Ит-безопасность



Скачать 411.58 Kb.
Дата 07.09.2016
Размер 411.58 Kb.


ИТ-БЕЗОПАСНОСТЬ
Угрозы информации, представленной в электронном виде:

  • утеря информации;

  • изменение информации;

  • отсутствие доступа к информации (блокирование);

  • несанкционированный доступ к информации (НСД).


Защищенная корпоративная локальная вычислительная сеть (ЛВС) должна предусматривать:

  • контроль доступа в сеть, а также осуществление аутентификации и полномочий пользователей сети;

  • межсетевое экранирование;

  • возможность построения VPN;

  • предотвращение утечки конфиденциальных данных (например построение DLP);

  • защиту от атак из Интернета (особенно атак типа «Отказ в обслуживании»);

  • шифрование информации на основе построения инфраструктуры открытых ключей;

  • контроль деятельности сотрудников в сети Интернет;

  • анализ содержимого почтовых сообщений;

  • централизованное управление безопасностью;

  • анализ защищенности информационных систем, а также аудит и мониторинг средств безопасности;

  • предупреждение и обнаружение вторжений и аномалий;

  • защиту от вредоносного кода (вирусов);

  • управление обновлениями программных компонентов;

  • резервное копирование и архивирование;

  • защиту от спама.
Типовыми сценариями НСД можно считать:

  • просмотр информации (на экранах компьютеров, на печатающих устройст­вах и т.д.);

  • копирование программ и данных (копирование с жестких дисков и иных носителей информации при слабой защите оргтехники, плохой организации хранения копий и архивов; чтение данных по линиям связи в информационных сетях; получение информации за счет установки специальных закладок и др.);

  • изменение потока сообщений (в том числе применение закладок, изменяю­щих передаваемую информацию, при том, что на экране мониторов она остается без изменений);

  • изменение конфигурации телекоммуникационных средств и оргтехники (изменение прокладки ка­белей, изменение комплектации компьютеров и периферийных устройств во время технического обслуживания, загрузка посторонней операционной системы для доступа к информации, установка дополнительного порта для внешнего устройства и т.д.);

  • изменение расположения оргтехники и/или режима обслужива­ния и условий эксплуатации. Например, установка дополнительных устройств в близи компьютеров (систем пожарной и охранной сигнализации, телефонных сетей, сис­тем электропитания и т.д.), изменения расположения компьютеров для улучшения доступа к информации (визуального наблюдения);

  • несанкционированная модификация контрольных процедур (например, при проверке подлинности цифровой подписи, если она выполняется программ­ными средствами);

  • подделка и/или добавление объектов, не являющихся легальными, но обладающими основными свойствами легальных объектов (например, добавление подложных записей в лог-файлы). Это особенно опасно при использовании систем ав­томатизированного учета различных объектов;

  • добавление фальшивых процессов и/или подмена настоящих процессов об­работки данных фальшивыми. Это относится как к работе операционных систем, так и к работе пакетов прикладных программ;

  • физическое разрушение аппаратных средств или прерывание функциониро­вания оргтехники различными способами с целью уничтожения хранящейся в них информации.

Утечка информации от персональных компьютеров в ЛВС возможна за счет:

  • побочных электромагнитных излучений от компьютера и ЛВС. Защита осуществляется путем формирования в местах размещения компьютеров и ЛВС электромагнитного шумового сигнала в диапазоне частот равного или более ширины спектра паразитного электромагнитного излучения, а также экранирование аппаратуры;

  • паразитных наводок сигналов на линии связи, цепи заземления и электропитания;

  • специально навязываемой модуляции под действием радио и электрических сигналов, преднамеренно создаваемых злоумышленником;

  • радиосигналов от негласно вмонтированных в компьютер или в ЛВС устройств съема информации.
Уровни обеспечения безопасности ЛВС

  • физический уровень (физическая защита аппаратных и программных средств) – достигается использованием технических средств охраны и наблюдения;

  • технологический уровень (защита аппаратной и программной платформы) – достигается использованием надежного программного обеспечения и технических средств;

  • пользовательский уровень (защита индивидуальной рабочей среды пользователя) - достигается идентификацией, аутентификацией и разграничением полномочий пользователей;

  • локальный уровень (защита оболочек сегментов, сформированных по признакам: функциональному, территориальному, конфиденциальному) – достигается сегментированием, фильтрацией, экранированием, шифрованием, маршрутизацией, применением VPN и DLP);

  • сетевой уровень (защита внешнего периметра и оболочки сети) – достигается фильтрацией, экранированием, доверенной маршрутизацией, применением VPN и DLP);

  • канальный уровень (защита каналов связи с удаленными и внешними пользователями) - достигается применением канального шифрования, использованием надежных каналов

    Защита от несанкционированного доступа (НСД)

    Для борьбы с НСД наиболее эффективным является специ­альные программно-аппаратные контролеры управления доступом к информа­ции, а также криптографическая защита самой информации.



    Контролеры доступа к информации выполняют следующие функции:

  • идентификация пользователей и мандатный принцип доступа пользователей;

  • регистрация пользователей и обращений к защищенным ресурсам;

Средства защиты информации, позволяющие контролировать действия пользователей в информационных системах выполняют следующие функции:

  • контрольные. Многие программы отслеживают более 100 видов событий, начиная от запуска программ на компьютере и заканчивая записью информации на съемные носители и выводом ее на принтер. В последнее время наибольшую актуальность приобретают:

  • контроль перемещения конфиденциальных документов по сети;

  • контроль буфера обмена операционных систем компьютеров, что исключает возможность сделать копию всего документа или его части через буфер обмена;

  • удаленный контроль экрана компьютера со стороны СБ или системного администратора;

  • контроль действий системного администратора с помощью одного журнала регистрации — так называемого "журнала событий аудита". В нем регистрируется информация об управляющих воздействиях различных администраторов на информационную систему. Невозможно ограничить привилегии администратора, однако понимание того, что любое неправомерное действие будет зафиксировано и не останется безнаказанным, сделает его внимательнее и предотвратит немало ошибок.

  • разграничительные. В этих целях, как правило, реализуется так называемое полномочное управление доступом. Его суть состоит в следующем: для каждого пользователя устанавливается определенный уровень допуска к конфиденциальной информации. Каталогам или файлам назначается категория конфиденциальности, например "конфиденциальная информация", "строго конфиденциальная информация". При этом доступ к файлу пользователь получит только в том случае, если его уровень допуска не ниже, чем уровень конфиденциальности файла. Возможен и другой вариант, когда каждому пользователю на сервере создается папка, к которой только он имеет доступ.

  • защитные. Защита от НСД неуполномоченных лиц.

  • запрещающие. Используется контроль потоков, запрещающий, например, перемещение "конфиденциального" документа в "неконфиденциальный" каталог.

