Система інформаційної безпеки Сумської митниці та шляхи її удосконалення
Історія виникнення Internet. Розробка мережних аспектів політики безпеки. Основні показники діяльності Сумської митниці. Безпека програмного середовища. Аутентифікація у відкритих мережах. Правове забезпечення заходів щодо охорони праці користувачів ЕОМ.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | дипломная работа |
| Язык | украинский |
| Дата добавления | 07.06.2013 |
| Размер файла | 108,1 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Положення міняється, але занадто повільно. Навіть у багатьох нових розробках питанням безпеки приділяється явно недостатня увага.
Деякі рекомендації:
1. Необхідний комплексний підхід до інформаційної безпеки.
Інформаційна безпека повинна розглядатися як складова частина загальної безпеки причому як важлива і невід'ємна її частина. Розробка концепції інформаційної безпеки повинна обов'язково проходити при участі управління безпекою митниці. У цій концепції варто передбачати не тільки міри, пов'язані із інформаційними технологіями (криптозахист, програмні засоби адміністрування прав користувачів, їхньої ідентифікації й аутентифікації, “брандмауери” для захисту входів-виходів мережі і т.ін.), але й міри адміністративного та технічного характеру, включаючи тверді процедури контролю фізичного доступу до автоматизованої системи, а також засоби синхронізації й обміну даними між модулем адміністрування безпеки автоматизованої системи і системою охорони.
2. Необхідна участь співробітників управління безпекою на етапі вибору-придбання-розробки автоматизованої системи. Ця участь не повинна зводитися до перевірки фірми-постачальника. Управління безпекою повинне контролювати наявність належних засобів розмежування доступу до інформації в системі, що здобувається.
2.2 Засоби захисту інформації
Зараз навряд чи комусь треба доводити, що при підключенні до Internet піддається ризикові безпека локальної мережі митного органу і конфіденційність інформації, що утримується в ній. За даними CERT Coordination Center у 2013 році було зареєстровано 2421 інцидентів - зломів локальних мереж і серверів. За результатами опитування, проведеного Computer Security Institute (CSI) серед 500 найбільш великих організацій, компаній і університетів з 1991 число незаконних вторгнень зросло на 48.9 %, а втрати, викликані цими атаками, оцінюються в 66 млн. доларів США.
Одним з найбільш розповсюджених механізмів захисту від інтернетовських бандитів - “хакерів” є застосування міжмережевих екранів - брендмауерів (firewalls).
Варто відзначити, що в наслідок непрофесіоналізму адміністраторів і недоліків деяких типів брэндмауерів порядку 30% зломів відбувається після встановлення захисних систем.
Не дивлячись на вдаваний правовий хаос області, що розглядається, будь-яка діяльність по розробці, продажу та використанню засобів захисту інформації регулюється безліччю законодавчих і нормативних документів, а всі використовувані системи підлягають обов'язковій сертифікації.
2.2.1 Технологія роботи в глобальних мережах Solstice FireWall-1
В даний час питанням безпеки даних у розподілених комп'ютерних системах приділяється дуже велика увага. Розроблено безліч засобів для забезпечення інформаційної безпеки, призначених для використання на різних комп'ютерах із різними ОС. В якості одного з напрямів можна виділити міжмережні екрани (firewalls), покликані контролювати доступ до інформації з боку користувачів зовнішніх мереж.
Розглянемо основні поняття систем, що екранують, а також вимоги, пропоновані до них. На прикладі пакета Solstice FireWall-1 розглянемо кілька типових випадків використання таких систем, особливо стосовно до питань забезпечення безпеки Internet-підключень. Розглянемо також кілька унікальних особливостей Solstice FireWall-1, що дозволяють говорити про його лідерство в даному класі додатків.
Призначення екрануючих систем і вимоги до них
Проблема міжмережного екранування формулюється в такий спосіб. Нехай мається дві інформаційні системи або дві безлічі інформаційних систем. Екран (firewall) - це засіб розмежування доступу клієнтів з однієї безлічі систем до інформації, що зберігається на серверах іншої безлічі.
Екран виконує свої функції, контролюючи всі інформаційні потоки між цими двома безлічами інформаційних систем, працюючи як деяка “інформаційна мембрана”. В цьому змісті екран можна уявляти собі як набір фільтрів, що аналізують минаючу через них інформацію і на основі закладених у них алгоритмів, приймають рішення: чи пропустити цю інформацію або відмовити в її пересиланні. Крім того, така система може виконувати реєстрацію подій, пов'язаних із процесами розмежування доступу. зокрема, фіксувати всі “незаконні” спроби доступу до інформації і додатково, сигналізувати про ситуації, що вимагають негайної реакції, тобто здіймати тривогу.
Звичайно екрануючі системи роблять несиметричними. Для екранів визначаються поняття “всередині” і “ззовні”, і завдання екрана полягає в захисті внутрішньої мережі від “потенційно ворожого” оточення. Найважливішим прикладом потенційно ворожої зовнішньої мережі є Internet.
Розглянемо більш докладно, які проблеми виникають при побудові екрануючих систем. При цьому ми будемо розглядати не тільки проблему безпечного підключення до Internet, але й розмежування доступу всередині корпоративної мережі організації.
Перша, очевидна вимога до таких систем, це забезпечення безпеки внутрішньої ( що захищається) мережі і повний контроль над зовнішніми підключеннями і сеансами зв'язку.
По-друге, екрануюча система повинна мати могутні і гнучкі засоби керування для простого і повного втілення в життя політики безпеки організації і крім того для забезпечення простої реконфігурації системи при зміні структури мережі.
По-третє, екрануюча система повинна працювати непомітно для користувачів локальної мережі і не заважати виконанню ними легальних дій.
По-четверте, екрануюча система повинна працювати досить ефективно і встигати обробляти весь вхідний і вихідний трафік у “пікових” режимах. Це необхідно для того, щоб firewall не можна було, образно говорячи, “закидати” великою кількістю викликів, що привели б до порушення її роботи.
По-п'яте, система забезпечення безпеки повинна бути сама надійно захищена від будь-яких несанкціонованих впливів, оскільки вона є ключем до конфіденційної інформації в організації.
Шосте, в ідеалі, якщо в митному органі мається кілька зовнішніх підключень, в тому числі й у віддалених пунктах пропуску, система керування екранами повинна мати можливість централізовано забезпечувати для них проведення єдиної політики безпеки.
Сьоме, система Firewall повинна мати засоби авторизації доступу користувачів через зовнішні підключення. Типовою є ситуація, коли частина персоналу митного органу повинна виїжджати, наприклад, у відрядження, і в процесі роботи їм потрібен доступ, принаймні, до деяких ресурсів внутрішньої комп'ютерної мережі митного органу. Система повинна вміти надійно розпізнавати таких користувачів і надавати їм необхідний доступ до інформації.
