом каждый класс экранов характеризуется своим наборомфункциональных требований по защите информации.

Порядок организации работ с государственной конфиденциальной информацией определяется в нормативно-методическом документе ФСТЭК “Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)”.Документ расширяет и дополняет существующие РД посредством уточнения требований и рекомендаций по обеспечению технической защиты информации с ограниченным доступом, не содержащей сведений, составляющихгосударственную тайну. В этом документе приводятся рекомендации по практическому применению различных средств защиты, в том числе и систем обнаружения атак.

Классификация методов и средств обеспечения безопасности

Методы и средства защиты информации в сетях

Способы (методы) защиты информации:

– Препятствие – создание на пути угрозыпреграды, преодоление которой сопряжено с возникновением сложностей для злоумышленника или дестабилизирующего фактора.

– Управление – оказание управляющих воздействий на элементы защищаемой системы.

– Маскировка – действия над защищаемой системой или информацией, приводящие к такому их преобразованию, которое делает их недоступными для злоумышленника.

– Регламентация – разработка и реализация комплекса мероприятий, создающих такие условия обработки информации, которые существенно затрудняют реализацию атак злоумышленника или воздействия других дестабилизирующих факторов.

– Принуждение – метод заключается в создании условий, при которых пользователи и персонал вынуждены соблюдать условия обработки информации под угрозой ответственности (материальной, уголовной, административной)

– Побуждение – метод заключается в создании условий, при которых пользователи и персонал соблюдают условия обработки информации по морально-этическим и психологическим соображениям.

Средства защиты информации:

– Физические средства – механические, электрические, электромеханические, электронные, электронно-механические и т. п. устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути дестабилизирующих факторов.

– Аппаратные средства – различные электронные и электронно-механические и т.п. устройства, схемно встраиваемые в аппаратуру системы обработки данных или сопрягаемые с ней специально для решения задач защиты информации.

– Программные средства – специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения с целью решения задач защиты информации.

– Организационные средства – организационно-технические мероприятия, специально предусматриваемые в технологии функционирования системы с целью решения задач защиты информации.

– Законодательные средства – нормативно-правовые акты, с помощью которых регламентируются права и обязанности, а также устанавливается ответственность всех лиц и подразделений, имеющих отношение к функционированию системы, за нарушение правил обработки информации, следствием чего может быть нарушение ее защищенности.

– Психологические (морально-этические средства) – сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе.

Рисунок 2. Классификация методов и средств защиты информации

Рассмотрим, какие существуют средства или инструменты, которыми реализованы описанные принципы или механизмы. Персонал занимается аудитом, который обеспечивает учет. Значит, персонал — это средство, аудит — механизм, а учет — цель. Или пароли, обеспечивающие аутентификацию, сохраняются в шифрованном виде, аутентификация предшествует, например, разрешению на модификацию. Значит, криптография — средство защиты паролей, пароли используются для механизма аутентификации, аутентификация предшествует обеспечению целостности.

Основные средства (инструменты) информационной безопасности:

– персонал — люди, которые будут обеспечивать претворение в жизнь информационной безопасностиво всех аспектах, то есть разрабатывать, внедрять, поддерживать, контролировать и исполнять;

– нормативное обеспечение — документы, которые создают правовое пространство для функционирования информационной безопасности;

– модели безопасности — схемы обеспечения информационной безопасности, заложенные в данную конкретную информационную систему или среду;

– криптография — методы и средства преобразования информации в вид, затрудняющий или делающий невозможным несанкционированные операции с нею (чтение и/или модификацию), вместе с методами и средствами создания, хранения и распространения ключей — специальных информационных объектов, реализующих эти санкции;

– антивирусное обеспечение — средство для обнаружения и уничтожения зловредного кода (вирусов, троянских программ и т. п.);

– межсетевые экраны — устройства контроля доступа из одной информационной сети в другую;

– сканеры безопасности — устройства проверки качества функционирования модели безопасности для конкретной информационной системы;

– системы обнаружения атак — устройства мониторинга активности в информационной среде, иногда с возможностью принятия самостоятельного участия в указанной активной деятельности;

– резервное копирование — сохранение избыточных копий информационных ресурсов на случай их возможной утраты или повреждения;

– дублирование (резервирование) — создание альтернативных устройств, необходимых для функционирования информационной среды, предназначенных для случаев выхода из строя основных устройств;

– аварийный план — набор мероприятий, предназначенных для претворения в жизнь, в случае если события происходят или произошли не так, как было предопределено правилами информационной безопасности;

– обучение пользователей — подготовка активных участников информационной среды для работы в условиях соответствия требованиям информационной безопасности.

Основные направления информационной безопасности.

Физическая безопасность — обеспечение сохранности самого оборудования, предназначенного для функционирования информационной среды, контроль доступа людей к этому оборудованию.

Компьютерная безопасность (сетевая безопасность, телекоммуникационная безопасность, безопасность данных) — обеспечение защиты информациив ее виртуальном виде. В конкретном программном комплексе модель безопасности может быть реализована таким образом, что это потребует отдельного специалиста (или даже службы) по ее поддержанию. В этом случае возможно разделить понятия безопасность данных (конкретного приложения) и безопасность сети (всей остальной информационной среды).

Кабельная система

Кабельная система является причиной более чем половины всех отказов сети. В связи с этим кабельной системе должно уделяться особое внимание с самого момента проектирования сети.

Наилучшим способом является использование получивших широкое распространение в последнее время так называемых структурированных кабельных систем, использующих одинаковые кабели для передачи данных в локальной вычислительной сети, локальной телефонной сети, передачи видеоинформации или сигналов от датчиков пожарной безопасности или охранных систем. К структурированным кабельным системам относятся, например, SYSTIMAX SCS фирмы АТ&T, OPEN DECconnect компании Digital, кабельная система корпорации IBM.

Понятие “структурированность” означает, что кабельную систему здания можно разделить на несколько уровней в зависимости от назначения и месторасположения компонентов кабельной системы. Например, кабельная система SYSTIMAX SCS состоит из:

– некорректное использование программного и аппаратного обеспечения, ведущее к уничтожению или изменению данных.