При этом пользователь не должен знать, какие механизмы защиты установлены на его рабочей станции, какие события регистрируются и какие существуют ограничения по использованию ресурсов сети. При полномочном управлении доступом можно настроить систему так, чтобы она только регистрировала события, а доступ пользователей к файлам осуществлялся обычным образом. Каждый сотрудник будет по-прежнему иметь доступ к тем ресурсам, к которым он имел доступ ранее, т. е. для пользователей внешне не будет заметно то, что операции с конфиденциальными документами фиксируются. Поэтому если злоумышленник, например, отправит конфиденциальный документ на печать или скопирует файл на флешку, то средство защиты не помешает ему, но немедленно отправит сообщение об НСД на консоль управления администратора по безопасности. Таким образом, можно выяснить противоправные действия сотрудников.

Идентификация пользователей информационными ресурсами

  • с помощью пароля (пин-кода). Характеризуется дискретным значением и применяется для вспомогательных целей;

  • с помощью электронных программ (электронных ключей). Характеризуется отсутствием дискретных значений;

  • с помощью биометрических параметров человека.

Пароли (пин-коды) должны удовлетворять следующим требованиям:

  • распространяться на основе принципа "знают только те, кому нужно знать";

  • случайны по своей природе;

  • не являются именами собственными или словарными словами;

  • должны состоять из цифровых и буквенных значений;

  • длина не менее шести символов;

  • должны периодически меняться.

Средства криптографической защиты информации (СКЗИ) подразделя­ются на:

  • аппаратные;

  • программные;

  • аппаратно-программные.

Криптографические алгоритмы бывают:

  • симметричные (имеется один закрытый ключ шифрования, который применяется как для зашифрования, так и для расшифрования информации);

  • несимметричные (для шифрования используется открытый ключ шифрования, а для расшифрования применяется соответствующий ему закрытый ключ).

Анализ симметричного и несимметричного шифрования:

  • системы с симметричным распределением ключей имеют на несколько порядков более высокую стойкость к методам взлома, чем системы с несимметричным распределением ключей. Даже если исходить только из требуемой длины ключа, то для достижения той же стойкости системы, как у симметричной системы с длиной ключа 128 бит (а такой размер ключа сегодня для симметричных систем считается минимально необходимым), для систем с несимметричным распределением требуется длина ключа более 2000 бит;

  • алгоритмы шифрования в системах с несимметричным распределением ключей основаны на вычислительной сложности некоторых классических математических задач. И неожиданный успех в математике потенциально в любой момент может обрушить всю асимметричную криптографию;

  • военные структуры, а также системы, в которых обрабатывается информация, содержащая государственную тайну, не используют несимметричные ключи для шифрования информации;

  • главным преимуществом несимметричного распределения ключей считается отсутствие необходимости секретного обмена ключами. Но при этом немедленно возникает проблема надежной аутентификации сторон, при отсутствии которой невозможно говорить о конфиденциальности связи. Эта задача в настоящее время в основном решается путем развертывания инфраструктуры цифровой подписи, основанной на цифровых сертификатах, заверенных некоторой третьей стороной (удостоверяющим центром), которой доверяют участники информационного обмена. В этом случае две стороны, желающие вести конфиденциальный обмен, проводят сеанс аутентификации, в процессе которого, например, производится обмен открытыми ключами, заверенными своими цифровыми подписями;

  • в системах с несимметричным распределением ключей нет централизованного владельца ключевой информации. Секретная часть ключа формируется непосредственно пользователем и, соответственно, известна только самому пользователю и неизвестна никаким администраторам. В симметричных системах ключи формируются централизованно, и потенциально могут быть известны администраторам и использованы ими для получения доступа к информации, передаваемой между абонентами. Кроме того, могут быть опасными последствия компрометации ключей в центре, в котором может храниться весь массив ключей, используемый в системе.

В настоящее время перспективной является технология защиты данных, где вся информация на компьютере автоматически шифруется, а электронный ключ, который позволяет получить доступ к ней, закреплен на одежде пользователя и общается с компьютером по радиоканалу. Стоит пользователю удалиться от компьютера, и доступ к винчестеру станет невозможным. При этом не надо постоянно активировать защиту, так как все происходит автоматически.

Принцип несимметричных алгоритмов шифрования применяется для создания цифровой подписи (ЦП).

Цифровая подпись позволяет:


  • подтвердить авторство электронного документа;

  • подтвердить подлинность и время подписи электронного документа.

Схема распространения ключей ЦП аналогична схеме асимметричного шифрования: секретный ключ должен оставаться у его владельца, открытый же распространяется всем пользователям, желающим проверять ЦП владельца секретного ключа. Необходимо обеспечивать недоступность своего секретного ключа, ибо злоумышленник легко может подделать ЦП любого пользователя, получив доступ к его секретному ключу.

Электронной подписью можно подписать любую информацию. Предварительно информацию обрабатывают функцией хэширования, цель которой - выработка последовательности определенной длины, однозначно отражающей содержимое подписываемой информации. Данная последовательность называется "хэш". Основное свойство хэша таково, что исключительно сложно модифицировать информацию так, чтобы ее хэш остался неизменным. Отечественный стандарт хэш-функций ГОСТ Р 34.11-94 предусматривает хэш размером 256 бит. На основе хэша информации и секретного ключа пользователя вычисляется ЦП. Как правило, ЦП отправляется вместе с подписанной информацией (ЦП файла чаще всего просто помещают в конец файла перед его отправкой куда-либо по сети). Сама ЦП, как и хэш, является бинарной последовательностью фиксированного размера. Однако, помимо ЦП, к информации обычно добавляется также ряд служебных полей, прежде всего, идентификационная информация о пользователе, поставившем ЦП. Данные поля участвуют в расчете хэша.

При проверке ЦП также вычисляется хэш информации; если он не совпадает с полученным при вычислении ЦП (что может означать попытку модификации информации злоумышленником), ЦП будет неверна.

Наряду с ГОСТ 28147-89 существует отечественный алгоритм ЦП: ГОСТ Р 34.10-94 и его более новый вариант ГОСТ Р 34.10-2001. Государственные организации РФ и ряд коммерческих обязаны использовать один из этих алгоритмов ЦП в паре с алгоритмом хэширования ГОСТ Р 34.11 - 94.

Существует и более простой способ обеспечения целостности информации - вычисление имитоприставки. Имитоприставка - это криптографическая контрольная сумма информации, вычисляемая с использованием ключа шифрования. Для вычисления имитоприставки используется, в частности, один из режимов работы алгоритма ГОСТ 28147-89, позволяющий получить в качестве имитоприставки 32-битную последовательность из информации любого размера. Аналогично хэшу информации имитоприставку чрезвычайно сложно подделать. Использование имитоприставок более удобно, чем применение ЦП: во-первых, 4 байта информации намного проще добавить, например, к пересылаемому по сети IP-пакету, чем большую структуру ЦП, во-вторых, вычисление имитоприставки существенно менее ресурсоемкая операция, чем формирование ЦП, поскольку в последнем случае используются такие сложные операции, как возведение 512-битного числа в степень, показателем которой является 256-битное число, что требует достаточно много вычислений. Имитоприставку нельзя использовать для контроля авторства сообщения, но этого во многих случаях и не требуется.