Структура системи solstice firewall-1
Класичним прикладом, на якому хотілося б проілюструвати всі вищевикладені принципи, є програмний комплекс Solstice FireWall-1 компанії Sun Microsystems. Даний пакет неодноразово відзначався нагородами на виставках і конкурсах. Він має багато корисних особливостей, що виділяють його серед продуктів аналогічного призначення.
Розглянемо основні компоненти Solstice FireWall-1 і функції, що вони реалізують (рис. 2.2.2).
Центральним для системи FireWall-1 є модуль керування всім комплексом. З цим модулем працює адміністратор безпеки мережі. Слід зазначити, що продуманість і зручність графічного інтерфейсу модуля управління відзначалася в багатьох незалежних оглядах, присвячених продуктам даного класу.
Адміністраторові безпеки мережі для конфігурування комплексу FireWall-1 необхідно виконати наступні дії:
§ Визначити об'єкти, що беруть участь у процесі обробки інформації. Маються на увазі користувачі і групи користувачів, комп'ютери та їхні групи, маршрутизатори і різні підмережі локальної мережі митного органу.
§ Описати мережні протоколи і сервіси, з якими будуть працювати додатки. Втім, звичайно достатнім виявляється набір з більш ніж 40 описів, що поставляються із системою FireWall-1.
§ Далі, за допомогою введених понять описується політика розмежування доступу в наступних термінах: “Групі користувачів А дозволений доступ до ресурсу Б за допомогою сервісу або протоколу С, але про це необхідно зробити позначку в реєстраційному журналі”. Сукупність таких записів компілюється в здійсненну форму блоком керування і далі передається на виконання в модулі фільтрації.
Модулі фільтрації можуть розташовуватися на комп'ютерах - шлюзах або віддалених серверах - або в маршрутизаторах як частина конфігураційної інформації. В даний час підтримуються наступні два типи маршрутизаторів: Cisco IOS 9.x, 10.x, а також BayNetworks (Wellfleet) OS v.8.
Модулі фільтрації переглядають всі пакети, що надходять на мережні інтерфейси, і, в залежності від заданих правил, пропускають або відкидають ці пакети, з відповідним записом у реєстраційному журналі. Слід зазначити, що ці модулі, працюючи безпосередньо з драйверами мережних інтерфейсів, обробляють весь потік даних, володіючи повною інформацією про передані пакети.
1. Насамперед, як вже відзначалося, розробляються і затверджуються на рівні керівництва митного органу правила політики безпеки.
2. Після затвердження ці правила треба втілити в життя. Для цього їх потрібно перевести в структуру типу “звідки, куди і яким способом доступ дозволений або, навпаки, заборонений”. Такі структури, як ми вже знаємо, легко переносяться в бази правил системи FireWall-1.
3. Далі, на основі цієї бази правил формуються списки доступу для маршрутизаторів і сценарії роботи фільтрів на мережних шлюзах. Списки і сценарії далі переносяться на фізичні компоненти мережі, після чого правила політики безпеки “набирають сили”.
4. У процесі роботи фільтри пакетів на шлюзах і серверах генерують записи про всі події, що їм наказали відслідковувати, а, також, запускають механізми “тривоги”, що вимагають від адміністратора негайної реакції.
5. На основі аналізу записів, зроблених системою, відділ комп'ютерної безпеки митного органу може розробляти пропозиції по зміні та подальшому розвитку політики безпеки.
Розглянемо простий приклад реалізації наступних правил:
1. З локальних мереж підрозділів, можливо віддалених, дозволяється зв'язок з будь-якою локальною мережею митного органу після аутентифікації, наприклад, по UNIX-паролю.
2. Усім забороняється доступ до мережі Центрального апарату митної служби, за винятком начальника митного органу.
3. З Internet дозволяється тільки відправляти та отримувати пошту. Про всі інші спроби зв'язку необхідно робити докладний запис.
Після завантаження правил, FireWall-1 для кожного пакета, що передається по мережі, послідовно переглядає список правил до знаходження елемента, що відповідає поточному випадку.
Важливим моментом є захист системи, на якій розміщений адміністративно-конфігураційний модуль FireWall-1. Рекомендується заборонити засобами FireWall-1 всі види доступу до даної машини, або принаймні строго обмежити список користувачів, яким це дозволено, а також вжити заходів по фізичному обмеженню доступу і по захисту звичайними засобами ОС UNIX.
Розглянемо тепер випадок, коли первісна конфігурація мережі міняється, а разом з нею міняється і політика безпеки.
Нехай ми вирішили встановити в себе в митниці кілька загальнодоступних серверів для надання інформаційних послуг. Це можуть бути, наприклад, сервери World Wide Web, FTP або інші інформаційні сервери. Оскільки такі системи відокремлені від роботи всієї іншої мережі організації, для них часто виділяють свою власну підмережу, що має вихід у Internet через шлюз.
Оскільки в попередньому прикладі локальна мережа була вже захищена, то все, що нам потрібно зробити, це просто дозволити відповідний доступ у відокремлену підмережу. Це робиться за допомогою одного додаткового рядка в редакторі правил, що тут показаний. Така ситуація є типовою при зміні конфігурації FireWall-1. Звичайно для цього потрібна зміна одного або невеликої кількості рядків в наборі правил доступу, що, безсумнівно, ілюструє міць засобів конфігурування і загальну продуманість архітектури FireWall-1.
Аутенфікація користувачів при роботі з ftp
Solstice FireWall-1 дозволяє адміністраторові встановити різні режими роботи з інтерактивними сервісами FTP і telnet для різних користувачів і груп користувачів. При встановленому режимі аутентифікації, FireWall-1 заміняють стандартні FTP і telnet домени UNIX на свої власні, розташовуючи їх на шлюзі, закритому за допомогою модулів фільтрації пакетів. Користувач, що бажає почати інтерактивну сесію по FTP або telnet (це повинен бути дозволений користувач і в дозволений для нього час), може зробити це тільки через вхід на такий шлюз, де і виконується вся процедура аутентифікації. Вона задається при описі користувачів або груп користувачів і може проводитися такими способами:
§ Unix-пароль;
§ програма S/Key генерації одноразових паролів;
§ картки SecurID з апаратною генерацією одноразових паролів.
Гнучкі алгоритми фільтрації udp-пакетів, динамічне екранування
UDP-протоколи, що входять до складу набору TCP/IP, являють собою особливу проблему для забезпечення безпеки. З однієї сторони на їхній основі створена безліч додатків. З іншого боку, усі вони є протоколами “без стану”, що призводить до відсутності розходжень між запитом і відповіддю, яка приходить ззовні мережі, що захищається.