– Внешнейподсистемы (campus subsystem)

– Аппаратных (equipment room)

– Административнойподсистемы (administrative subsystem)

– Магистрали (backbone cabling)

– Горизонтальнойподсистемы (horizontalsubsystem)

Внешняя подсистема состоит из медного и оптоволоконного кабеля, устройств электрической защиты и заземления и связывает коммуникационную и обрабатывающую аппаратуру в здании (или комплексе зданий). Кроме того, в эту подсистему входят устройства сопряжения внешних кабельных линий с внутренними.

Аппаратные служат для размещения различного коммуникационного оборудования, предназначенного для обеспечения работы административной подсистемы.

Административная подсистема предназначена для быстрого и легкого управления кабельной системой SYSTIMAX SCS при изменении планов размещения персонала и отделов. В ее состав входят кабельная система (неэкранированная витая пара и оптоволокно), устройства коммутации и сопряжения магистрали и горизонтальной подсистемы, соединительные шнуры, маркировочные средства и т.д.

Магистраль состоит из медного кабеля или комбинации медного и оптоволоконного кабеля и вспомогательного оборудования. Она связывает между собой этажи здания или большие площади одного и того же этажа.

Горизонтальная система на базе витого медного кабеля расширяет основную магистраль от входных точек административной системы этажа к розеткам на рабочем месте.

Оборудование рабочих мест включает в себя соединительные шнуры, адаптеры, устройства сопряжения и обеспечивает механическое и электрическое соединение между оборудованием рабочего места и горизонтальной кабельной подсистемой.

Наилучшим способом защиты кабеля от физических (а иногда и температурных и химических воздействий, например, в производственных цехах) является прокладка кабелей с использованием в различной степени защищенных коробов. При прокладке сетевого кабеля вблизи источников электромагнитного излучения необходимо выполнять следующие требования:

– неэкранированная витая пара должна отстоять минимум на 15-30 см от электрического кабеля, розеток, трансформаторов и т. д.

– требования к коаксиальному кабелю менее жесткие – расстояние до электрической линии или электроприборов должно быть не менее 10-15 см.

Другая важная проблема правильной инсталляции и безотказной работы кабельной системы – соответствие всех ее компонентов требованиям международных стандартов.

Наибольшее распространение в настоящее время получили следующие стандарты кабельных систем:

Спецификации корпорации IBM, которые предусматривают девять различных типов кабелей. Наиболее распространенным среди них является кабель IBM type 1 – экранированная витая пара (STP) для сетей TokenRing.

Система категорий UnderwritersLabs (UL) представлена этой лабораторией совместно с корпорацией Anixter. Система включает пять уровней кабелей. В настоящее время система UL приведена в соответствие с системой категорий EIA/TIA.

Стандарт EIA/TIA 568 был разработан совместными усилиями UL, American National Standards Institute (ANSI) и Electronic Industry Association/Telecommunications Industry Association, подгруппой TR41.8. 1 длякабельныхсистемнавитойпаре (UTP).

Необходимо также отметить, что требования стандарта EIA/TIA 568 относятся только к сетевому кабелю. Но реальные системы, помимо кабеля, включают также соединительные разъемы, розетки, распределительные панели и другие элементы. Использование только кабеля категории 5 не гарантирует создание кабельной системы этой категории. В связи с этим все вышеперечисленное оборудование должно быть также сертифицировано на соответствие данной категории кабельной системы.

Системы электроснабжения

Наиболее надежным средством предотвращения потерь информации при кратковременном отключении электроэнергии в настоящее время является установка источников бесперебойного питания. Различные по своим техническим и потребительским характеристикам, подобные устройства могут обеспечить питание всей локальной сети или отдельного компьютера в течение промежутка времени, достаточного для восстановления подачи напряжения или для сохранения информации на магнитные носители. Большинство источников бесперебойного питания одновременно выполняет функции и стабилизатора напряжения, что является дополнительной защитой от скачков напряжения в сети. Многие современные сетевые устройства – серверы, концентраторы, мосты и т. д. – оснащены собственными дублированными системами электропитания.

Системы архивирования и дублирования информации

Организация надежной и эффективной системы архивации данных является одной из важнейших задач по обеспечению сохранности информации в сети. В небольших сетях, где установлены один-два сервера, чаще всего применяется установка системы архивации непосредственно в свободные слоты серверов. В крупных корпоративных сетях наиболее предпочтительно организовать выделенный специализированный архивационный сервер.

Такой сервер автоматически производит архивирование информации с жестких дисков серверов и рабочих станций в указанное администратором локальной вычислительной сети время, выдавая отчет о проведенном резервном копировании. При этом обеспечивается управление всем процессом архивации с консоли администратора, например, можно указать конкретные тома, каталоги или отдельные файлы, которые необходимо архивировать. Возможна также организация автоматического архивирования по наступлении того или иного события (“eventdrivenbackup”), например, при получении информации о том, что на жестком диске сервера или рабочей станции осталось мало свободного места, или при выходе из строя одного из “зеркальных” дисков на файловом сервере. Среди наиболее распространенных моделей архивационных серверов можно выделить StorageExpressSystem корпорации Intel, ARCserveforWindows, производства фирмы Cheyenne и ряд других.

Хранение архивной информации, представляющей особую ценность, должно быть организовано в специальном охраняемом помещении. Специалисты рекомендуют хранить дубликаты архивов наиболее ценных данных в другом здании, на случай пожара или стихийного бедствия. Для обеспечения восстановления данных при сбоях магнитных дисков в последнее время чаще всего применяются системы дисковых массивов – группы дисков, работающих как единое устройство, соответствующих стандарту RAID (RedundantArraysofInexpensiveDisks). Эти массивы обеспечивают наиболее высокую скорость записи/считывания данных, возможность полного восстановления данных и замены вышедших из строя дисков в “горячем” режиме (без отключения остальных дисков массива).

Организация дисковых массивов предусматривает различные технические решения, реализованные на нескольких уровнях.

Уровень 0 предусматривает простое разделение потока данных между двумя или несколькими дисками. Преимущество подобного решения заключается в увеличении скорости ввода/вывода пропорционально количеству задействованных в массиве дисков. В то же время такое решение не позволяет восстановить информацию при выходе из строя одного из дисков массива.