При выборе средства криптографической защиты информации необходимо учитывать:



  • длину ключа алгоритма. Длина до 128 бит (включительно) является свидетелем того, что этот алгоритм является алгоритмом временной стойкости. Рекомендуется использовать алгоритм с длиной ключа 256 бит. Это алгоритм гарантированной стойкости (например, алгоритм «Криптон», применяемый в настоящее время для защиты государственной тайны);

  • принцип прозрачного шифрования (или шифрования «на лету») более удобен, чем принцип принудительного шифрования;

  • по законодательству Российской Федерации ни один иностранный алгоритм в России не сертифицируется, поэтому отсутствие сертификата на импортный алгоритм не означает, что он плохой.

ФЗ «О лицензировании отдельных видов деятельности» предполагает лицензирование следующих видов деятельности, применительно к шифровальным средствам:

  • деятельность по распространению шифровальных (криптографических) средств;

  • деятельность по техническому обслуживанию шифровальных (криптографических) средств;

  • предоставление услуг в области шифрования информации;

  • разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

  • деятельность по выдаче сертификатов ключей цифровых подписей, регистрации владельцев цифровых подписей, оказанию услуг, связанных с использованием цифровых подписей, и подтверждению подлинности цифровых подписей;

  • деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);

  • деятельность по разработке и (или) производству средств защиты конфиденциальной информации;

  • деятельность по технической защите конфиденциальной информации;

  • разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность.

Защита от утери электронных информационных ресурсов

Возможность разрушения и/или уничтожения информации для незащищенных компьютеров является достаточно ощутимой угрозой. Для защищенных компьютеров подобные преднамеренные действия затруднительны, ошибки же самого пользователя не исключаются. Наиболее надежным способом уменьшения тяжести последствий разрушения и/или уничтожения информации является хо­рошо организованная технология ведения постоянных архивов на съемных нако­пителях. Архивные данные должны позволять восстанавливать утраченную ин­формацию с откатом не более чем на одни сутки. Рациональнее делать копии и вести архивы при интенсивной работе на компьютере каждые 1 – 2 часа. Архивы, как правило, ведутся в двух экземплярах и хранятся в иных зданиях (аренда удаленного сервера, аренда банковской ячейки и т.д.).



Защита от вредоносных программ (вирусов)

Виды вредоносных программ:

  • программы – компьютерные вирусы.

  • Интернет-черви. Почти все Интернет черви - это почтовые черви, и лишь малая доля - это непочтовые черви, применяющие уязвимости программного обеспечения (как правило, серверного).

Почтовые черви делятся на два основных класса:

  • черви, которые запускаются без ведома пользователя и используют уязвимости почтовых клиентов;

  • черви, которые активизируются, только если пользователь сохранит присоединённый к письму файл и запустит его.

Кроме основной функции - размножения, черви почти всегда несут в себе и боевую нагрузку. Вложенные функции чрезвычайно разнообразны. Так, например, очень часто почтовые черви призваны для того, чтобы установить на зараженный компьютер троянскую программу или утилиту скрытого администрирования и сообщить адрес компьютера творцу червя.

  • Макро-вирусы. Данные вирусы являются макросами, хранящимися во внешних файлах программного обеспечения (документах Microsoft Office, Autocad и пр.) и при открытии документа исполняются внутренними интерпретаторами данных программ. Широкое распространение они получили благодаря огромным возможностям интерпретатора языка Visual Basic, интегрированного в Microsoft Office;

  • «Троянские» программы и утилиты скрытого администрирования. В последнее время большое распространение получили Trojan и Backdoor программы. Отличие этих двух типов программ заключается в том, что «троянская» программа выполняет активные действия (уничтожение данных, сбор данных и отправка через Internet, выполнение каких либо действий в определённое время), в то время как Backdoor-программы открывают удалённый доступ к компьютеру и ожидают команды злоумышленника. Для простоты оба этих класса вредоносных программ называют «троянскими» программами.

Главное отличие "троянов" от всех перечисленных выше вредоносных программ является то, что «троянские» программы не размножаются сами. Они устанавливаются на компьютер и долгое время (как правило, либо до момента обнаружения, либо до переустановки операционной системы ) выполняют свои функции. При этом «троянский конь» не может самостоятельно переместиться с одного компьютера в локальной сети на другой.

Все «троянские» программы можно разделить на три основных класса по выполняемым действиям:



  • логические (временные) бомбы - программы, различными методами удаляющие/модифицирующие информацию в определённое время, либо по какому то условию;

  • шпионы - собирающие информацию (имена, пароли, нажатия на клавиши) и складирующие её определённым образом, а нередко и отправляющие собранные данные по электронной почте или другим методом;

  • BackDoor программы - удалённое управление компьютером или получение команд от злоумышленника (через локальную/глобальную сеть, по электронной почте, в файлах, от других приложений, например тех же червей или вирусов).

Рекомендации по защите компьютерных сетей от вредоносных программ

В основу построения системы антивирусной защиты могут быть положены следующие принципы:



  • принцип реализации единой технической политики при обосновании выбора антивирусных продуктов для различных сегментов локальной сети;

  • принцип полноты охвата системой антивирусной защиты всей локальной сети организации;

  • принцип непрерывности контроля локальной сети компании, для своевременного обнаружения компьютерной инфекции;

  • принцип централизованного управления антивирусной защитой.

С учётом этих принципов в комплексной системе информационной безопасности создаётся подразделение антивирусной защиты, которая должна решать следующие задачи:

  • приобретение, установка и своевременная замена антивирусных пакетов на серверах и рабочих станциях пользователей;

  • контроль правильности применения антивирусного программного обеспечения пользователями;

  • обнаружение вирусов в локальной сети, их оперативное лечение, удаление зараженных объектов, локализация зараженных участков сети;

  • своевременное оповещение пользователей об обнаруженных или возможных вирусах, их признаках и характеристиках.

Эффективность создаваемой подсистемы антивирусной защиты зависит также от выполнения следующих дополнительных условий:

  • подключение персональных компьютеров пользователей в корпоративную сеть должно производиться только по заявке с отметкой администратора антивирусной защиты об установке лицензионного антивирусного программного обеспечения (заявка заносится в базу данных с фиксацией сроков действия лицензии);

  • передачу персонального компьютера от одного пользователя другому необходимо производить с переоформлением подключения к сети;

  • в удаленных структурных подразделениях следует назначить внештатных сотрудников, ответственных за антивирусную защиту.

Практическая реализация антивирусной защиты информации на серверах и персональных компьютерах корпоративной сети осуществляется с использованием ряда программно-технических методов, являющихся стандартными, но имеющих свою специфику, определяемую особенностями корпоративной сети. К ним относятся:

  • использование антивирусных пакетов, которые должны удовлетворять следующим общим требованиям: быть совместимыми с операционными системами серверов и компьютеров, не должны нарушать логику работы остальных используемых приложений, должны иметь полный набор антивирусных функций, необходимых для обеспечения антивирусного контроля и обезвреживания всех известных вирусов;

  • частота обновления антивирусного программного обеспечения и гарантии поставщиков (разработчиков) в отношении его своевременности;

  • архивирование информации;

  • резервирование информации;

  • ведение базы данных о вирусах и их характеристиках;

Антивирусной защите подлежат все компоненты информационной системы, участвующие в транспортировке информации и/или её хранении:

  • файл-серверы;

  • рабочие станции;

  • рабочие станции мобильных пользователей;

  • серверы резервного копирования;

  • почтовые серверы.

