Комплексная защита и обеспечение безопасности информационных систем

СУБД Oracle/MSSQL, компонент "Клиент" – для сервера безопасностиТаблица 2.3.3. Компонент «Программа управления» (устанавливается на рабочее место администратора)Операционная системаWindows 8/8.1; Windows 7 SP1;Windows Vista SP2; Windows XP Professional SP3/XP Professional x64 Edition SP2; Windows Server 2012/Server 2012 R2;Windows Server 2008 SP2/Server 2008 R2SP1; Windows Server 2003 SP2/Server 2003 R2SP2.ПроцессорОперативная памятьВ соответствии с требованиями ОС, установленной на компьютерЖесткий диск (свободноепространство)2 ГБДополнительное ПОInternetExplorer 6 или выше;компонент "Клиент"Подключение компонентов ИС к корпоративной сети сопровождается ростом рисков и, соответственно, ответственности контроля безопасности по мере увеличения числа пользователей в сети ИС.Корпоративные сети с тысячами или даже десятками тысяч пользователей с точки зрения безопасности можно рассматривать как потенциально враждебные, как, например, Интернет.В таких сетях разумно предположить, что будут подключены портативные компьютеры и будет установлено несанкционированное ПО, даже если это запрещено корпоративными правилами.Так как сеть обычно охватывает множество сайтов или даже стран, строгую физическую защиту всех пользователей сетевого оборудования трудно или невозможно осуществлять и поддерживать.В этих случаях ИС должна быть защищена от корпоративной сети через более сложные безопасные соединения (рисунок 2.3.3).Рисунок 2.3.3. Подключение ИСк корпоративной сетиСеть между двумя межсетевыми экранами (МЭ) на рисунке 2.3.3 образует так называемую демилитаризованную зону. DMZ–demilitarizedzone– часть компьютерной сети, находящаяся между локальной сетью и Интернетом. Обеспечивает выход в Интернет и внешнее присутствие в нём, скрывая при этом внутреннюю сеть организации и предотвращая прямое обращение к ней. Межсетевые экраны образуют границы корпоративной сети и сети системы автоматизации. Прокси приложения размещаются в сети DMZ.Этот прокси-сервер интегрирован в ИС, которая должна быть доступна из корпоративной сети.Примерами являются терминальные службы и услуги доступа данных.Внешние соединения прекращаются в прокси-сервере, который устанавливает новые соединения с соответствующим сервером в ИС для выполнения запрошенной услуги.Этот путь не имеет прямой связи между существующими внешней сетью и узлами сети ИС.Дополнительная безопасность может быть достигнута с помощью отдельного прокси-сервера для каждого дополнительного сервиса, осуществляемого таким образом.Этот принцип позволяет конфигурировать каждый прокси-сервер как безопасный по отношению к осуществляемому сервису, и не позволяет атакующему использовать уязвимости в одной службы в последующей атаке.Чтобы убедиться, что попытка вторжения обнаружена как можно раньше, МЭ и DMZ сети должны включать в себя системы обнаружения сетевых вторжений (IntrusionDetectionSystem–IDS).Примером системы обнаружения и предотвращения вторжений в ИС может служить разработка JuniperNetworksIDP компании США JuniperNetworks, Inc, которая также учитывает, что серверы ИС могут потребовать совместного использования и обмена данными между серверами приложений ИС, необходимых для некоторых типов модулей управления вышестоящих для этих кросс-сервера коммуникаций (рисунок 2.3.4).Рисунок 2.3.4. Система защиты ИС от внутренних и внешних атак на уровне приложенийСистема JuniperNetworksIDP обеспечивает обнаружение и предотвращение вторжений как известных, так и неизвестных угроз прикладного уровня в сетевом трафике и устраняет эти угрозы в режиме реальном времени. Продукты JuniperNetworksIDP также обнаруживают использование несанкционированных приложений, таких как мессенджеры или совместного использования файлов. IDPJuniperNetworks решение с мульти-методом обнаружения (Multi-MethodDetection, MMD ™), обеспечивает всесторонний охват за счёт использования нескольких механизмов обнаружения.Видимость (visibility) и контроль сети, предоставляемые JuniperNetworksIDP, могут обеспечить следующие преимущества: выявления, регистрации и прекращения деятельности несанкционированного ПО, работающего в сети; устранение червей и троянских коней, которые могут повредить ИС и изменять критически важные данные; всесторонний мониторинг сети и системной деятельности, а также простой обзор деталей событий; ежедневные обновления программ обнаружения атак и постоянное совершенствование инструментов, используемых для осуществления внутреннего контроля; регистрация и отчётность, в том числе захват пакетов, для создания подробных отчётов аудита и хранения информации.Для контроля за МЭ и IDS должна быть использована отдельная система управления безопасностью.Она должен быть подключена к управлению портами МЭ и IDS через управление сетью безопасности, которая должна быть отделена немаршрутизируемой экранированной подсетью.Система управления безопасностью должна быть в состоянии собирать журналы регистраций МЭ и IDS, анализировать их и генерировать сигнал тревоги, если она сделает вывод, что осуществляется попытка вторжения. Она должна иметь возможность быстро изолировать ИС от корпоративной сети в случае обнаружения попытки вторжений в DMZ.