RAID уровня 1 заключается в организации так называемых “зеркальных” дисков. Во время записи данных информация основного диска системы дублируется на зеркальном диске, а при выходе из строя основного диска в работу тут же включается “зеркальный”.

Уровни 2 и 3 предусматривают создание так называемых параллельных дисковых массивов, при записи на которые данные распределяются по дискам на битовом уровне. Специальный диск выделяется для сохранения избыточной информации, которая используется для восстановления данных при выходе из строя какого-либо из дисков массивов.

Уровни 4 и 5 представляют собой модификацию нулевого уровня, при котором поток данных распределяется по дискам массива. Отличие состоит в том, что на уровне 4 выделяется специальный диск для хранения избыточной информации, а на уровне 5 избыточная информация распределяется по всем дискам массива. Организация дисковых массивов в соответствии со стандартом 5 уровня обеспечивает высокую скорость считывания/записи информации и позволяет восстанавливать данные при сбое какого-либо диска без отключения всего дискового массива.

Среди всех вышеперечисленных уровней дисковых массивов уровни 3 и 5 являются наиболее предпочтительными и предполагают меньшие по сравнению с организацией “зеркальных” дисков материальные затраты при том же уровне надежности.

Повышение надежности и защита данных в сети, основанная на использовании избыточной информации, реализуются не только на уровне отдельных элементов сети, например дисковых массивов, но и на уровне сетевых ОС. Так, на протяжении последних десяти лет компания Novell реализует отказоустойчивые версии операционной системы Netware – SFT (SystemFaultTolerance), предусматривающие три основных уровня:

– SFT Level I. Первый уровень предусматривает, в частности, создание дополнительных копий FAT и DirectoryEntriesTables, немедленную верификацию каждого вновь записанного на файловый сервер блока данных, а также резервирование на каждом жестком диске около 2% от объема диска. При обнаружении сбоя данные перенаправляются в зарезервированную область диска, а сбойный блок помечается как “плохой” и в дальнейшем не используется.

– SFT Level II содержала дополнительно возможности создания “зеркальных” дисков, а также дублирования дисковых контроллеров, источников питания и интерфейсных кабелей.

– Версия SFT Level III позволяет использовать в локальной сети дублированные серверы, один из которых является “главным”, а второй, содержащий копию всей информации, вступает в работу в случае выхода “главного” сервера из строя.

Программно-технические средства в сетях

Технические средства реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на аппаратные и физические. Под аппаратными средствами принято понимать технику или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу. Например, система опознания и разграничения доступа к информации (посредством паролей, записи кодов и другой информации на различные карточки). Физические средства реализуются в виде автономных устройств и систем. Например, замки на дверях, где размещена аппаратура, решетки на окнах, источники бесперебойного питания, электромеханическое оборудование охранной сигнализации. Программные средства представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации.

Все средства защиты информации от несанкционированного доступа можно подразделять на следующие группы:

– Технические (аппаратные) средства и системы независящие от объекта защиты, т.е. помещения, места расположения, рабочей станции и т.д.

– Программно-аппаратные средства и системы, выполненные как отдельное устройство функционирующие совместно с объектом защиты в определенной последовательности в соответствии с выполнением программного алгоритма

– Программные средства или системы (программы работы с BIOS, программные файерволы, антивирусные средства и т.д.) установленные на рабочей станции и функционирующие в соответствии с выполнением собственных алгоритмов

Системы защиты информации при администрировании можно разделить следующим образом:

– Разграничение доступа к объекту защиты выполняется с применением идентификации (ввод имени пользователя, использования ключа доступа – дискеты, eToken-ключи, другие внешние аппаратных устройств);

– Аутентификация пользователя при доступе к защищаемой информации;

– Аудит доступа, ведение списка пользователей, блокирование доступа;

– Контроль целостности как папок и файлов, так и секторов и дисков;

– Аудит контроля целостности;

– Запрет и аудит загрузки с внешних или съемных носителей;

– Средство безопасной аутентификации eToken;

– Система защиты электронный замок «Соболь»;

– Система защиты информации «Страж NT»;

– Система защиты информации «SecretNet»;

– Система защиты информации «Электронный замок «eLock»;

– Система защиты информации «DallasLock»;

Средство безопасной аутентификации eToken. Для государственных и коммерческих организаций сохранение конфиденциальной информации является одной из приоритетных задач. Организация эффективного и защищенного доступа к информационным ресурсам является сложной задачей. Одним из решений является возможность получения доступа с помощью специализированных токенов (ключей). Однако, оптимальный выбор представляет собой проблему.

Для определения наиболее эффективного средства аутентификации рационально использовать метод анализа иерархий.

Метод анализа иерархий (МАИ) является методологической основой для решения задач выбора альтернатив посредством их многокритериального рейтингования. Зарубежные ученые использую МАИ в своих исследованиях.

Изучив рынок средств аутентификации, для анализа и последующего внедрения одного из данных средств были выбраны следующие: eToken PRO, iButton (DS1961S), ruToken, eToken PASS и eToken PRO Anywhere.

Приведем некоторые характеристики устройств, взятые с официальных сайтов.

– eToken PRO. Ключи eToken PRO являются персональным средством аутентификации и хранения данных. Рассматриваемые устройства аппаратно поддерживают работу с цифровыми сертификатами и электронно-цифровой подписью. Возможности eToken PRO: двухфакторная аутентификация пользователей; поддержка Java-апплетов; возможность централизованного управления. Цена от 947 р.

– iButton (DS1961S). iButton – это микросхема, вставленная в защищенный металлический корпус. Форма устройства в виде монеты позволяет простое использование оператором. Представленной электронный ключ используется для аутентификации пользователя, доступа в охраняемую зону. Возможности iButton(DS1961S): цифровая идентификация; обеспечение компактности хранения информации; передача информации при контакте. Цена – 130 р.

– ruToken. Данный идентификатор является компактным устройством в виде USB-брелка, который используется для авторизации пользователя, защиты электронной переписки, удаленного доступа к ресурсам, безопасного и надежного хранения данных. Возможности ruToken: ограниченное количество попыток ввода PIN-кода; интеграция в smartcard-ориентированное программное обеспечение; три уровня (гость, пользователь, администратор) доступа к токену. Цена – 770 р.