Современные антивирусные пакеты содержат в себе следующие основные программные компоненты:

  • монитор (резидентно размещается в оперативной памяти компьютера и автоматически проверяет объекты перед их запуском или открытием; при обнаружении вируса программа в зависимости от настроек может удалить зараженный объект, вылечить его, запретить к нему доступ);

  • сканер (осуществляет проверку объектов на наличие вирусов по запросу пользователей);

  • сетевой центр управления (позволяет организовать управление антивирусной защитой корпоративной сети: управлять компонентами пакета, задавать расписания запуска сканера, автоматического обновления антивирусных баз и т.д.);

  • дополнительные модули, обеспечивающие проверку электронной почты и Web-страниц в момент получения информации.

При обнаружении вирусов пользователям не рекомендуется заниматься "самолечением", так как это может привести к потере информации. В таких случаях им следует по "горячей линии" обращаться к администраторам антивирусной защиты, которые принимают меры по обезвреживанию вирусов и предотвращению дальнейшего заражения.

Следующими по важности методами антивирусной защиты являются архивирование и резервное копирование информации, позволяющие исключить потерю информации в случае вирусного заражения. Архивирование заключается в периодическом копировании системных областей машинных носителей информации на внешние устройства. На серверах с наиболее важной информацией архивирование необходимо проводить с минимальной периодичностью. Резервное копирование информации проводится ежедневно в целях защиты ее от искажения и разрушения.



    Рекомендации по защите автономных компьютеров

Для работы с защищаемой информацией отбор оргтехники следует проводить по результатам специсследований и специальной лабораторной проверки, которые могут быть проведены специализирующимися на этих работах компаниями, имеющими лицензии на проведение подобных работ. В случае невозможности проведения подобных ра­бот следует осуществлять закупку современных компьютеров только известных компаний, а также использовать лицензионные программы.

Для защиты информации на автономных компьютерах рекомендуется провести следующие действия:

  • каждый компьютер закрепить за конкретным пользователем;

  • для каждого компьютера завести Формуляр, в котором должны быть указаны установленные технические средства (с номерным учетом), перечень разрешенных к использованию программных средств и установленные средства защиты информации и управления доступом, а также разрешенные места размещения данного компьютера;

  • установить парольную защиту на включение машины, на обращение к жесткому диску и/или на откры­тие файлов прикладных программ с периодическим изменением используемых паролей;

  • установить системы идентификации пользователей компьютерами, применяя электронные карточки, брелки, биометрические системы и иные варианты идентификации физического лица;

  • разделить на защищаемых компьютерах места размещения прикладных компьютерных про­грамм и конфиденциальных данных, с которыми работает пользователь;

  • шифровать отдельные данные или все накопители информации, например, логические устройства (раз­делы) жест­кого диска, с использованием крип­тографии и постоянное обновление копий на съемных носителях;

  • использовать режим гашения экрана и закрытия файлов при перерывах в работе пользователя;

  • использовать источники бесперебойного обеспечения питания;

  • организовать ведение постоянных архивов на съемных накопителях;

  • создать принудительное использование активных антивирусных программ.

    Также следует помнить, что работа на защищенных компьютерах должна обеспечиваться необходимыми ин­струкциями, исполнение которых обязательно. Контроль за соблюдением этих ин­струкций должен быть централизованным. При приеме на работу сотрудников, ко­торые будут использовать компьютеры, следует в соответствующем контракте оговорить особые условия работы с информацией на компьютерах.

    Необходимо постоянное обучение персонала правильной работе с компьюте­рами, выделение специального компьютера для проверки программного оборудования, а также запретить играть в компьютерные игры и испытывать программное обеспечение на компьютерах, обрабатывающих конфиденциальную информацию.


Рекомендации по защите информационных компьютерных сетей

Защита информации в компьютерных сетях всегда носит комплексный характер. Все компьютеры сети обязательно проходят спецлабпроверки. Используются средства шифрования информации как на жестких дисках, так и при передаче данных. Создается система парольной защиты с разграничением прав доступа раз­личных пользователей к ресурсам сети и к информации в ней. Могут быть введены заметные ограничения на вывод информации из сети, например, печать данных разрешается только с ограниченного ко­личества терминалов при учете всей выда­ваемой информации. Следует отметить, что выход в Интернет для защищенной сети реализуется с очень большими затратами. Особое внимание в сетях уделяется антивирусной защите, поскольку такая опасность очень велика, а последствия весьма серьезны. Создается специальная система восстановления сети, которая по­зволяет с приемлемыми потерями и при допустимых затратах восстановить сис­тему после разрушения в ней информации или физического изъятия из системы ее отдельных частей. Сложность защиты сети возрастает с увеличением ее масштаба и ус­ложне­нием структуры.

Все вопросы защиты сети решаются при ее проектировании, которое может проводить только такая организация, которая имеет необходимые документы (сер­тификаты, разрешения и др.), позволяющие ей производить прокладку силовых кабелей, коммуникаций и установку средств защиты данных, включая криптогра­фическую защиту. После за­вершения работ по установке сети должно быть полу­чено специальное предписание, позволяющее эксплуатировать сеть как защищен­ную. Для дальнейшей ее работы необходима специальная служба администрирова­ния сети и ведения средств защиты.



Использование DLP систем. Предотвращение утечек (англ. Data Leak Prevention, DLP) — технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек. DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.

Шифрование в каналах связи компьютерной сети. Применяются три вида шифрования в информационных компьютерных сетях.

  • канальное шифрование. При канальном шифровании шифруются абсолютно все данные, проходящие через каждый канал связи, включая открытый текст сообщения, а также информацию о его маршрутизации и об используемом коммуникационном протоколе. Однако в этом случае любой интеллектуальный сетевой узел (например, коммутатор) будет вынужден расшифровывать входящий поток данных, чтобы соответствующим образом его обработать, и снова зашифровывать, чтобы передать на другой узел сети. Тем не менее канальное шифрование представляет собой очень эффективное средство защиты информации в компьютерных сетях. Поскольку шифрованию подлежат все данные, движущиеся от одного узла сети к другому, у злоумышленника нет никакой дополнительной информации о том, кто служит источником передаваемых данных, кому они предназначены, какова их структура и так далее. А если еще позаботиться и о том, чтобы, пока канал простаивает, передавать по нему случайную битовую последовательность, сторонний наблюдатель не сможет даже сказать, где начинается и где заканчивается текст передаваемого сообщения. Самый большой недостаток канального шифрования связан с тем, что данные приходится шифровать при передаче по каждому физическому каналу компьютерной сети. Отправка информации в незашифрованном виде по какому-то из каналов ставит под угрозу обеспечение безопасности всей сети в целом. В результате стоимость реализации канального шифрования в больших сетях может оказаться чрезмерно велика;

