Безопасность информационной системы и методы ее обеспечения

Размещено на http://www.allbest.ru/

2

Размещено на http://www.allbest.ru/

Безопасность информационной системы и методы ее обеспечения

Содержание

информатизация защита межсетевой экран

Технические каналы утечки информации

Межсетевые экраны. Назначение. Принцип действия

Закон РБ «Об информации, информатизации и защите информации». Информация о частной жизни физического лица и персональные данные

Список использованной литературы

Технические каналы утечки информации

Развитие новых информационных технологий и всеобщая компьютеризация привели к тому, что информационная безопасность не только становится обязательной, она еще и одна из характеристик информационной системы. Существует довольно обширный класс систем обработки информации, при разработке которых фактор безопасности играет первостепенную роль (например, банковские информационные системы).

Под безопасностью информационной системы понимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного получения) информации, модификации или физического разрушения ее компонентов. Иначе говоря, это способность противодействовать различным возмущающим воздействиям на информационную систему.

Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

В связи с тем, что ПЭВМ в целом и её составляющие обладают достаточно высокой стоимостью, они могут служить объектами преступных посягательств.

Технические каналы утечки информации - это каналы доступа к информации, возникающие вследствие либо естественных физических явлений, сопровождающих работу информационных объектов, либо создаваемых искусственно нарушителем. Наиболее часто технические каналы используются для овладения компьютерной, акустической, телефонной и визуальной информацией.

Канал побочных электромагнитных излучений и наводок (ПЭМИН). Работа средств вычислительной техники сопровождается электромагнитными излучениями и наводками на соединительные проводные линии, цепи "питания", "земля", возникающими вследствие электромагнитных воздействий в ближней зоне излучения, в которую могут попадать также провода вспомогательной и посторонней аппаратуры. В некоторых случаях информацию, обрабатываемую компьютерами, можно восстановить путем анализа электромагнитных излучений и наводок. В персональном компьютере основными источниками электромагнитных излучений являются устройства ввода и вывода информации совместно с их адаптерами (монитор, принтер, клавиатура, печатающее устройство и т. д. ), а также центральный процессор.

Канал утечки акустической информации. Наиболее простым способом перехвата речевой информации является подслушивание (прямой перехват). Разведываемые акустические сигналы могут непосредственно приниматься ухом человека, реагирующим на изменение звукового давления, возникающего при распространении звуковой волны в окружающем пространстве. В случаях, когда уровни звукового давления, создаваемого звуковой волной, ниже порога слышимости, когда нет возможности непосредственно прослушивать речевые сообщения или когда требуется их зафиксировать (записать), используют микрофоны и радиомикрофоны. Микрофон является преобразователем акустических колебаний в электрические сигналы, а радиопередатчик позволяет передавать эти сигналы на значительные расстояния.

Кроме того, если источник акустической информации находится внутри помещения, то акустическая информация может быть перехвачена с помощью электронного стетоскопа. Акустические колебания источника возбуждают в ограждающих конструкциях помещения (стенах, полу, потолке) микроскопические вибрации, эти вибрации улавливаются и преобразуются в электрические сигналы. Электронный стетоскоп представляет собой вибродатчик, усилитель, оконечное устройство.

Вибродатчик - преобразователь вибрации в электрический сигнал. Вибродатчик прикрепляется к стене, потолку, можно в соседней комнате. Размеры несколько см., вес десятки-сотни граммов, коэффициент усиления десятки тысяч. Может соединяться с наушниками, записывающей аппаратурой, с передатчиком.

Канал утечки телефонной информации. Канал утечки речевой информации, передаваемой по телефонным каналам связи, возникает за счет несанкционированного подключения злоумышленника к проводным линям связи или за счет перехвата сообщений, передаваемых по радиоканалу. Подключение к проводным линям связи может быть контактным и бесконтактным. В качестве оконечных устройств используют специальные магнитофоны, включающиеся по командам (ключевое слово, появление сигнала, команда управления). Часто записывающее устройство может находиться на расстоянии. В этом случае используется телефонный ретранслятор, представляющий собой радиопередатчик, питающийся от телефонной сети. Телефонные ретрансляторы могут быть закамуфлированы под различные элементы телефонной сети: розетка, конденсатор, фильтр, реле, и т.д. Дальность действия несколько сот метров. Для перехвата сообщений, передаваемых по радиоканалу, используется сканирующий приемник, компьютер со специальным программным обеспечением.