Это, например, может быть организовано с помощью электрических переключателей, отсоединения сетевой связи или питания МЭ и сетевого оборудования в сети DMZ.Подключение одного или нескольких удалённых компьютеров к сети обычно связано с использованием связи через совместно используемые или общественные сети, такие как интранет компании, интернет, или коммутируемые телефонные линии. Специальные меры, необходимые для защиты от таких связей, включающих наблюдение, перехват, изменение или фальсифицирование данных. В целом, удалённые соединения должны быть созданы с таким высоким уровнем безопасности, который организация может поддержать.Такой уровень всегда должен включать строгую аутентификацию, а также, если возможно, – верификацию и сертифицирование.Политика удалённого доступа должна устанавливать ограничения, допуская только минимальное количество прав для минимального числа удалённых пользователей, которые являются необходимыми. Возможности удалённого соединения, связанного с сетями общего пользования, очевидно, ниже, чем у сети ИС, которая физически защищена и часто с полным резервированием.Удалённые соединения поэтому не следует использовать для обеспечения безопасности или критически важных коммуникаций.Такого рода соединение может быть установлено как модемное соединение или на основе VPN. VPN (VirtualPrivateNetwork) – виртуальная частная сеть подсети корпоративной сети, обеспечивающая безопасное вхождение в неё удалённых пользователей. Подсети используются для безопасной пересылки через Интернет конфиденциальных данных за счёт инкапсуляции (туннелирования) IP-пакетов внутрь других пакетов, которые затем маршрутизируются. Соединение VPN, таким образом, образует туннель для безопасной связи между конечными точками по обе стороны от совместно используемых или общественных сетей (рисунок 2.3.5).Рисунок 2.3.5. Удалённый доступ ИС АСУ - VPN соединениеКлиент удалённого доступа устанавливает соединение VPN к серверу VPN, который находится на сайте.Для взаимной аутентификации, клиент сам осуществляет проверку подлинности на сервере VPN и сервер VPN сам проверяет вызывающего клиента.Сервер VPN предпочтительно располагать в демилитаризованной зоне, которая защищает ИС как показано на рисунке 2.3.5.В международной практике обычно поставщики ИС АСУ в состоянии обеспечить стандартизированное решение для этого.При этом, независимо от того, что подключён удаленный клиент компьютер, в итоге получается, что он становится элементом ИС.Поэтому он должен быть защищён таким же образом, как компьютеры в ИС выверенной зоны, включая все меры безопасности, описанные в данном документе. На удалённом компьютере не должно быть никаких других сетевых подключений, кроме VPN, и он должен не оставаться без присмотра в то время, как включено удалённое соединение.Для дальнейшего снижения рисков, связанных с удалённым доступом, удалённому клиенту может быть разрешено подключаться к терминальному серверу в DMZ, которые только обеспечивает дистанционные интерактивные сессии, но не доступ к файлам и никаким другим сетевым службам. Права доступа к данным удалённых пользователей должны быть максимально ограничены. Тем не менее, необходимые привилегии для удалённой поддержки могут быть весьма обширными, возможно, даже включая права администратора.Существует также определённый риск того, что обрыв связи во время удалённого сеанса оставит систему в неопределенном или нежелательном состоянии.Следовательно, при оценке преимущества удалённой поддержки, в каждом случае необходимо тщательно взвесить потенциальные риски, а также персонал ИС всегда должен быть готов принять корректирующие действия в случае, если что-то пойдет не так.2.4 Разработка модели снижения рисков информационной безопасностиПодводя итог практическим рекомендациям по снижению рисков информационной безопасности следует построить общую модель информационной безопасности.Общий вид системы информационной безопасности ГИС показан на рисунке 2.4.1.Рисунок 2.4.1. Система информационной безопасностиИСВ общем случае ИС определяется как дискретный набор информационных ресурсов, организованных для сбора обработки, поддержки, использования, совместного использования, распространения или ликвидации информации. При этом ИС также включают системы управления. А информационная безопасность – защита информации и информационных систем от несанкционированного доступа, использования, раскрытия, разрушения, модификации (искажения) или уничтожения, с целью обеспечения конфиденциальности, целостности и доступности. Меры защиты, предписанные для выполнения требований безопасности, могут включать средства защиты, ограничения управления, безопасность персонала и безопасность физических структур, областей и устройств.Цели безопасности, которые должны быть достигнуты с помощью средств защиты, определяются типами угроз, от которых должна быть защищена ИС. Выделяются следующие шесть целей, предлагаемых в качестве основы для классификации и сравнения механизмов безопасности различных систем: конфиденциальность, целостность, доступность, аутентификация, авторизация, контролируемость.