  • сквозное шифрование. При нем шифрованию подлежит только содержательная часть сообщения, которое требуется передать по сети. После зашифровывания к ней добавляется служебная информация, необходимая для маршрутизации сообщения, и результат переправляется на более низкие уровни с целью отправки адресату. Сообщение не требуется постоянно расшифровывать и зашифровывать при прохождении через каждый промежуточный узел сети связи, оно остается зашифрованным на всем пути от отправителя к получателю. Основная проблема, с которой сталкиваются пользователи компьютерных сетей, где применяется сквозное шифрование, связана с тем, что служебная информация, используемая для маршрутизации сообщений, передается по сети в незашифрованном виде. Злоумышленник может извлечь для себя массу полезной информации, зная, кто, с кем, как долго и в какие часы общается через компьютерную сеть. Для этого ему даже не потребуется быть в курсе предмета общения. По сравнению с канальным сквозное шифрование характеризуется более сложной работой с ключами, поскольку каждая пара пользователей компьютерной сети должна быть снабжена одинаковыми ключами, прежде чем они смогут связаться друг с другом;

  • комбинированное шифрование. Комбинация канального и сквозного шифрования данных в компьютерной сети обходится значительно дороже, чем канальное или сквозное шифрование по отдельности. Однако именно такой подход позволяет наилучшим образом защитить данные, передаваемые по сети. Шифрование в каждом канале связи не позволяет противнику анализировать служебную информацию, используемую для маршрутизации. А сквозное шифрование уменьшает вероятность доступа к незашифрованным данным в узлах сети. При комбинированном шифровании работа с ключами ведется раздельно: сетевые администраторы отвечают за ключи, используемые при канальном шифровании, а о ключах, применяемых при сквозном шифровании, заботятся сами пользователи.

Защита информационных ресурсов от атак через Интернет

Сценарии развития хакерских атак из сети «Интернет» и возможное противодействие

Обычно хакерская атака развивается по стандартному сценарию, состоящему из нескольких этапов:



  • изучение потенциальной жертвы, сбор максимальной информации о ней;

  • на основании полученных данных последовательно проводятся нападения на предполагаемые уязвимые места;

  • после проникновения внутрь корпоративной сети происходит уничтожение следов своего присутствия, для чего хакер старается изменить или удалить журналы, в которых ведется учет действий пользователей.

Сгруппировав действия хакеров по способу вмешательства, можно выделить пять основных категорий атак:

  • инициирование отказа в обслуживании (denial of service) - единовременная атака посредством передачи некорректных запросов или больших объемов информации с целью нарушения работы атакуемой системы;

  • подмена пакетов служебной информации (spoofing) - способ проникновения "вглубь" системы, основанный на подмене IP-адресов передаваемых по сети пакетов с целью получения доступа к конфиденциальной информации, закрытой для внешних пользователей. Одной из разновидностей этой категории является подмена DNS; такая атака позволяет управлять трафиком определенного узла за счет перехвата запросов DNS-сервера. Результатом такого рода вмешательства может стать полная изоляция узла;

  • сканирование - способ взлома, основанный на поиске определенных "трещин" в системе безопасности с целью проникновения в нее и последующего вживления тела вируса;

  • перехват пакетов (sniffing) - несанкционированный перехват потока данных с целью дешифрования и получения конфиденциальной информации (паролей, ключей и т. п.). Опасность скрыта в том, что хакер может вести себя пассивно и никак не выдавать своего присутствия, пока не получит достаточного количества данных, позволяющих беспрепятственно проникнуть в систему;

  • рассылка вирусов - самый простой способ, основанный на добавлении вирусов-"троянцев" к электронным письмам или другим данным (например, в программы, свободно распространяемые через Internet).

На данный момент самый популярный способ взлома - атака DDoS (distributed denial of service). Принцип этой атаки состоит в том, что при перегрузке системы большим объемом входных данных обработка поступающей информации нарушается, и хакерам удается на продолжительное время остановить работу определенной службы или даже всей системы. Основной особенностью DDoS-атаки является использование большого числа удаленных друг от друга ресурсов, действия которых координируются с главного компьютера. Для этого, естественно, перед нападением необходимо внедрить в удаленные системы агента DDoS, то есть "зомбировать" их.

Некоторые способы защиты от хакерских атак:

Для защиты от хакерских атак можно порекомендовать:



  • разграничение доступа пользователей;

  • использование межсетевых экранов. Применение межсетевых экранов позволит защитить внутреннюю сеть от случайных внешних воздействий, таких как сканирование. Задача межсетевых экранов заключается в четком распределении и анализе входящего/исходящего трафика. Ограничение внутренних подсетей подобными "барьерами" увеличивает эффективность системы безопасности, противодействуя всем нежелательным и несанкционированным действиям как внутри сети, так и извне. Межсетевые экраны обладают функциями ограничения входящего трафика, что является защитой от DDoS-атак;

  • защиту передаваемых данных. Пароли и иная носящая конфиденциальный характер информация может быть перехвачена или подменена. Чтобы предотвратить это, используется несколько способов защиты сетевых каналов. Для взаимодействия удаленных узлов или сетей может применяться туннелирование, предполагающее, что при передаче через общедоступные сети весь трафик шифруется граничными устройствами (маршрутизаторами); это обеспечивает необходимое быстродействие, хотя до граничных устройств пакеты данных передаются незащищенными;

  • использование защищенных протоколов. Например, использование протокола IPSec позволяет обеспечить защиту информации при передаче между удаленными и локальными ресурсами. Решается сразу несколько проблем безопасности, таких как идентификация узлов (определение подлинности отправителей данных), контроль целостности данных (предотвращение искажения информации по пути следования), шифрование трафика (предупреждение просмотра конфиденциальной информации, передаваемой по сети) и т.д.;

  • аутентификация пользователей, что исключает несанкционированное подключение к сети, посредничество в передаче пакетов и т. п.;

  • использование более широкого канала связи с провайдером;

  • использование надежного провайдера с хорошими каналами (желательно несколькими), грамотно и быстро отвечающими на запрос о помощи администраторов;

  • шифрование трафика, что обеспечивает конфиденциальность информации, передаваемой между узлами сети. Для шифрования пакетов в стандарте IPSec предусмотрен специальный протокол ESP (Encapsulated Security Payload), который по умолчанию использует алгоритм шифрования DES (наряду с этим могут использоваться и другие алгоритмы);

  • контроль над распространением и использованием ключей и сертификатов. Такое решение подходит только для локальных сетей с очень ограниченным числом узлов. Для больших корпоративных сетей аутентификация пользователей и распределение ключей должны выполняться автоматически. Все это приводит к необходимости построения внутренней инфраструктуры, выполняющей функции администрирования потоков цифровых сертификатов. Для этих целей может быть создана инфраструктура открытых ключей (PKI - public key infrastructure);