Канал утечки визуальной информации. Визуальная информация может быть перехвачена с помощью оптической аппаратуры с большого расстояния (с искусственных спутников земли, с удаленных наблюдательных пунктов), а также с помощью миниатюрной аппаратуры в непосредственной близи от источника информации (фотоаппарат, видеокамера).

Межсетевые экраны. Назначение. Принцип действия

Интенсивное развитие ресурсов компьютерных сетей, появление новых технологий поиска информации привлекают все большее внимание к сети Интернет со стороны частных лиц и различных организаций. Многие организации принимают решения по интеграции своих локальных и корпоративных сетей в Интернет. Использование Интернета в коммерческих целях, а также при передаче информации, содержащей сведения конфиденциального характера, влечет за собой необходимость построения эффективной системы защиты данных. Использование ресурсов сети Интернет обладает неоспоримыми достоинствами, но, как и многие другие новые технологии, имеет и свои недостатки. Развитие ресурсов привело к многократному увеличению количества не только пользователей, но и атак на компьютеры, подключенные к Интернету. Ежегодные потери из-за недостаточного уровня защищенности компьютеров оцениваются десятками миллионов долларов. Поэтому при подключении к Интернету локальной или корпоративной сети необходимо позаботиться об обеспечении ее информационной безопасности. Основным элементом обеспечения информационной безопасности, блокирующей несанкционированный доступ в корпоративную сеть, является межсетевой экран. Так же МЭ называют firewall и брандмауэр. Межсетевой экран устанавливается на стыке между внутренней и внешней сетями и функции противодействия несанкционированному межсетевому доступу берет на себя. Для противодействия несанкционированному межсетевому доступу брандмауэр должен располагаться между защищаемой сетью организации, являющейся внутренней, и потенциально враждебной внешней сетью (рис.5. 1). При этом все взаимодействия между этими сетями должны осуществляться только через межсетевой экран. Организационно экран входит в состав защищаемой сети. Брандмауэр не является симметричным. Для него отдельно задаются правила, ограничивающие доступ из внутренней сети во внешнюю сеть и наоборот. В общем случае работа межсетевого экрана основана на динамическом выполнении двух групп функций: фильтрации проходящих через него информационных потоков; посредничества при реализации межсетевых взаимодействий.

В зависимости от типа экрана эти функции могут выполняться с различной полнотой. Простые межсетевые экраны ориентированы на выполнение только одной из данных функций. Комплексные экраны обеспечивают совместное выполнение указанных функций защиты. Собственная защищенность брандмауэра достигается с помощью тех же средств, что и защищенность универсальных систем.

Чтобы эффективно обеспечивать безопасность сети, комплексный брандмауэр обязан управлять всем потоком, проходящим через него, и отслеживать свое состояние. Для принятия управляющих решений по используемым сервисам межсетевой экран должен получать, запоминать, выбирать и обрабатывать информацию, полученную от всех коммуникационных уровней и от других приложений. Недостаточно просто проверять пакеты по отдельности.

Устройство, подобное межсетевому экрану, может использоваться и для защиты отдельного компьютера. В этом случае экран, уже не являющийся межсетевым, устанавливается на защищаемый компьютер. Такой экран, называемый брандмауэром компьютера или системой сетевого экранирования, контролирует весь исходящий и входящий трафик независимо от всех прочих системных защитных средств. При экранировании отдельного компьютера поддерживается доступность сетевых сервисов, но уменьшается или вообще ликвидируется нагрузка, индуцированная внешней активностью. В результате снижается уязвимость внутренних сервисов защищаемого таким образом компьютера, поскольку первоначально сторонний злоумышленник должен преодолеть экран, где защитные средства сконфигурированы особенно тщательно и жестко.