Пакет FireWall-1 вирішує цю проблему створенням контексту з'єднань зверх UDP сесій, запам'ятовуючи параметри запитів. Пропускаються назад тільки відповіді зовнішніх серверів на вислані запити, що однозначно відрізняються від будь-яких інших UDP-пакетів, оскільки їхні параметри зберігаються в пам'яті FireWall-1.
Слід зазначити, що дана можливість присутня в досить небагатьох програмах екранування, розповсюджуваних у даний момент.
Помітимо також, що подібні механізми задіюються для додатків, що використовують RPC, і для FTP сеансів. Тут виникають аналогічні проблеми, пов'язані із динамічним виокремленням портів для сеансів зв'язку, що FireWall-1 відслідковує аналогічним образом, запам'ятовуючи необхідну інформацію при запитах на такі сеанси і забезпечуючи тільки “законний” обмін даними.
Дані можливості пакета Solstice FireWall-1 різко виділяють його серед всіх інших міжмережних (міжмережевих???) екранів. Вперше проблема забезпечення безпеки вирішена для всіх без винятку сервісів і протоколів, що існують у Internet.
Мова програмування
Система Solstice FireWall-1 має власну вбудовану об'єктно-орієнтовану мову програмування, застосовану для опису поведінки модулів - фільтрів системи. Власно кажучи, результатом роботи графічного інтерфейсу адміністратора системи є згенерований сценарій роботи саме на цій внутрішній мові. Вона не складна для розуміння, що допускає безпосереднє програмування на ній. Однак на практиці дана можливість майже не використовується, оскільки графічний інтерфейс системи і так дозволяє зробити практично все, що потрібно.
Прозорість і ефективність
FireWall-1 цілком прозорий для кінцевих користувачів. Ще однією чудовою властивістю системи Solstice FireWall-1 є дуже висока швидкість роботи. Фактично модулі системи працюють на мережних швидкостях передачі інформації, що обумовлено компіляцією згенерованих сценаріїв роботи перед підключенням їх безпосередньо до процесу фільтрації.
Компанія Sun Microsystems приводить такі дані про ефективність роботи Solstice FireWall-1. Модулі фільтрації на Internet-шлюзі, сконфігуровані типовим для багатьох організацій образом, працюючи на швидкостях звичайного Ethernet у 10 Мб/сек, забирають на себе не більш 10% обчислювальної потужності процесора SPARCstation 5,85 Мгц або комп'ютера 486DX2-50 з операційною системою Solaris/x86.
Solstice FireWall-1 - ефективний засіб захисту корпоративних мереж та їх сегментів від зовнішніх погроз, а також від несанкціонованих взаємодій локальних користувачів із зовнішніми системами.
Solstice FireWall-1 забезпечує високорівневу підтримку політики безпеки організації стосовно всіх протоколів сімейства TCP/IP.
Solstice FireWall-1 характеризується прозорістю для легальних користувачів і високою ефективністю.
По сукупності технічних і вартісних характеристик Solstice FireWall-1 займає лідируючу позицію серед міжмережних екранів.
2.2.2 Обмеження доступу в WWW серверах
Розглянемо два з них:
§ Обмежити доступ по IP адресах клієнтських машин;
§ ввести ідентифікатор одержувача з паролем для даного виду документів.
Введення такого роду обмежень стало використовуватися досить часто, тому що багато хто використовує комунікації Internet для доставки своєї інформації споживачеві. За допомогою такого роду механізмів по розмежуванню прав доступу зручно робити саморозсилку інформації на отримання якої існує договір.
Обмеження по IP адресах
Доступ до приватних документів можна дозволити, або навпаки заборонити використовуючи IP адреси конкретних машин або сіток, наприклад:
123.456.78.9
123.456.79.
В цьому випадку доступ буде дозволений (або заборонений в залежності від контексту) для машини з IP адресою 123.456.78.9 і для всіх машин підсітки 123.456.79.
Обмеження за ідентифікатором одержувача
Доступ до приватних документів можна дозволити, або навпаки заборонити використовуючи привласнене ім'я і пароль конкретному користувачеві, причому пароль в явному вигляді ніде не зберігається.
2.3 Інформаційна безпека в Intranet
Архітектура Intranet має на увазі підключення до зовнішніх відкритих мереж, використання зовнішніх сервісів і надання власних сервісів ззовні, що висуває підвищені вимоги до захисту інформації.
В Intranet-системах використовується підхід клієнт-сервер, а головна роль на сьогоднішній день приділяється Web-сервісу. Web-сервери повинні підтримувати традиційні захисні засоби, такі як аутентифікація і розмежування доступу; крім того, необхідне забезпечення нових властивостей, особливо безпеки програмного середовища і на серверній, і на клієнтській сторонах.
Так, якщо говорити коротко, задачі в області інформаційної безпеки, що виникають у зв'язку з переходом на технологію Intranet. Далі ми розглянемо можливі підходи до їх рішення.
Формування режиму інформаційної безпеки - проблема комплексна.
Заходи для її рішення можна розділити на чотири рівні:
§ законодавчий (закони, нормативні акти, стандарти і т.ін.);
§ адміністративний (дії загального характеру, що застосовуються керівництвом митниці);
§ процедурний (конкретні міри безпеки, що мають справу з людьми);
§ програмно-технічний (конкретні технічні міри).
2.4 Законодавчий рівень
В даний час найбільш докладним законодавчим документом в області інформаційної безпеки є Кримінальний Процесуальний Кодекс України.
У розділі xvi «Злочини у сфері використання електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж» маються наступні статті - Стаття 361 «Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку», Стаття 361-1 «Створення з метою використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут», Стаття 361-2 «Несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або на носіях такої інформації, Стаття 362 «Несанкціоновані дії з інформацією, яка оброблюється в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах, комп'ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї», Стаття 363 «Порушення правил експлуатації електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку або порядку чи правил захисту інформації, яка в них обробляється», Стаття 363-1 «Перешкоджання роботі електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку шляхом масового розповсюдження повідомлень електрозв'язку.
Кримінальний кодекс стоїть на варті всіх аспектів інформаційної безпеки, доступності, цілісності, конфіденційності, передбачаючи покарання за “Незаконне втручання в роботу автоматизованих електронно-обчислювальних машин, їх систем чи комп'ютерних мереж, що призвело до перекручення чи знищення комп'ютерної інформації або носіїв такої інформації, а також розповсюдження комп'ютерного вірусу шляхом застосування програмних і технічних засобів, призначених для незаконного проникнення в ці машини, системи чи комп'ютерні мережі і здатних спричинити перекручення або знищення комп'ютерної інформації чи носіїв такої інформації”.