  • контроль безопасности среды. Даже если все приведенные рекомендации выполнены, система все равно требует постоянного аудита и совершенствования. Для этих целей предназначены специальные инструменты, выявляющие узкие звенья системы безопасности. Функции контроля безопасной среды можно разделить на предупреждение вторжений и противодействие обнаруженным атакам. Предупреждение вторжений может быть направлено на изучение статистических данных сети (аномалии трафика, частота ошибок авторизации и т. п.), а также на анализ надежности средств защиты. Периодичность осуществления профилактических мер зависит от важности и ценности используемой информации. Системы обнаружения вторжений (intrusion detection system - IDS) позволяют распознавать и классифицировать нарушения в работе системы безопасности, а также противостоять угрозе и даже устранять ее. Действие подобных систем основано на выявлении так называемых сигнатур атак. Сигнатуры представляют собой определенные последовательности действий (кода), свойственные атакам, несанкционированным вторжениям в сеть или нарушениям ее работы. Поиск сигнатур атак проводится на двух уровнях: сетевой уровень, предполагающий анализ трафика, заголовков пакетов, а также передаваемых по сети данных, выявление аномалий и корреляций событий и системный уровень, предполагающий анализ регистрационных журналов, системных и исполняемых файлов;

  • профессиональные действия администраторов сети по недопущению или противодействию хакерских атак;

  • грамотные действия пользователей сети по недопущению или противодействию хакерских атак, а также сохранностью своих персональных паролей и электронных ключей;

  • разработка необходимой нормативной документации, в том числе документов, регламентирующих работу специалистов при возникновении внештатных ситуаций;

  • разработка плана профилактических мероприятий, позволяющих заранее выявить недочеты в системе защиты и предупредить попытки использования этой информации в корыстных целях.

При выборе системы защиты компьютерной сети от атак из Интернет необходимо учитывать, что она должна выполнять следующие основные функции:

    • контролировать и анализировать активность пользователей и вычислительной системы;

    • фиксировать конфигурации системы и уязвимости;

    • оценивать целостность критических системных файлов и файлов данных;

    • распознавать шаблоны активности, отражающие известные атаки;

    • проводить статистический анализ для выявления аномального поведения;

    • распознавать нарушения политики безопасности пользователем системы.

Кроме вышеописанных основных функций система защиты должна в идеале удовлетворять следующим функциональным характеристикам:

  • выполняться непрерывно с минимальным вмешательством пользователя;

  • быть защищена от сбоев, т.е. не зависеть от сбоев системы, произошедших случайно или вследствие действий нарушителя;

  • контролировать собственную целостность и обнаруживать собственные модификации, осуществленные нарушителем;

  • минимально воздействовать на систему, безопасность которой контролируется;

  • конфигурироваться в соответствии с политикой безопасности контролируемой системы;

  • адаптироваться к изменениям в системе и поведении пользователя во времени (новые приложения, новые ресурсы, санкционированные изменения активности пользователя);

  • работать с данными, поступающими от многих пользователей;

  • поддерживать динамическую реконфигурацию;

  • обеспечивать администратора системы данными, достаточными для восстановления системы после атаки.

Для защиты компьютерной сети от нападений в основном применяют межсетевые экраны, выполненные, в основном по технологии виртуальных частных сетей (VPN). Суть VPN состоит в следующем: на все компьютеры, имеющие выход в Internet (вместо Internet может быть и любая другая сеть общего пользования), ставится средство, реализующие VPN (а также VPN – агент, позволяющий настраивать VPN), которое автоматически зашифровывают всю информацию, передаваемую через нее в Internet, а также контролирует целостность информации с помощью имитоприставок.

Перед отправкой IP-пакета VPN - агент выполняет следующее:



  • анализируется IP-адрес получателя пакета. В зависимости от адреса и другой информации выбираются алгоритмы защиты данного пакета (VPN может поддерживать одновременно несколько алгоритмов шифрования и контроля целостности) и криптографические ключи. Пакет может и вовсе быть отброшен, если в настройках VPN - агента такой получатель не значится;

  • вычисляется и добавляется в пакет его имитоприставка;

  • пакет шифруется (целиком, включая заголовок IP-пакета, содержащий служебную информацию);

  • формируется новый заголовок пакета, где вместо адреса получателя указывается адрес его VPN-агента. Это называется инкапсуляцией пакета. При использовании инкапсуляции обмен данными между двумя локальными сетями снаружи представляется как обмен между двумя компьютерами, на которых установлены VPN-агенты. Всякая полезная для внешней атаки информация, например, внутренние IP-адреса сети, в этом случае недоступна.

При получении IP-пакета выполняются обратные действия:

  • из заголовка пакета получается информация о VPN-агенте отправителя пакета. Если такой отправитель не входит в число разрешенных в настройках, то пакет отбрасывается. То же самое происходит при приеме пакета с намеренно или случайно поврежденным заголовком;

  • согласно настройкам выбираются криптографические алгоритмы и ключи;

  • пакет расшифровывается, затем проверяется его целостность. Пакеты с нарушенной целостностью также отбрасываются;

  • в завершение обработки пакет в его исходном виде отправляется настоящему адресату по локальной сети.

Некоторые способы преодоления злоумышленниками межсетевых экранов:

  • использование неправильных настроек межсетевых экранов. Неправильные настройки могут быть результатом неграмотных действий администратора или преднамеренными действиями администратора, направленными на удовлетворение прихотей коллег по работе, друзей или руководства. Необходимо помнить, что требования по безопасности должны быть одинаковые для всех, не взирая на личностные отношения;

  • использование «черных ходов» в сети. Роль черного хода может выполнять несанкционированно установленный модем;

  • использование особенностей работы межсетевых экранов. Межсетевой экран фильтрует трафик и принимает решения о пропуске или блокировании сетевых пакетов, опираясь на информацию об используемом протоколе. Чаще всего, правила предусматривают соответствующую проверку с целью определения того, разрешен или нет конкретный протокол. Именно этот принцип обработки и используется злоумышленниками. Вся несанкционированная деятельность осуществляется в рамках разрешенного протокола, создавая тем самым в нем туннель, по которому злоумышленник и реализует атаку. Самый простой пример, демонстрирующий применение туннелей - Internet-черви и макровирусы, заносимые в корпоративную сеть в виде вложений (attachments) в сообщения электронной почты. Если межсетевой экран разрешает прохождение SMTP-трафика, то во внутреннюю сеть может попасть и "вирусная инфекция";

  • использование оппонентов вашей сети. Даже если происходит шифрования трафика между сетью компании и оппонентской сетью, то нет никакой гарантии, что оппоненты также ни с кем не общаются по незащищенным каналам. Злоумышленник сможет проникнуть в сеть оппонента, а уж затем из нее осуществлять свои несанкционированные действия по отношению к сети компании;

  • использование подмены адреса. Подмена адреса - это способ сокрытия реального адреса злоумышленника. Однако он может использоваться и для обхода защитных механизмов межсетевого экрана. Такой простейший способ, как замена адреса источника сетевых пакетов на адрес из защищаемой сети, уже не может ввести в заблуждение современные межсетевые экраны. Все они используют различные способы защиты от такой подмены. Однако сам принцип подмены адреса остается по-прежнему актуальным. Например, злоумышленник может подменить свой реальный адрес на адрес узла, у которого установлены доверенные отношения с атакуемой системой и реализовать атаку типа "отказ в обслуживании" на нее;

  • использование межсетевого экрана как цели атаки. Атаковав межсетевой экран и выведя его из строя, злоумышленники могут спокойно, не боясь быть обнаруженными, реализовывать свои преступные замыслы по отношению к ресурсам защищаемой сети;

