В разделе дается краткий обзор основных технологических аспектов обеспечения информационной безопасности, главным образом, в части построения защищенной




Скачать 352.77 Kb.
НазваниеВ разделе дается краткий обзор основных технологических аспектов обеспечения информационной безопасности, главным образом, в части построения защищенной
страница2/3
Дата29.01.2013
Размер352.77 Kb.
ТипДокументы
1   2   3

Безопасность компьютерных сетей и межсетевого взаимодействия

Рассмотрим более подробно методы и средства программно-аппаратной защиты компьютерных сетей и межсетевого взаимодействия. Возникновение глобальных информационных сетей привело к тому, что организации, учреждения, предприятия интегрируют свои локальные и корпоративные сети в глобальную сеть, прежде всего в Интернет. Каждый компьютер в пределах сети Интернет имеет свой уникальный номер, называемый IP-адресом. Уникальность IP-адресов обеспечивается централизованным распространением из сетевого информационного центра. Обмен информацией в сети происходит так называемыми пакетами, содержащими IP-адреса отправителя и получателя. Это позволяет специальным программам-маршрутизаторам пересылать информацию по сети по кратчайшему пути.

Широкое и все возрастающее использование глобальных сетей для передачи информации, содержащей сведения конфиденциального характера, влечет необходимость построения эффективной системы защиты сетей. Решение этой задачи сталкивается с весьма серьезными проблемами. В значительной степени это связано с тем, что сеть Интернет создавалась как открытая система, предназначенная для свободного обмена информацией. Через такую сеть нарушитель может вторгаться во внутреннюю сеть предприятия, незаконно копировать важную информацию, получать пароли и адреса серверов и т.д.

Одним из наиболее распространенных способов защиты являются межсетевые экраны. Межсетевой экран (firewall) - это система межсетевой защиты, позволяющая разделить общую сеть на отдельные части и реализовать правила, определяющие прохождение информации из одной части сети в другую (рис. 3).



Рис. 3. Схема действия межсетевого экрана.

Как правило, граница проводится между корпоративной сетью предприятия и сетью Интернет, но ее можно проводить и внутри корпоративной сети предприятия для различных по степени закрытости сегментов. Для того чтобы межсетевой экран мог принимать решение пропускать или не пропускать данный пакет, ему определяют так называемый набор правил фильтрации. Принято считать, что установка межсетевого экрана является необходимым условием обеспечения безопасности внутренней сети.

Базовые протоколы Интернет различного уровня изначально содержат ряд неустранимых уязвимостей. К протоколам, наиболее часто подвергающимся атакам, относятся следующие.

Протоколы управления передачей сообщений в Интернет (Transmission Control Protocol/Internet Protocol, TCP/IP), использующиеся для организации связи в сетевой среде, обеспечивая совместимость между компьютерами разных типов.

Протокол передачи электронной почты (Simple Mail Transfer Protocol, SMTP), позволяющий организовать почтовую транспортную службу Интернет. Одна из проблем безопасности заключается в том, что пользователь не может проверить адрес отправителя в заголовке сообщения электронной почты. В результате злоумышленники посылают во внутреннюю сеть большое количество ненужных почтовых сообщений.

Протокол передачи файлов (File Transfer Protocol, FTP), обеспечивающий передачу текстовых и двоичных файлов. Он часто используется для организации совместного доступа к данным и рассматривается как один из способов работы с удаленными сетями.

К уязвимым протоколам Интернет относятся также протокол маршрутизации RIP и другие.

Среди служб сети Интернет наиболее уязвимыми являются следующие.

Служба сетевых имен, которая хранит информацию о структуре сети. Эту базу данных очень трудно скрыть от неавторизованных пользователей, в результате она часто подвергается атакам злоумышленников.

Служба эмуляции удаленного терминала, которая употребляется для подключения к удаленным системам, присоединенным к сети. При пользовании ею нужно регистрироваться на сервере, вводя свои имя и пароль, которые тем самым могут перехватываться.