Також інформаційну діяльність регулюють наступні закони: Закон України “Про захист інформації в автоматизованих системах” від 05.07.94, Закон України “Про інформацію” від 02.10.92, Закон України “Про державну таємницю” від 21.01.94.
Закон України “Про захист інформації в автоматизованих системах” регулює правові відносини щодо захисту інформації в автоматизованих системах за умови дотримання права власності громадян України і юридичних осіб на інформацію та права доступу до неї, права власника інформації на її захист, а також встановленого чинним законодавством обмеження на доступ до інформації. Дія Закону поширюється на будь-яку інформацію, що обробляється в автоматизованих системах.
Закон України “Про інформацію” закріплює право громадян України на інформацію, закладає правові основи інформаційної діяльності. Грунтуючись на Декларації про державний суверенітет України та Акті проголошення її незалежності, Закон стверджує інформаційний суверенітет України і визначає правові форми міжнародного співробітництва в галузі інформації.
2.5 Розробка мережних аспектів політики безпеки
Політика безпеки визначається як сукупність документованих управлінських рішень, спрямованих на захист інформації та асоційованих із нею ресурсів.
При розробці і введенні її в життя доцільно керуватися наступними засадами:
§ неможливість минати захисні засоби;
§ посилення самої слабкої ланки;
§ неможливість переходу в небезпечний стан;
§ мінімізація привілеїв;
§ розподіл обов'язків;
§ ешелонованість оборони;
§ розмаїтість захисних засобів;
§ простота і керованість інформаційної системи;
§ забезпечення загальної підтримки заходів безпеки.
Пояснимо зміст перерахованих принципів.
Якщо у зловмисника або незадоволеного користувача з'явиться можливість минати захисні засоби, він, зрозуміло, так і зробить. Стосовно до міжмережних екранів даний принцип означає, що всі інформаційні потоки в мережу, що захищається, і з неї повинні проходити через екран. Не повинно бути “таємних” модемних входів або тестових ліній, що йдуть в обхід екрана.
Надійність будь-якої оборони визначається самою слабкою ланкою. Зловмисник не буде боротися проти сили, він віддасть перевагу легкій перемозі над слабкістю. Часто самою слабкою ланкою виявляється не комп'ютер або програма, а людина, і тоді проблема забезпечення інформаційної безпеки здобуває не технічний характер.
Принцип неможливості переходу в небезпечний стан означає, що при будь-яких обставинах, у тому числі позаштатних, захисний засіб або цілком виконує свої функції, або цілком блокує доступ.
Принцип мінімізації привілеїв пропонує виділяти користувачам і адміністраторам тільки ті права доступу, що необхідні їм для виконання службових обов'язків.
Принцип розподілу обов'язків припускає такий розподіл ролей і відповідальності, при якому один працівник митного органу не може порушити критично важливий для митниці процес. Це особливо важливо, щоб запобігти зловмисним або некваліфікованим діям системного адміністратора.
Принцип ешелонованості оборони пропонує не покладатися на один захисний рубіж, яким би надійним він не здавався . За засобами фізичного захисту повинні випливати програмно-технічні засоби, за ідентифікацією та аутентифікацією - керування доступом і, як останній рубіж, - протоколювання й аудит. Ешелонована оборона здатна принаймні затримати зловмисника, а наявність такого рубежу, як протоколювання й аудит, істотно утрудняє непомітне виконання злочинних дій.
Принцип розмаїтості захисних засобів рекомендує організовувати різні за своїм характером оборонні рубежі, щоб від потенційного зловмисника було потрібне оволодіння різноманітними і, по можливості, несумісними між собою навичками.
Дуже важливий принцип простоти і керованості інформаційної системи в цілому і захисних засобах особливо. Тільки для простого захисного засобу можна формально або неформально довести його коректність. Тільки в простій та керованій системі можна перевірити погодженість конфігурації різних компонентів і здійснити централізоване адміністрування. В зв'язку з цим важливо відзначити інтегруючу роль Web-сервісу, що приховує розмаїтість об'єктів, що обслуговуються, і надає єдиний, наочний інтерфейс. Відповідно, якщо об'єкти деякого виду (скажемо таблиці бази даних) доступні через Web, необхідно заблокувати прямий доступ до них, оскільки в противному випадку система буде складною і складнокерованою.
Загальна підтримка заходів безпеки - носить не технічний характер. Якщо користувачі і/або системні адміністратори вважають інформаційну безпеку чимось зайвим або навіть ворожим, режим безпеки зформувати свідомо не вдасться. Потрібно із самого початку передбачити комплекс заходів, спрямованих на забезпечення лояльності персоналу, на постійне навчання, теоретичне і головне практичне.
Аналіз ризиків - найважливіший етап розробки політики безпеки. При оцінці ризиків, яким піддані Intranet-системи, потрібно враховувати наступні обставини:
§ нові погрози стосовно старих сервісів, що випливають з можливості пасивного або активного прослуховування мережі. Пасивне прослуховування означає читання мережного трафіку, а активне - його зміну (крадіжку, дублювання або модифікацію переданих даних). Наприклад, аутентифікація віддаленого клієнта за допомогою пароля багаторазового використання не може вважатися надійною в мережному середовищі, незалежно від довжини пароля;
§ нові (мережні) сервіси та асоційовані з ними погрози.
Як правило, у Intranet-системах варто дотримуватися принципу “все, що не дозволено, заборонене”, оскільки “зайвий” мережний сервіс може надати канал проникнення в корпоративну систему. В принципі, ту ж думку виражає положення “усе незрозуміле - небезпечне ”.
2.5.1 Процедурні заходи
В цілому Intranet-технологія не пред'являє яких-небудь специфічних вимог до заходів процедурного рівня. На наш погляд, окремого розгляду заслуговують лише дві обставини:
§ опис посад, пов'язаних із визначенням, наповненням і підтримкою корпоративної гіпертекстової структури офіційних документів;
§ підтримка життєвого циклу інформації, що наповняє Intranet.
Крім офіційних, корпоративних, в Intranet можуть бути присутні групові та особисті документи, порядок роботи з якими (ролі, права доступу) визначається, відповідно, груповими та особистими інтересами.
Переходячи до питань підтримки життєвого циклу Intranet-інформації, нагадаємо про необхідність використання засобів конфігураційного керування. Важлива перевага Intranet-технології полягає в тому, що основні операції конфігураційного керування - внесення змін (створення нової версії) і витяг старої версії документа - природним образом вписуються в рамки Web-інтерфейсу. Ті, для кого це необхідно, можуть працювати з деревом всіх версій всіх документів, підмножиною якого є дерево самих свіжих версій.