  • использование кодов доступа других пользователей. Абсолютное большинство межсетевых экранов построено на классических моделях разграничения доступа. Согласно этим моделям субъекту (пользователю, программе, процессу или сетевому пакету) разрешается или запрещается доступ к какому-либо объекту (например, файлу или узлу сети) при предъявлении некоторого уникального, присущего только этому субъекту, элемента. В 80% случаев этим элементом является пароль. В других случаях таким уникальным элементом является таблетка Touch Memory, Smart или Proximity Card, биометрические характеристики пользователя и т.д. Для сетевого пакета таким элементом являются адреса или флаги, находящиеся в заголовке пакета, а также некоторые другие параметры. Можно заметить, что самым слабым звеном этой схемы является уникальный элемент. Если нарушитель каким-либо образом получил этот самый элемент и предъявил межсетевому экрану, то он воспринимает его, как "своего" и разрешает действовать в рамках прав того субъекта, секретным элементом которого несанкционированно воспользовались. Даже самый мощный и надежный межсетевой экран не защитит от проникновения в корпоративную сеть нарушителя, если последний смог подобрать или украсть пароль авторизованного пользователя. Мало того, межсетевой экран даже не зафиксирует нарушения, так как для него нарушитель, укравший пароль, является авторизованным пользователем;

  • использование администратора сети для обхода межсетевых экранов. Даже самый эффективный межсетевой экран не смог бы защитить корпоративную сеть, если бы на нее совершил нападение ее администратор.

Если ПЭВМ подверглась хакерской атаке, то рекомендуется сделать следующее:

  • отсоединить компьютер от сети и перезагрузить в однопользовательском режиме. Однопользовательский режим позволяет предотвратить изменение логов или данных пользователями, злоумышленником или процессами злоумышленника, которые могли остаться после взлома системы;

  • осуществить резервное копирование поврежденной системы;

  • осуществить анализ вторжения;


Анализ хакерского вторжения осуществляется по следующей схеме

  • поиск изменений в программах и конфигурационных файлах. Однако следует помнить, что утилиты, которые вы используете, тоже могут быть изменены. В связи с этим рекомендуется загрузиться с "чистого" ядра и воспользоваться "чистыми" системными утилитами. Так же рекомендуется проверить все системные файлы на предмет «троянов», установленных злоумышленником;


  • поиск информации и программ, оставшихся после взлома. Злоумышленники обычно устанавливают собственные программы для продолжения мониторинга или возможности иметь доступ к взломанной системе. Обычно после злоумышленника на диске могут остаться:

  • сетевые снифферы. Сниффер - это утилита, которая позволяет мониторить и записывать весь сетевой трафик в файл. Злоумышленники часто используют снифферы для добычи логинов и паролей пользователей, которые в чистом виде передаются по сети;

  • «троянские кони». Это работающие стандартным образом программы, но с добавленными злоумышленником функциями. Злоумышленник может использовать «троянского коня» для сокрытия своей активности, добычи логинов и паролей пользователей и создания «бэкдоров» для последующего доступа к взломанной системе;

  • эксплоиты (exploit). Программное обеспечение может быть уязвимо к таким действиям, как переполнение буферов, используемых для обмена информацией. Злоумышленник может использовать специальные программы, использующие переполнение буферов для получения прав суперпользователя root. Такие программы также часто остаются в "спрятанных" каталогах;

  • утилиты, позволяющие проверять системы на уязвимость;

  • программы для сканирования других хостов;

  • программы для запуска "DoS" (Denial of Service) атак (в том числе распределенных);

  • программы, использующие ресурсы вашего компьютера (например, для "крэка" паролей).

  • просмотр лог-файлов. Просмотр лог-файлов может помочь понять, как был взломан компьютер, что случилось во время взлома и какие удаленные хосты имели доступ к компьютеру. Однако лог-файлы могут быть исправлены злоумышленником;

  • анализ утилит, поставленных злоумышленником. Возможно в найденных лог-файлах, сгенерированных утилитами злоумышленника, может содержаться информация о других взломанных сайтах, дырах на взломанных машинах в корпоративной сети, дырах на других сайтах. Рекомендуется поискать такие утилиты и сопутствующие файлы. Однако будьте уверены в том, что вы используете "чистую" копию утилиты для поиска файлов злоумышленника.


Защита информации с использованием систем Honeypot

Системы Honeypot предназначены для обнаружения злоумышленника, записывая все его действия с целью дальнейшего изучения и разработки средства или принципов защиты от новых атак. Honeypot или ловушка – это программный продукт, который эмулирует работу определенных сервисов (почтовых, telnet и т. п.) на машине, тщательно протоколирующей при этом любые действия злоумышленника. Последний будет уверен, что обнаружил компьютер, на котором работает, например, http-сервер, подверженный взлому. Как только злоумышленник начнет атаку на данный сервис, все его действия будут записаны и оценены. При этом задача ловушки – не дать понять нарушителю, что его действия анализируются и он атакует не настоящий сервер. Также honeypot можно обозначить как ресурс, обреченный стать объектом атаки и быть взломанным. Сотрудник, ответственный за информационную безопасность организации, устанавливает ловушку именно для этого, оставаясь при этом пассивным наблюдателем, а после атаки внимательно анализирует лог-файлы системы для нахождения методов противодействия. Ловушки создаются не для обеспечения безопасности информации или элементов системы, они ни от чего не защищают, они только «наблюдают» и собирают данные.

Обычно принято делить ловушки или honeypot по цели применения на две большие категории: production и research. Цель развертывания ловушки-production – уменьшить риск взлома серверов организации. Предполагается, что злоумышленник может потерять много времени, атакуя ловушку, тогда как настоящий сервер продолжит нормально функционировать. Цель же ловушек-research – сбор информации о возможностях злоумышленников, их методах взлома и новых направлениях деятельности.

Угрозы, связанные с продуктами-шпионами

Реальную угрозу информации представляют продукты-шпионы (кейлоггеры), которые могут регистрировать нажатия клавиш, сделанных пользователем, с целью перехвата паролей, данных кредитных карточек и т.д. Кроме этого, современные программы-шпионы позволяют захватывать текст из окон приложений и делать снимки (скриншоты) экрана и отдельных окон. Другими словами, программа-шпион может перехватить текст из документа, даже если пользователь его не набирал с клавиатуры, а просто открыл и просмотрел файл. Также такие программы позволяют вести учет всех полученных и отправленных E-mail, мониторинг файловой активности, мониторинг системного реестра, мониторинг очереди заданий, отправленных на принтер, перехват звука с микрофона и видео-изображения с веб-камеры, подключенных к компьютеру и др.



Продукты-шпионы могут быть программными и аппаратными. Аппаратные представляют собой миниатюрные приспособления, которые могут быть прикреплены между клавиатурой и компьютером или встроены в саму клавиатуру. Такое устройство может быть тайно прикреплено к ПК объекта кем угодно - коллегой, уборщицей, посетителем и т.д.. Когда аппаратный кейлоггер прикрепляется, абсолютно не имеет значения, в каком состоянии находится компьютер - включенном или выключенном. Затем атакующий может снять устройство в любой удобный момент, а его содержимое (записанные нажатия клавиш) скачать, когда ему это будет удобно. Объемы внутренней энергонезависимой памяти данных устройств позволяют записывать до 10 миллионов нажатий клавиш. Данные устройства могут быть выполнены в любом виде, так что даже специалист не в состоянии иногда определить их наличие при проведении информационного аудита.