Отдельно нужно рассмотреть наиболее популярный сегодня сервис Интернет – систему World Wide Web – WWW («Всемирная паутина»). Она представляет собой систему, основанную на сетевых приложениях, которые позволяют просматривать содержимое различных серверов в сети Интернет. Пользователям предоставляется возможность легко переходить от одного гипертекстового документа к другому, что определяет высокую уязвимость системы WWW. Именно, ссылки на гипертекстовые документы содержат одновременно информацию о том, как осуществляется доступ к соответствующим узлам сети. Используя эту информацию, злоумышленник потенциально может получить доступ к хранящейся в них конфиденциальной информации.

Большинство компонентов межсетевых экранов можно отнести к одной из следующих категорий:

  • фильтрующие маршрутизаторы;

  • шлюзы сетевого и прикладного уровня.

Фильтрующий маршрутизатор представляет собой программу, осуществляющую фильтрацию входящих и исходящих пакетов. Эта фильтрация осуществляется на основе информации, содержащейся в заголовках пакетов. Правила фильтрации устанавливаются таким образом, что даже в случае, когда опасные пакеты проходят через маршрутизатор, они выявляются в результате анализа текста протокола фильтрации.

Однако возможности фильтрующих маршрутизаторов остаются существенно ограниченными. Например, будут пропускаться вредоносные пакеты с подмененным адресом, поскольку обычно проверяется только информация в заголовках пакетов.

Шлюз сетевого уровня исключает прямое взаимодействие между авторизованным клиентом и внешним компьютером. Он принимает запрос доверенного клиента и после проверки допустимости запрошенного сеанса устанавливает соединение с внешним компьютером. После этого шлюз копирует пакеты в обоих направлениях, не осуществляя их фильтрации. Когда сеанс завершается, шлюз разрывает цепь, использовавшуюся в данном сеансе. В сети со шлюзом исходящие пакеты оказываются отправленными из данного шлюза. Тем самым исключается прямой контакт между внутренней сетью и внешней сетью и осуществляется защита внутренней сети.

Шлюзы прикладного уровня позволяют обеспечить более высокий уровень защиты, поскольку взаимодействие с внешней сетью осуществляется через небольшое число программ-посредников, контролирующих входящие и исходящие пакеты. Для этих шлюзов характерна также надежная аутентификация.

Обычно современные межсетевые экраны включают комбинацию вышеописанных компонентов.

Межсетевые экраны часто применяются в сочетании с участком внутренней сети с менее жесткими правилами фильтрации, который называется экранированной подсетью. При этом внешний маршрутизатор располагается между сетью Интернет и экранируемой подсетью, а внутренний - между экранируемой подсетью и защищаемой внутренней сетью (рис. 4).



Рис. 4. Схема экранированной подсети.

Такая схема межсетевого экрана обеспечивает более высокую степень безопасности благодаря лучшей изоляции внутренней защищаемой сети, ни одна из систем которой не достижима непосредственно из сети Интернет.

Для защиты конфиденциальной информации в сети Интернет используются защищенные криптографическими средствами сетевые протоколы. К основным протоколам, обеспечивающим защиту соединений, относятся SKIP-технология и протокол защиты соединения.

Защиту системы от проникновения вирусных программ осуществляют профессиональные пакеты антивирусного программного обеспечения, сочетающие постоянный мониторинг вирусной активности с возможностями проверки данных на наличие потенциально опасных фрагментов. Отличительной чертой этих пакетов является автоматическое обновление антивирусных баз с использованием глобальной сети.


Классификация уязвимостей

Существуют различные подходы к систематизации уязвимостей действующих информационных систем и технологий. Мы приведем здесь вариант классификации [12], основанный на этапах жизненного цикла информационных систем, и таким образом, в большей степени отвечающий задачам поиска и устранения уязвимостей (табл. 1).