2.5.2 Управління доступом шляхом фільтрації інформації
Ми переходимо до розгляду заходів програмно-технічного рівня, спрямованих на забезпечення інформаційної безпеки систем, побудованих в технології Intranet. На перше місце серед таких заходів ми поставимо міжмережні екрани - засіб розмежування доступу, що служить для захисту від зовнішніх погроз і від погроз з боку користувачів інших сегментів корпоративних мереж.
Відзначимо, що боротися з погрозами, властивими мережному середовищу, засобами універсальних операційних систем не є можливим. Універсальна ОС - це величезна програма, що напевно містить, крім явних помилок, деякі особливості, що можуть бути використані для отримання нелегальних привілеїв. Сучасна технологія програмування не дозволяє зробити настільки великі програми безпечними. Крім того, адміністратор, що має справу зі складною системою, далеко не завжди в змозі врахувати всі наслідки проведених змін. Нарешті, в універсальній багатокористувальницькій системі проломи в безпеці постійно створюються самими користувачами (слабкі і/або рідко змінювані паролі, невдало встановлені права доступу, залишений без догляду термінал і т.п.).
Як казалося вище, єдиний перспективний шлях пов'язаний з розробкою спеціалізованих захисних засобів, що в силу своєї простоти допускають формальну або неформальну верифікацію. Міжмережний екран саме і є таким засобом, що допускає подальшу декомпозицію, пов'язану з обслуговуванням різних мережних протоколів.
Міжмережний екран - це напівпроникна мембрана, що розташовується між мережею, що захищається (внутрішньою), та зовнішнім середовищем (зовнішніми мережами або іншими сегментами корпоративної мережі) і контролює всі інформаційні потоки у внутрішній мережі та з неї (рис. 2.3.1). Контроль інформаційних потоків складається в їхній фільтрації, тобто у вибірковому пропущенні через екран, можливо, з виконанням деяких перетворень і повідомленням відправника про те, що його даним у пропуску відмовлено. Фільтрація здійснюється на основі набору правил, попередньо завантажених в екран та які є вираженням мережних аспектів політики безпеки організації.
Доцільно розділити випадки, коли екран встановлюється на границі із зовнішньої (звичайно загальнодоступною) мережею або на границі між сегментами однієї корпоративної мережі. Відповідно, ми будемо говорити про зовнішній та внутрішній міжмережні екрани.
Як правило, при спілкуванні із зовнішніми мережами використовуються тільки протоколи TCP/IP. Тому зовнішній міжмережний екран повинен враховувати специфіку цих протоколів. Для внутрішніх екранів ситуація складніша, тут варто брати до уваги крім TCP/IP принаймні протоколи SPX/IPX, застосовувані в мережах Novell NetWare. Іншими словами, від внутрішніх екранів нерідко потрібно багатопротокольність.
Ситуації, коли корпоративна мережа містить лише один зовнішній канал є скоріше, виключенням, аніж правилом. Навпаки, типова ситуація, за якою корпоративна мережа складається з декількох територіально розподілених сегментів, кожний з яких підключений до мережі загального користування (рис. 2.3.2). В цьому випадку кожне підключення повинне захищатися своїм екраном. Точніше кажучи, можна вважати, що корпоративний зовнішній міжмережний екран є складеним, і потрібно вирішувати задачу погодженого адміністрування (керування й аудита) усіх компонентів.
При розгляді будь-якого питання, що стосується мережних технологій, основою є семирівнева еталонна модель ISO/OSI. Міжмережні екрани також доцільно класифікувати за тим, на якому рівні виробляється фільтрація - канальному, мережному, транспортному або прикладному. Відповідно, можна говорити про екрануючі концентратори (рівень 2), маршрутизатори (рівень 3), про транспортне екранування (рівень 4) і про прикладні екрани (рівень 7). Існують також комплексні екрани, що аналізують інформацію на декількох рівнях.
При ухваленні рішення “пропустити/не пропустити”, міжмережні екрани можуть використовувати не тільки інформацію, що утримується в потоках, що фільтруються, але й дані, отримані з оточення, наприклад поточний час.
Таким чином, можливості міжмережного екрана безпосередньо визначаються тим, яка інформація може використовуватися в правилах фільтрації і яка може бути потужність наборів правил. Взагалі, чим вище рівень у моделі ISO/OSI, на якому функціонує екран, тим більше змістовна інформація йому доступна і, отже, тим тонше і надійніше може бути зконфігурований екран. В той самий час фільтрація на кожному з перерахованих вище рівнів має свої переваги, такі як дешевизна, висока ефективність або прозорість для користувачів. В силу цієї, а також деяких інших причин, в більшості випадків використовуються змішані конфігурації, в яких об'єднані різнотипні екрани. Найбільш типовим є сполучення екрануючих маршрутизаторів і прикладного екрана (рис. 3.5.2.3).
Наведена конфігурація називається екранучою підмережею. Як правило, сервіси, що організація надає для зовнішнього застосування (наприклад “представницький” Web-сервер), доцільно виносити саме в екрануючу підмережу.
Крім певних можливостей і припустимої кількості правил якість міжмережного екрана визначається ще двома дуже важливими характеристиками - простотою застосування і власною захищеністю. В плані простоти використання першорядне значення мають наочний інтерфейс при завданні правил фільтрації і можливість централізованого адміністрування складених конфігурацій. В свою чергу, в останньому аспекті хотілося б виділити засоби централізованого завантаження правил фільтрації і перевірки набору правил на несуперечність. Важливий і централізований збір і аналіз реєстраційної інформації, а також отримання сигналів про спроби виконання дій, заборонених політикою безпеки.
Власна захищеність міжмережного екрана забезпечується тими ж засобами, що й захищеність універсальних систем. При виконанні централізованого адміністрування варто ще подбати про захист інформації від пасивного й активного прослуховування мережі, тобто забезпечити її (інформації) цілісність і конфіденційність.
Хотілося б підкреслити, що природа екранування (фільтрації), як механізму безпеки, дуже глибока. Крім блокування потоків даних, що порушують політику безпеки, міжмережний екран може приховувати інформацію про мережу, що захищається, тим самим затрудняючи дії потенційних зловмисників. Так, прикладний екран може здійснювати дії від імені суб'єктів внутрішньої мережі, у результаті чого із зовнішньої мережі здається, що має місце взаємодія тільки з міжмережним екраном. При такому підході топологія внутрішньої мережі прихована від зовнішніх користувачів, тому задача зловмисника істотно ускладнюється.