Фильтрация информационных потоков состоит в их выборочном пропускании через экран, возможно, с выполнением некоторых преобразований и извещением отправителя о том, что его данным в пропуске отказано. Фильтрация осуществляется на основе набора правил, предварительно загруженных в экран и являющихся выражением сетевых аспектов принятой политики безопасности. Поэтому межсетевой экран удобно представлять как последовательность фильтров, обрабатывающих информационный поток. Каждый из фильтров предназначен для интерпретации отдельных правил фильтрации путем выполнения следующих стадий: анализа информации по заданным в интерпретируемых правилах критериям, например, по адресам получателя и отправителя или по типу приложения, для которого эта информация предназначена; принятия на основе интерпретируемых правил одного из следующих решений: не пропустить данные; обработать данные от имени получателя и возвратить результат отправителю.

Правила фильтрации могут задавать и дополнительные действия, которые относятся к функциям посредничества, например, преобразование данных, регистрация событий и др. Соответственно правила фильтрации определяют перечень условий, по которым с использованием указанных критериев анализа осуществляется: разрешение или запрещение дальнейшей передачи данных; выполнение дополнительных защитных функций.

В качестве критериев анализа информационного потока могут использоваться следующие параметры: служебные поля пакетов сообщений, содержащие сетевые адреса, идентификаторы, адреса интерфейсов, номера портов и другие значимые данные; непосредственное содержимое пакетов сообщений, проверяемое, например, на наличие компьютерных вирусов; внешние характеристики потока информации, например, временные, частотные характеристики, объем данных и т. д.

Используемые критерии анализа зависят от уровней модели OSI, на которых осуществляется фильтрация. В общем случае, чем выше уровень модели OSI, на котором брандмауэр фильтрует пакеты, тем выше и обеспечиваемый им уровень защиты.

Функции посредничества межсетевой экран выполняет с помощью специальных программ, называемых экранирующими агентами или просто программами-посредниками. Данные программы являются резидентными и запрещают непосредственную передачу пакетов сообщений между внешней и внутренней сетью.

При необходимости доступа из внутренней сети во внешнюю сеть или наоборот вначале должно быть установлено логическое соединение с программой-посредником, функционирующей на компьютере экрана. Программа-посредник проверяет допустимость запрошенного межсетевого взаимодействия и при его разрешении сама устанавливает отдельное соединение с требуемым компьютером. Далее обмен информацией между компьютерами внутренней и внешней сети осуществляется через программного посредника, который может выполнять фильтрацию потока сообщений, а также осуществлять другие защитные функции.

Функции фильтрации межсетевой экран может выполнять без применения программ-посредников, обеспечивая прозрачное взаимодействие между внутренней и внешней сетью. Вместе с тем программные посредники могут и не осуществлять фильтрацию потока сообщений.

В общем случае экранирующие агенты, блокируя прозрачную передачу потока сообщений, могут выполнять следующие функции: идентификацию и аутентификацию пользователей; проверку подлинности передаваемых данных; разграничение доступа к ресурсам внутренней сети; разграничение доступа к ресурсам внешней сети; фильтрацию и преобразование потока сообщений, например, динамический поиск вирусов и прозрачное шифрование информации; трансляцию внутренних сетевых адресов для исходящих пакетов сообщений; регистрацию событий, реагирование на задаваемые события, а также анализ зарегистрированной информации и генерацию отчетов; кэширование данных, запрашиваемых из внешней сети.

Идентификация и аутентификация пользователей необходима не только при их доступе из внешней сети во внутреннюю, но и наоборот. Распространенным способом аутентификации является использование одноразовых паролей. Пароль не должен передаваться в открытом виде через общедоступные коммуникации. Это предотвратит получение несанкционированного доступа путем перехвата сетевых пакетов, что возможно, например, в случае стандартных сервисов типа Telnet. Удобно и надежно также применение цифровых сертификатов, выдаваемых доверительными органами, например центром распределения ключей. Большинство программ-посредников разрабатываются таким образом, чтобы пользователь аутентифицировался только в начале сеанса работы с межсетевым экраном. После этого от него не требуется дополнительная аутентификация в течение времени, определяемого администратором.