Уязвимости проектирования. Данный тип уязвимостей является наиболее серьезным и сложным для устранения, так как уязвимости этого типа свойственны основополагающим элементам проекта и алгоритмам реализации базовых функций. Как правило, уязвимости проектирования возникают как следствие недооценки требований безопасности при постановке задач и проявляются по мере возникновения новых угроз безопасности (например, уязвимости протоколов Интернет).

Таблица 1. Классификация уязвимостей в соответствии с этапами жизненного цикла информационных систем [12].

Этапы жизненного цикла информационных систем

Категории уязвимостей


Обнаружение

Устранение

1. Проектирование

Уязвимости проектирования

Трудоемкий и длительный процесс

Трудоемкий и длительный процесс. Иногда устранение невозможно

2. Реализация

Уязвимости реализации

Относительно трудно и долго

Несложно, но относительно долго

3. Эксплуатация

Уязвимости конфигурации

Легко и быстро

Легко и быстро

Уязвимости реализации. Эта категория уязвимостей появляется на этапе реализации в программном или аппаратном обеспечении корректного с точки зрения безопасности проекта. Обнаруживаются и устраняются подобного рода уязвимости относительно несложно, так как соответствующие изменения в программном или аппаратном обеспечении, как правило, не затрагивают принципиальных элементов системы.

Уязвимости конфигурации. Этот вид, наряду с уязвимостями реализации, является самой распространенной категорией уязвимостей. Локализовать и устранить такие уязвимости обычно проще всего. Проблема заключается лишь в том, чтобы определить само наличие уязвимости конфигурации. В лучшем случае это происходит на этапе тестирования системы, в худшем – индикатором наличия уязвимости конфигурации является успешно проведенная атака. Типичным источником уязвимостей конфигурации является широко применяемая большинством пользователей установка программного обеспечения со значениями «по умолчанию».


Стандарты информационной безопасности

В 1983 г. Министерство обороны США выпустило сборник нормативных требований, предъявляемых к аппаратному, программному и специальному обеспечению компьютерных систем с точки зрения информационной безопасности. В указанном издании под названием «Критерии оценки надежных компьютерных систем» (Trusted Computer Systems Evaluation Criteria, TCSEC), известные также как «Оранжевая книга», впервые был представлен систематизированный подход к построению безопасной компьютерной информационной системы экономического назначения (см. [4-6]).

Согласно «Оранжевой книге», безопасная компьютерная система – это система, поддерживающая управление доступом к информации так, что только соответствующим образом авторизованные пользователи или процессы, действующие от их имени, получают возможность читать, писать, создавать и удалять информацию. В «Оранжевой книге» были также описаны четыре группы критериев, соответствующие различной степени защищенности системы: от минимальной (группа D) до формально доказанной (группа А). Указанные классы безопасности надолго определили основные концепции безопасности и направления развития средств защиты информации. Вместе с тем, «Оранжевая книга» создавалась, исходя из характерной для того времени концепции централизованной конфигурации информационных систем, в основе которой находились большие ЭВМ с локализованным управлением. Бум распределенной сетевой обработки данных, сопровождающий массовое внедрение в информационные системы персональных компьютеров, привел к необходимости пересмотра ряда положений «Оранжевой книги». В результате возник целый ряд сопутствующих нормативных документов, объединенных в 1995 г. под названием «Интерпретация критериев безопасности компьютерных систем».

Вскоре после появления «Оранжевой книги» аналогичные по назначению документы были изданы в ряде европейских стран. В частности, в Европейских критериях безопасности было впервые введено понятие адекватности средств защиты.

В 1992 г. Гостехкомиссия при Президенте РФ опубликовала пять руководящих документов, посвященных вопросам защиты от несанкционированного доступа к информации.