Більш загальним методом приховування інформації про топологію захищуваної мережі є трансляція “внутрішніх” мережних адрес, що попутньо вирішує проблему розширення адресного простору, виділеного для митного органу.
Обмежуючий інтерфейс також можна розглядати як різновид екранування. На невидимий об'єкт важко нападати, особливо за допомогою фіксованого набору засобів. В цьому сенсі Web-інтерфейс має природний захист, особливо в тому випадку, коли гіпертекстові документи формуються динамічно.
Роль екрануючого Web-сервісу наочно проявляється і тоді, коли цей сервіс здійснює посередницькі (точніше, інтегруючі) функції при доступі до інших ресурсів, зокрема таблицям бази даних. Тут не тільки контролюються потоки запитів, але і приховується реальна організація баз даних.
2.6 Безпека програмного середовища
Ідея мереж з так званими активними агентами, коли між комп'ютерами передаються не тільки пасивні, але й активні виконувані дані (тобто програми), зрозуміло, не нова. Спочатку ціль полягала в тому, щоб зменшити мережний трафік, виконуючи основну частину обробки там, де розташовуються дані (наближення програм до даних). На практиці це означало переміщення програм на сервери. Класичний приклад реалізації подібного підходу - це процедури, що зберігаються в реляційних СУБД.
Для Web-серверів аналогом процедур, що зберігаються, є програми, що обслуговують загальний шлюзовий інтерфейс (Common Gateway Interface - CGI).
CGI-процедури розташовуються на серверах і звичайно використовуються для динамічного породження HTML-документів. Політика безпеки організації та процедурні заходи повинні визначати, хто має право поміщати на сервер CGI-процедури. Жорсткий контроль тут необхідний, оскільки виконання сервером некоректної програми може призвести до яких завгодно важких наслідків. Розумна міра технічного характеру складається в мінімізації привілеїв користувача, від імені якого виконується Web-сервер.
В технології Intranet, якщо піклуватися про якість і виразну силу користувальницького інтерфейсу, виникає нестаток у переміщенні програм з Web-серверів на клієнтські комп'ютери - для створення анімації, виконання семантичного контролю при введенні даних і т.д. Взагалі, активні агенти - невід'ємна частина технології Intranet.
В якому б напрямку не переміщувалися програми по мережі, ці дії становлять підвищену небезпеку, тому що програма, отримана з ненадійного джерела, може містити ненавмисно внесені помилки або цілеспрямовано створений шкідливий код. Така програма потенційно загрожує всім основним аспектам інформаційної безпеки:
§ доступності (програма може поглинути всі наявні ресурси);
§ цілісності (програма може видалити або пошкодити дані);
§ конфіденційності (програма може прочитати дані і передати їх по мережі).
Проблему ненадійних програм усвідомлювали давно, але, мабуть, тільки в рамках системи програмування Java вперше запропонована цілісна концепція її вирішення.
Java пропонує три оборонних рубежі:
§ надійність мови;
§ контроль при одержанні програм;
§ контроль при виконанні програм.
Втім, існує ще один, дуже важливий засіб забезпечення інформаційної безпеки - безпрецедентна відкритість Java-системи. Вихідні тексти Java-компілятора й інтерпретатора доступні для перевірки, тому велика ймовірність, що помилки і недоліки першими будуть виявляти чесні фахівці, а не зловмисники.
У концептуальному плані найбільших труднощів представляє контрольоване виконання програм, завантажених по мережі. Насамперед, необхідно визначити, які дії вважаються для таких програм припустимими. Якщо виходити з того, що Java - це мова для написання клієнтських частин додатків, одним з основних вимог до яких є мобільність, завантажена програма може обслуговувати тільки користувальницький інтерфейс і здійснювати мережну взаємодію із сервером. Програма не може працювати з файлами хоча б тому, що на Java-терміналі їх, можливо, не буде. Більш змістовні дії повинні вироблятися на серверній стороні або здійснюватися програмами, локальними для клієнтської системи.
Цікавий підхід пропонують фахівці компанії Sun Microsystems для забезпечення безпечного виконання командних файлів. Мова йде про середовище Safe-Tcl (Tool Comman Language, інструментальна командна мова). Sun запропонувала так називану чарункову модель інтерпретації командних файлів. Існує головний інтерпретатор, якому доступні всі можливості мови.
Якщо в процесі роботи додатка необхідно виконати сумнівний командний файл, породжується підлеглий командний інтерпретатор, що володіє обмеженою функціональністю (наприклад, з нього можуть бути вилучені засоби роботи з файлами і мережні можливості). В результаті потенційно небезпечні програми виявляються ув'язненими в чарунки, що захищають користувальницькі системи від ворожих дій. Для виконання дій, що вважаються привілейованими, підлеглий інтерпретатор може звертатися з запитами до головного. Тут проглядається аналогія з поділом адресних просторів операційної системи і користувальницьких процесів і використанням останніми системних викликів. Подібна модель вже багато років є стандартною для багатокористувальницьких ОС.
2.7 Захист web-серверів
Поряд із забезпеченням безпеки програмного середовища, найважливішим буде питання про розмежування доступу до об'єктів Web-сервісу. Для вирішення цього питання необхідно усвідомити, що є об'єктом, як ідентифікуються суб'єкти і яка модель управління доступом - примусова або довільна - застосовується.
У Web-серверах об'єктами доступу виступають універсальні локатори ресурсів (URL - Uniform (Universal) Resource Locator). За цими локаторами можуть стояти різні сутності - HTML-файли, CGI-процедури і т.п.
Як правило, суб'єкти доступу ідентифікуються по IP-адресах і/або іменам комп'ютерів і областей керування. Крім того, може використовуватися парольна аутентифікація користувачів або більш складні схеми, засновані на криптографічних технологіях.
В більшості Web-серверів права розмежовуються з точністю до каталогів (директорій) із застосуванням довільного керування доступом. Можуть надаватися права на читання HTML-файлів, виконання CGI-процедур і т.д.
Для раннього виявлення спроб нелегального проникнення в Web-сервер важливим є регулярний аналіз реєстраційної інформації.
Зрозуміло, захист системи, на якій функціонує Web-сервер, повинна дотримуватися універсальних рекомендацій, головною з яких є максимальне спрощення. Всі непотрібні сервіси, файли, пристрої повинні бути вилучені. Кількість користувачів, що мають прямий доступ до сервера, повинна бути зведена до мінімуму, а їхні привілеї - впорядковані у відповідності зі службовими обов'язками.