– eToken PASS. Идентификатор позволяет добавить поддержку аутентификации по одноразовым паролям в различные приложения. Возможности: не требуется установка дополнительного программного обеспечения; не требуется установка драйверов; функционирование с мобильных устройств; одноразовый односеансовый пароль. Цена – 850 р.

– eTokenPROAnywhere является электронным USB-ключом, позволяющий безопасно обращаться к Web-ресурсам. Возможности:открытие браузера и перенаправление пользователя только на заданные веб-сайты (адреса хранятся в защищённой памяти ключа); аутентификация пользователя; обеспечение защиты передаваемых по сети данных; защита от фишинга. Цена – 1032 р.

Рассмотрим применение метода анализа иерархии для решения поставленной задачи. Вначале требуется построение иерархической структуры: цель, критерии, альтернативы (таблица1).

Таблица 1 – Иерархическая структура

Далее требуется провести сравнения альтернатив по каждому из трех показателей.

Рисунок 3. Сравнение выбранных идентификаторов
относительно критерия «Цена»

Рисунок 4. Сравнение выбранных идентификаторов относительно критерия «Возможности»

Рисунок 5. Сравнение выбранных идентификаторов относительно критерия «Применяемость»

Рисунок 6. Результат сравнения идентификаторов по выбранным критериям

Таким образом, мы определили, что оптимальным средством аутентификации является идентификатор eToken PRO Anywhere, его значение глобального приоритета максимально – 0,3679.

Система защиты электронный замок «Соболь».
Аппаратно-программный модуль доверенной загрузки «Соболь» позволяет защитить компьютеры от несанкционированного доступа и создавать замкнутую программную среду для работы пользователей. «Соболь» поможет предотвратить несанкционированную загрузку операционной системы как с внутренних носителей информации, так и съёмных, а механизм контроля целостности позволит отслеживать любые несанкционированные изменения в программной а аппаратной среде компьютера и запрещать работу на нём при их наличии.

Аппаратно-программный модуль может эффективно использоваться на предприятиях любого масштаба. Модуль применяется, когда необходимо предотвратить несанкционированный доступ к ресурсам защищаемого компьютера, разграничить доступ к информации и предотвратить несанкционированную её утечку при попытке обхода средств защиты.

Какие задачи решает:

– идентификация и аутентификация пользователей;

– контроль целостности аппаратной и программной среды компьютера;

– защита от несанкционированной загрузки ОС со съемных носителей;

– регистрация попыток доступа к компьютеру и иных событий безопасности;

– блокировка компьютера при попытке несанкционированного доступа или нарушении целостности программных или аппаратных компонентов;

– присутствует функция контроля работоспособности компонентов комплекса.

Внедрив «Соболь», заказчик сможет разграничить доступ пользователей к информации и компьютерам, предотвратить несанкционированную загрузку операционной системы со съемных носителей и последующую утечку информации, а механизм контроля целостности позволит контролировать неизменность программно-аппаратной среды компьютера.

Технические особенности

Электронный замок «Соболь» реализуется аппаратно-программным путём: он состоит из платы и программного обеспечения. «Соболь» может применяться для защиты как автономных компьютеров, так и компьютеров и серверов, входящих в состав локальной вычислительной сети предприятия.

Программно-аппаратный модуль «Соболь» перехватывает момент загрузки операционной системы и продолжает её загрузку только после того, как пользователь предъявит свой идентификатор и будет проведена проверка целостности системы.

Контроль целостности имеет 2 режима функционирования:

– жесткий – запрет загрузки ОС и доступа к устройствам при нарушении целостности, регистрация факта нарушения целостности в журнале;

– мягкий – разрешение загрузки операционной системы и фиксация факта нарушения целостности в журнале.

Защита от несанкционированной загрузки операционной системы со съемных носителей реализуется путём блокировки доступа к устройствам чтения внешних носителей и USB-устройствам до момента загрузки штатной ОС, установленной на защищаемом компьютере. Доступ к устройствам восстанавливается при успешной загрузке штатной операционной системы, установленной на защищаемом компьютере.

Аппаратный датчик случайных чисел, входящий в состав модуля доверенной загрузки «Соболь» может применяться в СКЗИ для генерации надёжных ключей шифрования. Аппаратная часть комплекса исполняется в виде плат различных стандартов, начиная отPCIи заканчиваяMINI-PCI-E. Электронный замок совместим с 64-битными версиями ОСWindows.

Электронный замок «Соболь» можно применять как автономное средство защиты, так и средство защиты, функционирующее в режиме совместного использования с другими решениями компании «Код безопасности».

При использовании «Соболя» совместно с другими решениями, часть функций управления «Соболем» передаётся на то средство защиты информации, совместно с которым он функционирует.

Основными этапами внедрения комплекса являются: установка программного обеспечения и платы, инициализация комплекса и его настройка. В результате внедрения заказчик получает дополнительный контроль над доступом сотрудников к ресурсам компьютеров и исключение несанкционированной загрузки операционной системы (как штатной, так и загружаемой со съемных носителей).

Система защиты информации Страж NT

Система защиты информации «Страж NT» (версия 3.0) предназначена для комплексной и многофункциональной защиты информационных ресурсов от несанкционированного доступа в многопользовательских автоматизированных системах на базе персональных ЭВМ. СЗИ «Страж NT» (версия 3.0) может применяться как на автономных рабочих местах, так и на рабочих станциях и серверах в составе локальной вычислительной сети. Отсутствие аппаратной составляющей позволяет применять СЗИ на компьютерах недесктопного исполнения (ноутбуки, сервера, промышленные компьютеры).

В СЗИ «Страж NT» (версия 3.0) реализованы следующие подсистемы и защитные механизмы:

– Строгая двухфакторная аутентификация до загрузки операционной системы с использованием аппаратных идентификаторов.

– Дискреционный и мандатный принципы разграничения доступа пользователей к ресурсам системы.

– Замкнутая программная среда для пользователей.

– Регистрация событий, в том числе и действий администратора.

– Маркировка печатных документов, независимо от приложения, выдающего их на печать.

– Гарантированное стирание освобождаемой оперативной памяти и удаляемых ресурсов системы.