Проверка подлинности получаемых и передаваемых данных необходима не только для аутентификации электронных сообщений, но и мигрирующих программ (Java, ActiveX Controls), по отношению к которым может быть выполнен подлог. Проверка подлинности сообщений и программ заключается в контроле их цифровых подписей. Для этого также могут применяться цифровые сертификаты.

Разграничение доступа к ресурсам внутренней или внешней сети. Способы разграничения к ресурсам внутренней сети ничем не отличаются от способов разграничения, поддерживаемых на уровне операционной системы. При разграничении доступа к ресурсам внешней сети чаще всего используется один из следующих подходов:

- разрешение доступа только по заданным адресам во внешней сети;

- фильтрация запросов на основе обновляемых списков недопустимых адресов и блокировка поиска информационных ресурсов по нежелательным ключевым словам;

- накопление и обновление администратором санкционированных информационных ресурсов внешней сети в дисковой памяти брандмауэра и полный запрет доступа во внешнюю сеть.

Фильтрация и преобразование потока сообщений выполняется посредником на основе заданного набора правил. Здесь следует различать два вида программ посредников: экранирующие агенты, ориентированные на анализ потока сообщений для определенных видов сервиса, например, FTP, HTTP, Telnet; универсальные экранирующие агенты, обрабатывающие весь поток сообщений, например, агенты, ориентированные на поиск и обезвреживание компьютерных вирусов или прозрачное шифрование данных.

Программный посредник анализирует поступающие к нему пакеты данных, и если какой-либо объект не соответствует заданным критериям, то посредник либо блокирует его дальнейшее продвижение, либо выполняет соответствующие преобразования, например, обезвреживание обнаруженных компьютерных вирусов. При анализе содержимого пакетов важно, чтобы экранирующий агент мог автоматически распаковывать проходящие файловые архивы.

Брандмауэры с посредниками позволяют также организовывать защищенные виртуальные сети (Virtual Private Network -- VPN), например, безопасно объединить несколько локальных сетей, подключенных к Internet, в одну виртуальную сеть. VPN обеспечивают прозрачное для пользователей соединение локальных сетей, сохраняя секретность и целостность передаваемой информации путем ее динамического шифрования. При передаче по Internet возможно шифрование не только данных пользователей, но и служебной информации -- конечных сетевых адресов, номеров портов и т. д.

Для эффективной защиты межсетевого взаимодействия система FireWall должна быть правильно установлена и сконфигурирована. Данный процесс осуществляется путем последовательного выполнения следующих этапов: разработки политики межсетевого взаимодействия; определения схемы подключения, а также непосредственного подключения межсетевого экрана; настройки параметров функционирования брандмауэра.

Перечисленные этапы отражают системный подход к установке любого программно-аппаратного средства, предполагающий, начиная с анализа, последовательную детализацию решения стоящей задачи.

Политика межсетевого взаимодействия является той частью политики безопасности в организации, которая определяет требования к безопасности информационного обмена с внешним миром. Данные требования обязательно должны отражать два аспекта: политику доступа к сетевым сервисам; политику работы межсетевого экрана.

Политика доступа к сетевым сервисам определяет правила предоставления, а также использования всех возможных сервисов защищаемой компьютерной сети. Соответственно в рамках данной политики должны быть заданы все сервисы, предоставляемые через сетевой экран, и допустимые адреса клиентов для каждого сервиса. Кроме того, должны быть указаны правила для пользователей, описывающие, когда и какие пользователи каким сервисом и на каком компьютере могут воспользоваться. Отдельно определяются правила аутентификации пользователей и компьютеров, а также условия работы пользователей вне локальной сети организации. Политика работы межсетевого экрана задает базовый принцип управления межсетевым взаимодействием, положенный в основу функционирования брандмауэра. Может быть выбран один из двух таких принципов: запрещено все, что явно не разрешено; разрешено все, что явно не запрещено. В зависимости от выбора, решение может быть принято как в пользу безопасности в ущерб удобству использования сетевых сервисов, так и наоборот. В первом случае межсетевой экран должен быть сконфигурирован таким образом, чтобы блокировать любые явно не разрешенные межсетевые взаимодействия. Учитывая, что такой подход позволяет адекватно реализовать принцип минимизации привилегий, он, с точки зрения безопасности, является лучшим. Здесь администратор не сможет по забывчивости оставить разрешенными какие-либо полномочия, так как по умолчанию они будут запрещены. Доступные лишние сервисы могут быть использованы во вред безопасности, что особенно характерно для закрытого и сложного программного обеспечения, в котором могут быть различные ошибки и некорректности. Принцип "запрещено все, что явно не разрешено", в сущности, является признанием факта, что незнание может причинить вред.