Ще один загальний принцип полягає в тому, щоб мінімізувати обсяг інформації про сервер, що можуть одержати користувачі. Багато серверів у випадку звертання по імені каталогу і відсутності файлу index.HTML в ньому, видають HTML-варіант змісту каталогу. В цьому змісті можуть зустрітися імена файлів з вихідними текстами CGI-процедур або з іншою конфіденційною інформацією. Такого роду “додаткові можливості” доцільно відключати.
2.8 Аутентифікація у відкритих мережах
Методи, застосовувані у відкритих мережах для підтвердження і перевірки дійсності суб'єктів, повинні бути стійкі до пасивного та активного прослуховування мережі. Сутність їх зводиться до наступного.
· Суб'єкт демонструє знання секретного ключа, при цьому ключ або взагалі не передається по мережі, або передається в зашифрованому вигляді.
· Суб'єкт демонструє володіння програмним або апаратним засобом генерації одноразових паролів або засобом, що працює в режимі “запит-відповідь”. Неважко помітити, що перехоплення і наступне відтворення одноразового пароля або відповіді на запит нічого не дає зловмисникові.
· Суб'єкт демонструє дійсність свого місця розташування, при цьому використовується система навігаційних супутників.
2.9 Віртуальні приватні мережі
Однією з найважливіших задач є захист потоків корпоративних даних, що передаються по відкритих мережах. Відкриті канали можуть бути надійно захищені тільки одним методом - криптографічним.
Відзначимо, що так називані виділені лінії не мають особливих переваг перед лініями загального користування в плані інформаційної безпеки. Виділені лінії хоча б частково будуть розташовуватися в неконтрольованій зоні, де їх можуть пошкодити або здійснити до них несанкціоноване підключення. Єдина реальна перевага - це гарантована пропускна здатність виділених ліній, а зовсім не якась підвищена захищеність. Втім, сучасні оптоволоконні канали здатні задовільняти потреби багатьох абонентів, тому і зазначена перевага не завжди є реальною.
Представляється природним покласти на міжмережний екран задачу шифрування і дешифрування корпоративного трафіку на шляху в зовнішню мережу і з неї. Щоб таке шифрування/дешифрування стало можливим, повинен відбутися початковий розподіл ключів. Сучасні криптографічні технології пропонують для цього цілий ряд методів.
Після того як міжмережні екрани здійснили криптографічне закриття корпоративних потоків даних, територіальна рознесеність сегментів мережі виявляється лише в різній швидкості обміну з різними сегментами. В іншому випадку вся мережа виглядає як єдине ціле, а від абонентів не потрібне залучення яких-небудь додаткових захисних засобів.
2.10 Простота та однорідність архітектури
Найважливішим аспектом інформаційної безпеки є керованість системи. Керованість - це і підтримка високої приступності системи за рахунок раннього виявлення і ліквідації проблем, і можливість зміни апаратної і програмної конфігурації відповідно до зміни умов або потреб, та оповіщення про спроби порушення інформаційної безпеки практично в реальному часі, і зниження числа помилок адміністрування, і багато чого іншого.
Найбільше гостро проблема керованості встає на клієнтських робочих місцях і на стику клієнтської і серверної частин інформаційної системи. Причина проста - клієнтських місць набагато більше, ніж серверних, вони, як правило, розкидані по значно більшій площі, їх використовують люди з різною кваліфікацією і звичками. Обслуговування й адміністрування клієнтських робочих місць - заняття надзвичайно складне, дороге і чревате помилками. Технологія Intranet за рахунок простоти й однорідності архітектури дозволяє зробити вартість адміністрування клієнтського робочого місця практично нульовою. Важливо і те, що заміна і повторне введення в експлуатацію клієнтського комп'ютера можуть бути здійснені дуже швидко, оскільки це “клієнти без стану”, у них немає нічого, що вимагало б тривалого відновлення або конфігурування.
На стику клієнтської і серверної частин Intranet-системи знаходиться Web-сервер. Це дозволяє мати єдиний механізм реєстрації користувачів і наділення їх правами доступу з наступним централізованим адмініструванням. Взаємодія з численними різнорідними сервісами виявляється прихованою не тільки від користувачів, але й в значній мірі від системного адміністратора.
Задача забезпечення інформаційної безпеки в Intranet виявляється більш простою, аніж у випадку довільних розподілених систем, побудованих в архітектурі клієнт/сервер. Причина тому - однорідність і простота архітектури Intranet. Якщо розробники прикладних систем зуміють повною мірою скористатися цією перевагою, то на програмно-технічному рівні їм буде досить декількох недорогих і простих в освоєнні продуктів. Правда, до цього необхідно додати продуману політику безпеки і цілісний набір мір процедурного рівня.
3. ОРГАНІЗАЦІЙНО - ЕКОНОМІЧНИЙ РОЗДІЛ
3.1 Економічна безпека
Економічна безпека підприємства, в нашому випадку Сумської митниці і взагалі, тісно пов'язана із захистом інформації. Служба інформаційної безпеки організовує на МИТНИЦІ такі діючі режими (режим конфіденційного діловодства, режим доступу співробітників і сторонніх осіб до конфіденційної інформації, режим безпеки проведення ділових зборів і переговорів, режим зберігання, обліку і знищення носіїв конфіденційної інформації тощо), здійснює профілактичну роботу і службові розслідування, навчає персонал основам безпеки, застосовуючи до конкретних службових обов'язків кожного співробітника, здійснює постійний контроль рівня внутрішньої безпеки, виявляє і блокує канали можливого нанесення економічного збитку.
Але багато підприємств недооцінюють важливість економічної безпеки.
З одного боку присутній фактор недостатньої проінформованості керівників підприємств про загрози економічних втрат, задачах і можливостях служби безпеки. З іншого - помилки , які допускають керівники підприємств на початковому етапі прийняття управлінських рішень по створенню системи безпеки. Перша і головна помилка ( на жаль, досить розповсюджена) полягає в тому, що до служби безпеки ставляться як до громіздкої, багаточисельної структури. І як наслідок цієї помилки - віднесення фінансування програм безпеки до затратних статей бюджету підприємства. Ідуть на такі затрати лише при серйозній необхідності. Суть цієї помилки в тому, що витрати на створення системи безпеки на підприємстві (ДМСУ) являються не збитковою статтею, а навпаки вигідним капіталовкладенням. Робота структури безпеки мінімізує, а іноді запобігає серйозним економічним збиткам [43].
Якщо використовувати зарубіжний досвід, наприклад досвід США, то згідно прийнятих там критеріїв вважають, якщо фірма має місячний прибуток більший, ніж 10 тис. доларів, а штат фірми перевищує три співробітника, то один із них зобов'язаний займатися, крім всього іншого, питаннями безпеки [44]. У всьому світі вважається нормальним, якщо відрахування на режим безпеки підприємства складають від 5 до 15% (в деяких країнах до 18-20%) прибутку підприємства.