В последнее время в разных странах появилось новое поколение стандартов в области защиты информации, посвященных практическим вопросам управления информационной безопасностью компании. Это прежде всего международные и национальные стандарты управления информационной безопасностью ISO 15408, ISO 17799 (BS7799), BSI, стандарты аудита информационных систем и информационной безопасности COBIT, SAC, COSO, SAS 78/94 и др. [4, 13]

Международный стандарт ISO 15408. Следуя по пути интеграции, в 1990 г. Международная организация по стандартизации (ISO) и Международная электротехническая комиссия (IЕС) составили специализированную систему мировой стандартизации, а ISO начала создавать международные стандарты по критериям оценки безопасности информационных технологий для общего использования, названные «Общие критерии оценки безопасности информационных технологий» (Common Criteria for Information Technology Security Evaluation) или просто «Общие критерии». В их разработке участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Нидерланды), Органы исполнения программы безопасности и сертификации ИТ (Великобритания), Центр обеспечения безопасности систем (Франция).

В дальнейшем «Общие критерии» неоднократно редактировались. В результате 8 июня 1999 года был утвержден Международный стандарт ISO/IEC 15408 под названием «Общие критерии оценки безопасности информационных технологий».

«Общие критерии» обобщили содержание и опыт использования «Оранжевой книги», развили европейские и канадские критерии, и воплотили в реальные структуры концепцию типовых профилей защиты федеральных критериев США. В «Общих критериях» проведена классификация широкого набора требований безопасности ИТ, определены структуры их группирования и принципы использования. Главные достоинства «Общих критериев» — полнота требований безопасности и их систематизация, гибкость в применении и открытость для последующего развития.

Использование методик данного стандарта позволяет определить для компании те критерии, которые могут быть использованы в качестве основы для выработки оценок защитных свойств продуктов и систем информационной технологии. Кроме того, эти методики позволяют проводить наиболее полное сравнение результатов оценки защитных свойств корпоративных информационных систем с помощью общего перечня (набора) требований для функций защиты продуктов и систем, а также методов точных измерений, которые проводятся во время получения оценок защиты. Основываясь на этих требованиях, в процессе выработки оценки уровня защиты устанавливается уровень доверия. Результаты оценок защиты позволяют определить для компании достаточность защиты корпоративной информационной системы.

Стандарты ISO/IEC 17799:2002 (BS 7799:2000). В настоящее время Международный стандарт ISO/IEC 17799:2000 (BS 7799-1:2000) «Управление информационной безопасностью – Информационные технологии» (Information technology. – Information security management) является наиболее известным стандартом в области защиты информации [13].

Данный стандарт разработан на основе первой части Британского стандарта BS 7799-1:1995 «Практические рекомендации по управлению информационной безопасностью» (Information security management – Part 1: Code of practice for information security management) и относится к новому поколению стандартов информационной безопасности компьютерных информационных систем. Текущая версия стандарта ISO/IEC 17799:2000 (BS 7799-1:2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:

  • необходимость обеспечения информационной безопасности;

  • основные понятия и определения информационной безопасности;

  • политика информационной безопасности компании;

  • организация информационной безопасности на предприятии;

  • классификация и управление корпоративными информационными ресурсами;

  • кадровый менеджмент и информационная безопасность;

  • физическая безопасность;

  • администрирование безопасности корпоративных информационных систем;

  • управление доступом;

  • требования по безопасности к корпоративным информационным системам в ходе их разработки, эксплуатации и сопровождения;

  • управление бизнес-процессами компании с точки зрения информационной безопасности;

  • внутренний аудит информационной безопасности компании.

Вторая часть стандарта BS 7799-2:2000 «Спецификации систем управления информационной безопасностью» (Information security management – Part 2: Specification for information security management systems), определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита информационных корпоративных систем.

В сентябре 2002 года международный стандарт ISO 17799 (BS7799) был пересмотрен и существенно дополнен. В новом варианте этого стандарта много внимания уделено вопросам повышения культуры защиты информации в различных международных компаниях, в том числе вопросам обучения и изначальной интеграции процедур и механизмов оценки и управления информационной безопасности в информационные технологии корпоративных систем. По мнению специалистов, обновление международного стандарта ISO 17799 (BS7799) позволит не только создать новую культуру защиты информационных активов компании, но и скоординировать действия различных ведущих государственных и коммерческих структур в области защиты информации.