– Контроль целостности критических ресурсов системы и компонентов системы защиты.

– Управление пользователями.

– Управление носителями информации.

– Преобразование информации на отчуждаемых носителях.

– Управление устройствами.

– Тестирование механизмов системы защиты.

«Страж NT» (версия 3.0) имеет сертификат ФСТЭК России, который позволяет использовать ее при создании автоматизированных систем до класса защищенности 1Б включительно и для защиты информации в ИСПДн до 1 класса включительно.

Обновленный 64-х разрядный релиз СЗИ «Страж NT» прошел летом 2022 года инспекционный контроль ФСТЭК России, подтвердивший соответствие СЗИ выданному ранее сертификату №2145. В обновленном релизе СЗИ «Страж NT» добавлена поддержка 64-х разрядных операционных систем MicrosoftWindows XP, WindowsServer 2003, WindowsVista, WindowsServer 2008, Windows 7 и WindowsServer 2008 R2.

Программно-аппаратная система защиты информации SecretNet

SecretNet является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие требованиям регулирующих документов:

– №98-ФЗ (“О коммерческой тайне”)

– №152-ФЗ (“О персональных данных”)

– №5485-1-ФЗ (“О государственной тайне”)

– СТО БР (Стандарт Банка России)

Сертификаты ФСТЭКРоссии позволяют использовать СЗИ от НСД SecretNet для защиты:

– конфиденциальной информации и государственной тайны в автоматизированных системах до класса 1Б включительно;

– информационных систем персональных данных до класса К1 включительно.

Расширен список операционных систем, добавлена поддержка 64-битных платформ.

Упрощен аудит безопасности за счет реализации возможности групповых операций с журналами. В программе управления отображаются зарегистрированные журналы от нескольких компьютеров по различным критериям событий безопасности.

Улучшена информативность программы оперативного управления (“Монитор”) – реализована возможность отображения состояния защитных подсистем на клиентских рабочих станциях.

Добавлена поддержка персональных идентификаторов Rutoken, USB-ключи eToken PRO (Java), смарт-карты eToken PRO (Java), смарт-карты eToken PRO.

Исключено шифрование данных.

Возможности SecretNet 6:

– Аутентификация пользователей.

– Обеспечение разграничения доступа к защищаемой информации и устройствам.

– Доверенная информационная среда.

– Контроль каналов распространения конфиденциальной информации.

– Контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации.

– Централизованное управление политиками безопасности, позволяет оперативно реагировать на события НСД.

– Оперативный мониторинг и аудит безопасности.

– Масштабируемая система защиты, возможность применения SecretNet (сетевой вариант) в организации с большим количеством филиалов.

Варианты развертывания SecretNet 6:

Автономный режим – предназначен для защиты небольшого количества (до 20-25) рабочих станций и серверов. При этом каждая машина администрируется локально.

Сетевой режим (с централизованным управлением) – предназначен для развертывания в доменной сети c ActiveDirectory. Данный вариант имеет средства централизованного управления и позволяет применить политики безопасности в масштабах организации. Сетевой вариант SecretNetможет быть успешно развернут в сложной доменной сети (domaintree/forest).

Программное СЗИ «Электронный замок «eLock» предназначено для защиты ресурсов персонального компьютера от НСД при загрузке.
В СЗИ «eLock» реализованы следующие функции защиты:

– идентификация и аутентификация пользователя до загрузки операционной системы (ОС);

– проверка ключевой идентификационной информации, хранящейся на внешних носителях (модификации Floppy и USB);

– остановка загрузки ОС при неуспешной идентификации и/или аутентификации;

– блокировка компьютера после трех неуспешных попыток аутентификации;

– регистрация событий в журнале учета (тип, имя пользователя, дата и время возникновения события);

– контроль целостности исполняемых модулей СЗИ «eLock 3.0.5002.0» и блокировка загрузки компьютера в случае ее нарушения;

– поддержка полномочий привилегированных (супервизора, администратора) и обычных (до восьми) пользователей;

– изменение PIN-кода доступа к USB- ключам и PIN-кодов USB- ключей;

– реализация загрузки только с устройства жесткого диска и блокировка клавиатуры при загрузке ОС.

Подсистема регистрации предназначена для регистрации входов в СЗИ «eLock», регистрации идентификации и аутентификации пользователей, регистрации изменения личного пароля администратора и пользователя, регистрации случаев блокировки компьютера, регистрации действий администратора по редактированию списка пользователей и регистрации очистки журнала.
При установке «eLock» записывается в постоянно запоминающее устройство персонального компьютера, где располагается его базовая система ввода-вывода (BIOS). Данной СЗИ от НСД состоит из модуля реализации функций защиты и интерфейса СЗИ «eLock», и модуля реализующего работу с флэш-памятью ПЭВМ (неверная установка СЗИ может повредить базовую систему ввода-вывода, что приведет к потере работоспособности ПЭВМ).

Система защиты информации «DallasLock»

Система защиты информации от несанкционированного доступа(СЗИ от НСД)DallasLockпредставляет собой программный комплекс для обеспечения безопасности хранения и обработки данных в ОС семейства Windows.

СЗИ от НСДDallasLockпредназначается для:

– разграничения доступа к информационным ресурсам и подключаемым устройствам;

– аудита действий пользователей, санкционированных и без соответствующих прав;

– централизованного управления механизмами безопасности;

– приведения АС, ГИС и обработки ПДн в соответствие требованиям законодательства по защите информации.

Версии СЗИ от НСД Dallas Lockпредставляют собой линейку сертифицированных решений для использования при создании комплексной системы защиты в автоматизированных системах до класса 1Б включительно и в информационных системах персональных данных до 1-го уровня включительно.

СЗИ от НСД Dallas Lockявляется полностью программным средством с возможностью подключения аппаратных идентификаторов, что обеспечивает ей реализацию двухфакторной аутентификации, присущей системам с повышенной сложностью. В то же время аппаратная идентификация обязательной не является.

Возможна установкаактуальных версий на персональных компьютерах, портативных и мобильных компьютерах(ноутбуках и планшетных ПК), серверах(файловых, контроллерах домена и терминального доступа), также поддерживает виртуальные среды (Приложение В).