Крім того, витрати на забезпечення безпеки можуть бути різними в різні періоди часу навіть на одному підприємстві, так як вони залежать від об'єму і складності задач, які вирішуються.
На наш погляд, при такому підході цілком очевидно, що служба безпеки повинна мати невелику чисельність грамотних спеціалістів-професіоналів, які б планували і здійснювали діяльність, в основу якої покладено неперервне сканування і аналіз роботи всіх підрозділів митниці, а також сканування і аналіз зовнішніх чинників. Аналіз проводиться спільно з провідними спеціалістами всіх структурних підрозділів митної установи.
3.2 Основні показники діяльності Сумської митниці
Якщо говорити про конкретні надбання Сумської митниці, то за 2012 рік нею перераховано до Державного бюджету 1 656,3 млн. грн. В середньому щоденно митники перераховували до скарбниці 6 625 тис. грн.
В результаті проведення заходів, направлених на виявлення та припинення фактів контрабанди, за 2012 рік митницею порушено 14 кримінальних справ на суму 608 тис. грн. за фактами незаконного переміщення наркотичних засобів, зброї та культурних цінностей. Також складено 1 264 протоколи про порушення митних правил. Загальна ж вартість предметів правопорушень становить близько 75 млн.
За І квартал 2013 року перераховано до бюджету - 391,5 млн. грн., пропущено т/з - 420 тис.од., з них легкових - 143 тис.од., вантажних - 65 тис.од., пропущено громадян - 1 398 тис.осіб.
На митниці акредитовано та переакредитовано суб'єктів зовнішньоекономічної діяльності, але тільки учасників ЗЕД, акредитованих на регіональній митниці, здійснювали зовнішньоторговельні операції протягом зазначеного періоду ( % від загальної кількості) та учасників ЗЕД, які здійснювали зовнішньоторговельні операції протягом 2013 року за листами-узгодженнями. В аналогічному періоді минулого року фактично здійснювали зовнішньоторговельні операції учасників ЗЕД.
В середньому по митниці на одного працівника припадало оформлених ВМД.
Основні експортні товари, які оформлювались на регіональній митниці у 2013р.: м'ясо яловичини; молоко сухе; трансформатори електричні; електрогенераторні установки, пульти та панелі; кондитерські вироби що містять какао-порошок; санітарно-технічні вироби.
Щодо товарної структури імпорту, то найбільше було ввезено таких товарів як : тепловиділяючі елементи (касети) для атомної станції; мінеральні добрива; холодильники побутові; ячмінь пивоварний; обладнання для обробки гуми або пластмаси; машини та механічні пристрої спеціального призначення.
Партнерами у зовнішньоторговельній діяльності вітчизняних учасників ЗЕД були підприємства із 63 країни світу, в минулому періоді 70 країн. Найбільший вклад в загальний товарообіг регіону внесли країни, з якими підприємства області підтримують довготривалі і постійні стосунки, - це Росія, частка якої в загальному товарообігу - 48%, Німеччина-11%, Польща - 6%.
Основні показники діяльності регіональної митниці можна згрупувати в наступній таблиці (таб.1.).
Таблиця 1. Основні показники діяльності регіональної митниці
|
Показник |
2001 рік |
2002 рік |
% ( + збільшення / - зменшення) |
|
|
Фактична чисельність працюючих |
232 |
222 |
- 4 % |
|
|
Акредитовано суб'єктів ЗЕД |
1129 |
Подобные документы
Здійснення адміністративних заходів з метою формування програми робіт в області інформаційної безпеки і забезпечення її виконання. Основні рівні політики безпеки, структурування її програми та синхронізація з життєвим циклом інформаційного сервісу.
презентация [144,4 K], добавлен 14.08.2013Забезпечення захисту інформації. Аналіз системи інформаційної безпеки ТОВ "Ясенсвіт", розробка моделі системи. Запобігання витоку, розкраданню, спотворенню, підробці інформації. Дослідження та оцінка ефективності системи інформаційної безпеки організації.
курсовая работа [1,6 M], добавлен 27.04.2014Аналіз задач, які вирішуються з використанням інформаційної системи. Вибір серверного вирішення, клієнтської частини, мережного вирішення, системного програмного забезпечення. Розробка підсистеми діагностики, керування, забезпечення безпеки даних.
курсовая работа [1,5 M], добавлен 22.04.2011Вразливість інформації в автоматизованих комплексах. Концепція захисту інформації. Комплекс основних задач при розробці політики безпеки. Стратегія та архітектура захисту інформації. Політика безпеки інформації. Види забезпечення безпеки інформації.
реферат [243,2 K], добавлен 19.12.2010Основні поняття безпеки інформаційних технологій. Законодавчі вимоги і регулювання інформаційної безпеки в мережах. Класифікація шкідливих програм. Приклади цінності інформації. Методи шахрайства. Програмний захист від витікання інформаційних даних.
курсовая работа [171,9 K], добавлен 08.12.2015Обґрунтовано важливість та необхідність забезпечення кібернетичної безпеки підприємства. Виявлено основні загрози при незабезпеченні підприємством своєї кібернетичної безпеки. Розмежовано поняття аналіз та діагностика економічної безпеки підприємства.
статья [349,6 K], добавлен 31.08.2017Основи безпеки даних в комп'ютерних системах. Канали проникнення та принципи побудови систем захисту. Ідентифікація і аутентифікація користувачів. Захист даних від несанкціонованого доступу. Технічні можливості зловмисника і засоби знімання інформації.
курс лекций [555,1 K], добавлен 05.12.2010Криптографія – математичні методи забезпечення інформаційної безпеки та захисту конфіденційності. Огляд існуючих методів пошуку нових алгоритмів шифрування. Розробка системи оцінки ефективності криптографічних систем. Найпоширеніші методи шифрування.
дипломная работа [1,2 M], добавлен 13.06.2015Інформаційна безпека як захист інтересів суб'єктів інформаційних відносин. Інформація - данні про людей, предмети, факти, події, явища і процеси незалежно від форми їхнього представлення. Об'єктно-орієнтований підхід и складові інформаційної безпеки.
реферат [97,7 K], добавлен 10.03.2009Аналіз існуючих методів несанкціонованого отримання інформації та заходів щодо протидії їм. Детальних огляд їх властивостей і можливостей впровадження на підприємстві. Наслідки недотримання правил захисту інформації від несанкціонованого отримання.
курсовая работа [36,5 K], добавлен 19.11.2014