Новое поколение стандартов в области защиты информации отличается как от предыдущего, так и от руководящих документов Гостехкомиссии России 1992-1998 годов большей формализацией процесса обеспечения безопасности и более детальным комплексным учетом качественно и количественно проверяемых и управляемых показателей информационной безопасности компании. Комплексный учет показателей предполагает комплексный подход к управлению безопасностью, когда на соответствие определенным правилам проверяется не только программно-техническая составляющая защиты информации компании, но и организационно-административные меры по ее обеспечению.

1   2   3

Похожие:

В разделе дается краткий обзор основных технологических аспектов обеспечения информационной безопасности, главным образом, в части построения защищенной iconД. А. Леонтьев психология свободы
Дается краткий обзор основных подходов к проблеме в зарубежной и отечественной психологии. Рассмотрен ряд узловых аспектов проблемы...
В разделе дается краткий обзор основных технологических аспектов обеспечения информационной безопасности, главным образом, в части построения защищенной iconКонцептуальные вопросы построения интеллектуальных и адаптивных систем информационной безопасности
Дной из основных задач, стоящих перед Российской Федерацией, является решение проблемы обеспечения информационной безопасности. Это...
В разделе дается краткий обзор основных технологических аспектов обеспечения информационной безопасности, главным образом, в части построения защищенной icon“Исследование финансово-экономических и бюджетных аспектов планирования и реализации ресурсного обеспечения военной безопасности”
Военной безопасности” в части анализа ресурсного обеспечения военной безопасности и совершенствования порядка расходования ресурсов...
В разделе дается краткий обзор основных технологических аспектов обеспечения информационной безопасности, главным образом, в части построения защищенной iconР. Арзуманян Метафора нелинейности в социальных системах
Дается краткий обзор применения метафоры нелинейности при анализе системы международных отношений и международной безопасности. Делается...
В разделе дается краткий обзор основных технологических аспектов обеспечения информационной безопасности, главным образом, в части построения защищенной iconУчебное пособие по курсу вычислительные системы, сети и телекоммуникации
Во второй части пособия рассматриваются сетевые технологии, средства сетевого и канального уровня для построения составных сетей,...
В разделе дается краткий обзор основных технологических аспектов обеспечения информационной безопасности, главным образом, в части построения защищенной iconС. Б. Бережной древняя философия
В курсе лекций даётся краткий историко-философский обзор основных учений древнеиндийской, древнекитайской, античной философии, рассматриваются...
В разделе дается краткий обзор основных технологических аспектов обеспечения информационной безопасности, главным образом, в части построения защищенной iconРеферат по дисциплине «Организация обеспечения информационной безопасности» на тему
«Концепция информационной безопасности, анализ безопасности информационных систем»
В разделе дается краткий обзор основных технологических аспектов обеспечения информационной безопасности, главным образом, в части построения защищенной iconГубернатор хабаровского края постановление от 20 апреля 2002 г. N 236 о совете по информационной безопасности при губернаторе хабаровского края
Во исполнение основных положений Доктрины информационной безопасности Российской Федерации и в целях оптимизации работы совета по...
В разделе дается краткий обзор основных технологических аспектов обеспечения информационной безопасности, главным образом, в части построения защищенной iconИзложение тбвв дается цитированием основных положений книги И. Д. Новикова «Как взорвалась Вселенная»
Вселенной, кратко изложенной в автореферате защищенной в 2007 году докторской диссертации в нии абкб им. С. И. Репьева в С. Петербурге....
В разделе дается краткий обзор основных технологических аспектов обеспечения информационной безопасности, главным образом, в части построения защищенной iconИнститут государства и права настольная книга
После увольнения из рядов вс начал работать в сфере охранного бизнеса. Принимал участие в создании и работе служб безопасности банков...
Разместите кнопку на своём сайте:
Библиотека


База данных защищена авторским правом ©lib.znate.ru 2014
обратиться к администрации
Библиотека
Главная страница