При выборе принципа "разрешено все, что явно не запрещено" межсетевой экран настраивается таким образом, чтобы блокировать только явно запрещенные межсетевые взаимодействия. В этом случае повышается удобство использования сетевых сервисов со стороны пользователей, но снижается безопасность межсетевого взаимодействия. Администратор может учесть не все действия, которые запрещены пользователям. Ему приходится работать в режиме реагирования, предсказывая и запрещая те межсетевые взаимодействия, которые отрицательно воздействуют на безопасность сети.

Таким образом, при реализации средств межсетевого экранирования, мы приобретаем универсальную технологию, которая будет обеспечивать функции защиты ресурсов лаборатории от внутренних и внешних угроз, а кроме этого это программно-техническое средство обучения.

Закон РБ «Об информации, информатизации и защите информации». Информация о частной жизни физического лица и персональные данные

Статья 18 Закона Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации» говорит нам следующее Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации».:

Никто не вправе требовать от физического лица предоставления информации о его частной жизни и персональных данных, включая сведения, составляющие личную и семейную тайну, тайну телефонных переговоров, почтовых и иных сообщений, касающиеся состояния его здоровья, либо получать такую информацию иным образом помимо воли данного физического лица, кроме случаев, установленных законодательными актами Республики Беларусь.

Сбор, обработка, хранение информации о частной жизни физического лица и персональных данных, а также пользование ими осуществляются с согласия данного физического лица, если иное не установлено законодательными актами Республики Беларусь.

Порядок получения, передачи, сбора, обработки, накопления, хранения и предоставления информации о частной жизни физического лица и персональных данных, а также пользования ими устанавливается законодательными актами Республики Беларусь.

Отличительной особенностью хищения информации стала скрытность этого процесса, в результате чего жертва может не догадываться о происшедшем.

Необходимо помнить, что все враждебные (реальные и возможные) воздействия на информацию могут иметь не шуточные последствия. Можно привести массу примеров воздействия компьютерных вирусов, программных закладок на информацию, и не только, к ним можно с уверенностью добавить действия хакеров. Помните, что защитить информацию может только сам пользователь. Для этого нужно правильно организовать работу и ограничить доступ к ценной информации, принять все меры для предотвращения ее утечки.

Число уязвимостей и использующих их атак растет с каждым годом. Злоумышленники постоянно ищут новые способы проникновения в информационные системы, и пользователи должны понимать, что недооценка способностей хакеров может привести к очень печальным последствиям. Одной из важнейших составляющих политики безопасности является поиск потенциально опасных мест в системе защиты. Обнаружение угрозы уже процентов на семьдесят предопределяет ее уничтожение.

Список использованной литературы

1. Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации».

2. Варлатая С.К., Шаханова М.В. «Аппаратно-программные средства и методы защиты информации.» - Владивосток: 2007. - 317 с.

3. Домарев А.В. «Безопасность информационных технологий. Методология создания систем защиты.» - М.: 2008. - 165 с.

4. Косарев В.П., Еремина Л.В. «Экономическая информатика» - М: Финансы и статистика, 2002 - 592 с.

5. Куприянов А.И., Сахаров А.В., Шевцов В.А. «Основы защиты информации» - М.: 2008. - 247 с.

6. Максимов В. «Межсетевые экраны. Способы организации защиты»; М.: Журнал "КомпьютерПресс" №3, 2003.

7. Трофимов В.В. «Информационные технологии» - М.: Издательство Юрайт ; ИД Юрайт, 2011. -- 624 с.

Размещено на Allbest