Преимущества:

– Настройка параметров безопасности собственными механизмами, полностью независимыми от ОС.

– Быстрое внедрение и эффективное управление многоуровневой системой защиты для распределенных конфигураций информационных сетей.

– Совместимость с другими технологиями и продуктами по защите информации(антивирусами, межсетевыми экранами, VPN, криптопровайдерами, IDS/IPS) и прикладным ПО.

– Широкий набор дополнительного функционала(помимо базовых требований РД).

– Оптимальная совокупная стоимость владения — от первичного приобретения до внедрения и сопровождения.

Возможности:

Архитектура СЗИ от НСД Dallas Lock включает в себя основные и дополнительные подсистемы, в том числе с уникальным функционалом.

– Аутентификация и разграничение доступа.

– Двухфакторная авторизация по паролю заданной сложности и аппаратному идентификатору.

– Дискреционный и мандатный принципы разграничения прав пользователей на доступ к глобальным, локальным и сетевым ресурсам файловой системы и подключаемым устройствам. Организация замкнутой программной среды и дополнительные механизмы ее настройки.

– Регистрация и учет действий пользователей.

– Настройка аудита и ведение журналов регистрации событий.

– Возможность фильтрации записей, экспорт и архивирование.

– Добавление штампа на распечатываемые документы.

– Контроль целостности.

– Обеспечение контроля целостности файловой системы, программно-аппаратной среды и реестра.

– Блокировка загрузки компьютера при выявлении изменений.

– Очистка остаточной информации.

– Объединение и управление защищенными компьютерами с помощью модуля«Сервер безопасности».

– Объединение нескольких Серверов безопасности в единый Лес безопасности с помощью модуля «Менеджер серверов безопасности».

– Дополнительные подсистемы и механизмы.

– Механизм преобразования данных в файл-контейнер.

– Механизм прозрачного преобразования жесткого диска.

– Модуль доверенной загрузки ПК уровня загрузочной записи.

– Задание списка расширений файлов, работа с которыми будет блокирована.

– Использование собственной графической оболочки для организации рабочего стола с ярлыками только необходимых программ.

– Подсистема самодиагностики функционала с формированием отчета.

– Удаленное администрирование и др.

Межсетевой экран(другие названия брандмауэр, фаервол) – это комплекс аппаратных и программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.(защитный барьер между компьютером и сетью, к которой он подключен).

Портэто идентифицируемый определенным номером системный ресурс, выделяемый приложению, которое выполняется на некотором сетевом хосте (компьютер или другое сетевое устройство), для связи с приложениями, которые выполняются на других сетевых хостах (в том числе c другими приложениями на этом же хосте). Есть много тысяч таких портов и у каждого есть свой уникальный номер.

Наиболее часто используемыми портами во всемирной сети являются:

1. 80 — порт для загрузки web-страниц;

2. 110 — используется по умолчанию для загрузки электронной почты;

3. 25 — используется по умолчанию для отправки электронной почты.

Суть брандмауэра в том, чтобызакрыть порты, которые не используются. В противном случае через них злоумышленник или вредоносная программа (вирус, троян) могут проникнуть в ПК.

Рисунок 7. Расположение сетевого экрана (Firewall) в сети.

Виды межсетевых экранов

Брандмауэры можно поделить на две простые категории: аппаратные и программные. Аппаратным фаерволом может быть маршрутизатор, который находиться между ПК и сетью Интернет. В таком случае к нему можно подключить несколько компьютеров и все они будут защищены брандмауэром, который является частью маршрутизатора. Программный межсетевой экран — это специализированное ПО, которое пользователь устанавливает себе на компьютер.

Типичные возможности:

– фильтрация доступа к заведомо незащищенным службам;

– препятствование получению закрытой информации из защищенной подсети, а также внедрению в защищенную подсеть ложных данных с помощью уязвимых служб;

– контроль доступа к узлам сети;

– может регистрировать все попытки доступа как извне, так и из внутренней сети, что позволяет вести учёт использования доступа в Интернет отдельными узлами сети;

– регламентирование порядка доступа к сети;

– уведомление о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран;

Следует отметить, что использование фаервола увеличивает время отклика и снижает пропускную способность, поскольку фильтрация происходит не мгновенно.

Проблемы, не решаемые фаерволом:

– Межсетевой экран сам по себе не панацея от всех угроз для сети. В частности, онне защищает узлы сети от проникновения через «люки» (backdoors) или уязвимости ПО;

– не обеспечивает защиту от многих внутренних угроз, в первую очередь — утечки данных;

– не защищает от загрузки пользователями вредоносных программ, в том числе вирусов;

Для решения последних двух проблем используются соответствующие дополнительные средства, в частности, антивирусы. Обычно они подключаются к фаерволу и пропускают через себя соответствующую часть сетевого трафика, работая как прозрачный для прочих сетевых узлов прокси, или же получают с фаервола копию всех пересылаемых данных. Однако такой анализ требует значительных аппаратных ресурсов, поэтому обычно проводится на каждом узле сети самостоятельно.

ALTELL NEO — российские аппаратные межсетевые экраны нового поколения, сертифицированные ФСТЭК на самые высокие классы защиты. Главная особенность этих устройств — сочетание возможностей фильтрации трафика с функциями построения защищенных каналов связи (VPN), обнаружения и предотвращения вторжений (IDS/IPS) и контент-фильтрации (антивирусы, веб- и спам-фильтры, контроль приложений), что обеспечивает полное соответствие современной концепции унифицированной защиты сети (UnifiedThreatManagement, UTM, шлюз безопасности).