Методы противодействия продуктам-шпионам (программным и аппаратным):

  • применение специальных программ, которые использует эвристические механизмы защиты против программ-шпионов, созданные специалистами, имеющими больший опыт борьбы с программами-шпионами;

  • применение антивирусных программных продуктов, использующих постоянно обновляемые сигнатурные базы;

  • применение персонального Firewall, контролирующего выход в сеть Интернет с персонального компьютера на основании политик, которые устанавливает сам пользователь;

  • физический поиск и устранение аппаратного кейлоггера;

  • использование виртуальных клавиатур для ввода особо важной информации (логины, пароли, коды доступа, PIN коды кредитных карт и т.д.).

Аудит системы IT – безопасности. Виды аудита:

  • активный аудит исследование состояния защищенности информационной системы с точки зрения хакера (или некоего злоумышленника, обладающего высокой квалификацией в области информационных технологий). Активный аудит условно можно разделить на два вида: «внешний» и «внутренний».

При «внешнем» активном аудите специалисты моделируют действия «внешнего» злоумышленника. В данном случае проводятся следующие процедуры:

  • определение доступных из внешних сетей IP-адресов компании;

  • сканирование данных адресов с целью определения работающих сервисов и служб, определение назначения отсканированных хостов;

  • определение версий сервисов и служб сканируемых хостов;

  • изучение маршрутов прохождения трафика к хостам компании;

  • сбор информации об ИС компании из открытых источников;

  • анализ полученных данных с целью выявления уязвимостей.

«Внутренний» активный аудит по составу работ аналогичен «Внешнему», однако при его проведении с помощью специальных программных средств моделируются действия «внутреннего» злоумышленника.

  • экспертный аудит (проводится независимыми компаниями – экспертами);

  • аудит на соответствие стандартам, ГОСТам.

Анализ особенностей российского рынка IT- безопасности


  • на российском рынке компьютерной безопасности велика роль государства. Государство регулирует этот рынок при помощи трех основных механизмов: лицензирования участников рынка, сертификации продукции, выпускаемой на этот рынок, а также контроля ввоза – вывоза средств защиты компьютерной информации;

Лицензирование участников рынка предполагает получение ими лицензий от соответствующих государственных органов. Лицензирование является обязательным для всех участников рынка компьютерной безопасности. Любая лицензия может быть выдана только российской компании, не имеющей в составе акционеров граждан (компаний) других государств.

Продукция, выпускаемая компаниями на российский рынок компьютерной безопасности, должна быть также сертифицирована уполномоченными государственными органами на соответствие требованиями к продукции, разработанными этими ведомствами. Сертификация криптографических средств возможна лишь в том случае, если в качестве криптографических алгоритмов используются российские стандарты ГОСТ 28147-89, ГОСТ Р34.10, ГОСТ Р34.11. Другой особенностью сертификации является необходимость предоставления подробной документации на изделие, а также всех исходных текстов программных средств. В России не было прецедентов сертификации ПО в области защиты информации, которое было разработано иностранной компанией. Существующее законодательство обязывает использовать сертифицированные продукты в случаях обмена информацией с государственными органами, при обработке информации, составляющей государственную тайну, при государственном оборонном заказе.



Строго регулируется экспорт и импорт средств криптографической защиты информации. В настоящее время для ввоза-вывоза СКЗИ требуется получение разрешения. Исключения составляют аппаратные СКЗИ, ввозимые для осуществления защиты информации, передаваемой по международным каналам связи (банковские международные операции, международный информационный обмен и т.д.). На российском рынке в основном присутствуют продукты, которые не могут быть экспортированы в другие страны (например, в страны ЕС) в связи с тем, что эти продукты были специально спроектированы для российского рынка.

  • отсутствие оценок рынка. Особенностью российского рынка информационной безопасности является отсутствие оценок его размера;

  • закрытость рынка компьютерной безопасности. Рынок компьютерной безопасности кардинальным образом отличается от других IT-рынков тем, что на нем работают (как со стороны потребителей, так и со стороны участников), в основном, бывшие и действующие сотрудники специальных служб, военнослужащие, имеющие значительный опыт в обеспечении безопасности информации. Появление новых компаний на рынке крупных корпоративных клиентов происходит достаточно редко (1 -2 компании в год, бывают годы, когда новые компании и вовсе не появляются). Появляющиеся компании чаще всего являются отделившимися частями старых компаний, что не изменяет персональный состав участников рынка;

  • описание рынка. Продукция компаний предлагается на рынке двумя основными способами – через продажи собственно продуктов и через участие в различного рода проектах. Проекты создаются тогда, когда необходимо создание подсистемы информационной безопасности для специфических нужд конкретного заказчика;

  • описание типов компаний. На этом рынке действуют следующие типы компаний:

  • компании-производители (дистрибьюторы) программного и аппаратного обеспечения. Это компании, ориентированные на продвижение одного или нескольких продуктов на одном или смежных сегментах рынка. Компаний-разработчиков становится все меньше в связи с тем, что разработка нового изделия – достаточно дорогое занятие. Дистрибуция программного обеспечения в области информационной безопасности в чистом виде встречается также редко. Это связано с малой емкостью рынка. Поэтому все компании без исключения занимаются прямыми продажами, организуют дистрибьюторскую сеть собственных партнеров;

  • компании – IT интеграторы. Это компании, ориентированные на создание информационных систем для конкретного заказчика. Такие компании создают в своем составе подразделения, отвечающие за решение вопросов информационной безопасности. Существующая корпоративная политика IT-интеграторов не позволяет предложить специализированным компаниям справедливые условия сотрудничества. В итоге качество услуг по информационной безопасности у крупных IT-интеграторов, как правило, бывает невысоким. Несмотря на плохое качество проектов, этот недостаток может сглаживаться для потребителя большим количеством дополнительных услуг по проектированию самой системы, поставке оборудования, настройке, обслуживанию и т.д.;

  • компании, специализирующиеся на создании подсистем информационной безопасности. Такие компании, как правило, появляются из компаний-разработчиков, когда они стремятся увеличить свое присутствие на рынке компьютерной безопасности. Такие компании обычно предлагают потребителям полномасштабный набор продуктов в области информационной безопасности, а также услуги по созданию подсистем компьютерной безопасности для информационных систем потребителя. Как правило, основу продуктового ряда таких компаний составляют продукты собственной разработки, дополненные продукцией иностранных и отечественных партнеров.

База данных защищена авторским правом ©infoeto.ru 2022
обратиться к администрации
Как написать курсовую работу | Как написать хороший реферат
    Главная страница
Автореферат
Анализ
Анкета
Бизнес-план
Биография
Бюллетень
Викторина
Выпускная работа
Глава
Диплом
Дипломная работа