Рисунок 8. Аппаратный межсетевой экран ALTELL NEO

Преимущества ALTELL NEO:

– Полное соответствие требованиям российского законодательства в области ИБ (сертификаты ФСТЭК и ФСБ);

– Широкий модельный ряд (небольшие и средние организации/холдинги/ЦОДы);

– Богатые функциональные возможности (FW, VPN, IDPS, антивирусный шлюз, почтовый фильтр, веб-фильтр);

– Открытые цены, наилучшее соотношение Мбит/руб.;

– Низкая совокупная стоимость владения (у младших моделей — 0 рублей);

– Модульная архитектура аппаратной и программной составляющих (3 варианта системного ПО:FW, VPN, UTM, дополнительные модули и опции);

– Высокая производительность, быстрое шифрование ГОСТ 28147-89;

– Разнообразие интерфейсов: 1/10 GbE (RJ45, SFP, SFP ), E1/T1, QDR 40 GbE (InfiniBand);

– Контроль приложений в реальном времени (L7-filtering);

– Работа в конвергентных сетях (данные, голос, видео);

– Поддержка режима динамической маршрутизации (RIP, OSPF, BGP);

– Простое управление с использованием командной строки, полноценного веб-интерфейса и отдельной системы мониторинга и управления;

– Встроенный учет трафика;

– Бесплатная трехлетняя гарантия работоспособности устройства;

– Бесплатная годовая техническая поддержка;

– Автоматическое обновление в режиме PUSH;

– Возможно использование отечественного UEFI BIOS (сейчас используется в NEO 100);

– Русскоязычная техническая поддержка, подробная документация (3060 страниц).

Широкий модельный ряд ALTELL NEO позволяет удовлетворить запросы любой организации: от небольшой компании или регионального филиала до штаб-квартиры крупного территориально-распределенного холдинга или центра обработки данных. Модельный ряд ALTELL NEO приложение Г.

Одним из преимуществ устройств ALTELL NEO является их универсальность. В зависимости от варианта системного ПО (FW, VPN, UTM) они могут использоваться как межсетевой экран, маршрутизатор, криптошлюз, антивирусный шлюз, система обнаружения вторжений или веб-фильтр, а также выполнять все эти функции одновременно в качестве унифицированного шлюза безопасности (с вариантом ПО UTM). Таким образом, защита компьютерных сетей может быть обеспечена с помощью одного устройства. (приложение Д)

Устройства ALTELL NEO обладают всеми необходимыми сертификатами для использования в качестве средства защиты информации.

Рисунок 9. Возможности ALTELL NEO

Возможности:

– Защита локальной сети от нежелательного трафика;

– Обеспечение дифференцированных политик доступа к сети Интернет;

– Защита корпоративной сети от спама и вредоносного ПО;

– Разделение доступа к сегментам корпоративной сети, выделение сегментов ИСПДн и DMZ;

– Обнаружение и предотвращение вторжений (защита компьютерных сетей от хакерских атак);

– Обеспечение стабильности приоритетных соединений независимо от остальной нагрузки;

– Учет трафика и протоколирование соединений;

– Балансировка нагрузки между несколькими провайдерами;

– Создание отказоустойчивых кластерных решений;

– Объединение локальных сетей филиалов в единую защищенную корпоративную сеть;

– Защищенное подключение удаленных и мобильных пользователей к корпоративной сети;

– Блокировка нежелательных протоколов прикладного уровня;

– Защита корпоративной сети от DoS-атак.

Организационно-экономическое обоснование

Экономическая часть

В связи с массовым внедрением компьютеров во все сферы деятельности человека объем информации, которая хранится в электронном виде, вырос в тысячи раз, а с появлением компьютерных сетей даже отсутствие физического доступа к компьютеру не дает гарантии сохранности информационных ресурсов. Все больше появляется специализированных средств защиты информации, которые ориентированы на решение, как правило, только одной задачи обеспечения безопасности системы или в редких случаях, некоторого ограниченного набора задач. Так, организациям, чтобы оградить себя от “компьютерных” преступлений приходится реализовывать целый набор мер. Расширение применения современных информационных технологий делает возможным распространение различных злоупотреблений, связанных с использованием вычислительной техники.

В качестве межсетевого экрана для офиса «Мегафон» будут рассматриваться разработки следующих компаний-производителей аппаратных средств защиты периметра:

– IBM;

– D-link;

– Cisco.

В результате выбора среди продуктов от каждой фирмы можно выделить продукты D-link DFL-260, IBM Proventia Network IPS и Cisco 1801/K9. Стоит отметить, что в выборе участвовал показатель «Цена», потому что необходимо экономическое обоснование выбора того или иного продукта. Данное значение этого показателя учитывается в итоговом подсчете преимуществ. С этой целью приводится сравнительная таблица по основным характеристикам 3-х отобранных МЭ приложение Е.

Круг возможных потребителей:

– Небольшие компании с локальной сетью;

– Учебные учреждения (школы, техникумы, институты);

– Небольшие офисы, магазины.

Для больших предприятий подходит межсетевой экран ALTELL NEO он был описан в главе практическое применение методов и средств сетевой безопасности. Так как офис «Мегафон» небольшой, рассмотрим сетевой экран D-link DFL-260.

Круг возможных конкурентов:

– IBM ProventiaNetwork IPS;

– Cisco 1801/K9.

2.1 Затраты на внедрение межсетевого экрана

Таблица 2. Затраты на оборудование

2.2 Расчет заработной платы

Таблица 3. Расчет заработной платы

Таблица 4. Заработная плата

Трудоемкость производства

Таблица 5. Расчет трудоемкости

Предполагаемая прибыль от межсетевого экрана D-link DFL-260 за 5 месяцев

= 880.000, с лицензией 1080000.

Таблица 6. Расчет прибыли от МЭ за 5 месяцев

Таблица 7. Расчет затрат за 5 месяцев

Предполагаемая прибыль: = доход – затраты = Предполагаемая прибыль

ПП:= 1080000 – 405.450 = 674.550

Вывод

Внедрение продукта межсетевой экран актуально на сегодняшний день, так как даже самая маленькая организация должна быть защищена от НСД. Межсетевые экраны является выгодным продуктом для защиты организаций. Распространение компьютерных систем и объединение их в коммуникационные сети усиливает возможности электронного проникновения в них. Во всех странах мира существует проблема компьютерной преступности, что вызывает необходимость привлечения все большего внимания и сил для организации борьбы с данным видом преступлений.

Возможности D-link DFL-260:

– Мощная система предотвращения атак (IPS);

– Фильтрация Web-содержимого;

– Профессиональная система предотвращения вторжений (IPS);

– Антивирусная (AV) проверка в реальном времени;

– Быстрая и эффективная фильтрация web-содержимого.

– Защита локальной сети от нежелательного трафика;

– Обеспечение дифференцированных политик доступа к сети Интернет;

– Защита корпоративной сети от спама и вредоносного ПО;

Заключение

Сегодня, наверное, никто не сможет с уверенностью назвать точную цифру суммарных потерь от компьютерных преступлений, связанных с несанкционированных доступом к информации. Это объясняется, прежде всего, нежеланием пострадавших компаний обнародовать информацию о своих потерях, а также тем, что не всегда потери от хищения информации можно точно оценить в денежном эквиваленте.

Причин активизации компьютерных преступлений и связанных с ними финансовых потерь достаточно много, существенными из них являются:

– переход от традиционной “бумажной” технологии хранения и передачи сведений на электронную и недостаточное при этом развитие технологии защиты информации в таких технологиях;

– объединение вычислительных систем, создание глобальных сетей и расширение доступа к информационным ресурсам;

– увеличение сложности программных средств и связанное с этим уменьшение их надежности и увеличением числа уязвимостей.

Компьютерные сети, в силу своей специфики, просто не смогут нормально функционировать и развиваться, игнорируя проблемы защиты информации.

В первой главе работы были рассмотрены различные виды угроз и рисков. Угрозы безопасности делятся не естественные и искусственные, а искусственные в свою очередь делятся на непреднамеренные и преднамеренные.

К самым распространенным угрозам относятся ошибки пользователей компьютерной сети, внутренние отказы сети или поддерживающей ее инфраструктуры, программные атаки и вредоносное программное обеспечение.

Меры обеспечения безопасности компьютерных сетей подразделяются на: правовые (законодательные), морально-этические, организационные (административные), физические, технические (аппаратно-программные).

Для защиты локальной или корпоративной сети от атак из глобальной сети применяют специализированные программные средства: брэндмауэры или прокси-серверы. Брэндмауэры – это специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/ транспортного уровней. Прокси-сервер – это сервер-посредник, все обращения из локальной сети в глобальную происходят через него.

Для защиты корпоративной сети во второй главе рассмотрен Аппаратный межсетевой экран ALTELL NEO.Широкий модельный ряд ALTELL NEO позволяет удовлетворить запросы любой организации: от небольшой компании или регионального филиала до штаб-квартиры крупного территориально-распределенного холдинга или центра обработки данных.

Список используемых источников

1. Баженов Р. И. Информационная безопасность и защита информации: практикум. Биробиджан: Изд-во ГОУВПО «ДВГСГА», 2022. 140 с.

2. Баженов Р.И. О методике преподавания метода анализа иерархий в курсе «Информационная безопасность и защита информации» // Современные научные исследования и инновации. 2022. № 4 (36). С. 76.

3. Бикмаева Е.В., Баженов Р.И. Об оптимальном выборе системы защиты информации от несанкционированного доступа // APRIORI. Cерия: Естественные и технические науки. 2022. № 6. С. 5.

4. Затеса А.В. Использование метода анализа иерархий для выбора информационной системы // Экономика, статистика и информатика. Вестник УМО. 2022. № 6. С. 164–167.

5. Ирзаев Г.Х. Экспертный метод аудита безопасности информационных систем Вестник Дагестанского государственного технического университета. Технические науки. 2022. Т.1. № 20. С. 11-15.

6. Комполь В.В., Шиганова В.В., Баженов Р.И. Выбор программной платформы интернет-магазина с помощью метода анализа иерархий // Nauka-Rastudent.ru. 2022. № 11 (11). С. 36.

7. Программные системы поддержки принятия оптимальных решений MPRIORITY 1.0. URL: http://www.tomakechoice.com/mpriority.html

8. Саати Т. Принятие решений. Метод анализа иерархий. М.: Радио и связь, 1993.

9. Савченко И.О. Выбор программного обеспечения для моделирования бизнес-процессов методом анализа иерархий Журнал научных публикаций аспирантов и докторантов. 2022. №6 (84). С. 35–37.

10. Родичев Ю.А. Компьютерные сети: архитектура, технологии, защита : учеб. Пособие для вузов. – Самара : изд-во «Универс-групп», 2006. – 468с. – ISBN 5-467-00067-5.

11. 25 Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях / Под ред. В.Ф. Шаньгина. – 2-е изд., перераб. И доп.-М.: Радио и связь, 2001.-376 с.:ил.

12. 26 Хорев П. Б. Методы и средства защиты информации в компьютерных системах. – М.: Академия, 2006. – 430 с. – ISBN: 5-908916-87-8

13. 27 Хорев П. Б. Программно-аппаратная защита информации: учебное пособие – М.: ИД «Форум», 2022. – 352 с.

14. 28 Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей: учеб. пособие. – М.: ИД «Форум»: ИНФРА-М, 2008. – 416 с.: ил. – (Профессиональное образование).

15. 29 Шаньгин В.Ф. Комплексная защита информации в корпоративных системах: Учебное пособие. – М.: ИД «Форум»: ИНФРА-М, 2022. – 592 с.: ил.

16. 30 Ясенев В.Н. Информационная безопасность в экономических системах: Учебное пособие – Н. Новгород: Изд-во ННГУ, 2006 – 253.

17. Vexler V.A., Bazhenov R.I., Bazhenova N.G. Entity-relationship model of adult education in regional extended education system 2022. Т. 10. № 20. С. 1-14.

18. Li B., Chang X. Application of Analytic Hierarchy Process in the Planning of Energy Supply Network for Electric Vehicles // Energy Procedia. 2022. Т.12. С. 1083-1089.

ИСПД – информационную систему персональных данных

КС – компьютерные сети

МАИ – метод анализа иерархий

МЭ – Межсетевой экран

НСД – Несанкционированный доступ

ОС – операционная система

ПК – персональный компьютер

ПО – программное обеспечение

РД – Руководящий документ

СЗИ – система защиты информации

DOS – Disk Operating System — дисковая операционная систем

RAID – redundant array of independent disks — избыточный массив независимых дисков

Приложение А
Классификация угроз

Приложение Б

Классификация вирусов

Приложение В

Сертификаты соответствия DallasLock

Приложение Г

Модельный ряд ALTELL NEO

Приложение Д

Функции межсетевого экрана ALTELL NEO

Приложение Е

Результаты сравнительного анализа средств межсетевого экранирования