В последнее время просматривается тенденция системного подхода к организации защиты информации. При этом характерны, во-первых, проведение анализа потенциальных угроз безопасности информации и известных атак с системных позиций, во-вторых, предложение комплексного использования средств защиты и, в-третьих, рекомендации по внедрению единых систем защиты, охватывающих большое число территориально распределенных взаимосвязанных объектов, оснащенных средствами автоматизации.В специализированной литературе большое распространение получили два подхода к организации систем ИБ: защита по периметру или жёсткий периметр (Hardperimeter) и эшелонированная защита (Defense-in-Depth). Эшелонированная защита – стратегия ИБ, интегрирующая возможности людей, технологии и эксплуатации по установке изменяемых барьеров на разнообразных уровнях и предназначениях организации.Идея жёсткого периметра («хрупкий снаружи, вязкий внутри») состоит в том, чтобы сформировать одну непроницаемую стену вокруг системы и игнорировать все вопросы безопасности внутри.В отличие от складывающегося в странах СНГ принципах ориентации ИБ для ИС преимущественно на контроль доступа, концептуальной установкой госполитики США можно считать то, что федеральные и муниципальные учреждения должны использовать многоуровневый подход к информационной безопасности в целях защиты своих систем от всех источников угроз. Все гражданские и военные организации США ориентированы на эшелонированную защиту (Defense-in-Depth), как создание переменных барьеров между несколькими слоями информационных систем и применениедля их защитысуществующихинтеллектуальных методов и технологий. Эшелонированная защита помогает учреждениям защитить сетевые ресурсы, даже если один из их уровней безопасности был скомпрометирован. Считается, что ни один компонент безопасности не может гарантировано выдерживать каждую атаку и нуждается в защитном экране. Эшелонированная оборона обеспечивает защиту от угроз, которые приходят извне (периметр) и изнутри (внутренние), включая организации партнёров (подрядчиков). Концептуальная модель организации многоуровневой сетевой безопасности на основе эшелонированной защиты показана рисунке 2.4.2.Рисунок 2.4.2. Модель организации многоуровневой сетевой безопасности на основе эшелонированной защитыЗаключениеПроблемы оценки и снижения рисков информационной безопасности привлекают все большее внимание специалистов в области телекоммуникационных сетей, вычислительных систем, экономики и многих других областей современного общества. Это связано с глубокими изменениями, вносимыми современными информационными технологиями во все сферы жизни государства и граждан. Современное общество чаще всего называют информационным, и при оценке степени его развития объем произведенной им информации и информационных услуг зачастую важнее объема произведенных им предметов материального потребления. При этом изменился сам подход к понятию «информации». Ценность информации, хранящейся, обрабатываемой или передаваемой в современных информационно-вычислительных системах, зачастую во много раз превышает стоимость самих систем. Обладание ценной информацией и способность защитить ее от широкого спектра дестабилизирующих воздействий случайного или преднамеренного характера становится важнейшей причиной успеха или поражения в различных областях жизни общества.Качественный и количественный рост атак связан с тем, что увеличивается количество уязвимостей, постоянно обнаруживаемых в существующем общесистемном и прикладном ПО; возрастает число возможных объектов атаки (если ранее в качестве основных объектов несанкционированноговоздействия служили только серверы стандартныхWeb-служб, такие какHTTP, SMTPиFTP, то сейчас разработаны средства реализации атак на маршрутизаторы, коммутаторы, межсетевые экраны и др.); увеличивается число внутренних атак со стороны пользователей (примерами таких атак является кража конфиденциальной информации или запуск вредоносного ПО на рабочих станциях пользователей).Следовательно, ориентация защиты ИС исключительно на системы антивирусной защиты и межсетевых экранов уже не может обеспечить эффективную защиту от сетевых атак и вторжений.В связи с этим в рамках выполнения настоящей работы были рассмотрены такие меры защиты как средства защиты от НСД, системы обнаружения сетевых вторжений, средства построения виртуальных частных сетей. В ходе исследования были получены следующие результаты:Определены задачи защиты информации.Изучены основные способы оценки рисков информационной безопасности. Проведен их анализ и выявлены способы их применения.Проведен обзор правового обеспечения информационной безопасности.Разработаны практические рекомендации по внедрению организационных и технических мер для снижения уровня рисков информационной безопасности в офисах компании РЖД. Построена модель защиты.Таким образом, можно сделать вывод о достижении цели и решении задач, определенных во введении.Список литературыГражданский кодекс Российской Федерации (часть первая): офиц. текст от 30.11.1994 № 51-ФЗ в ред. от 23.05.2015 г. (Собрание законодательства Российской Федерации от 05.12.1994)Доктрина информационной безопасности Российской Федерации (утверждена Указом Президента РФ № 646 от 5 декабря 2016 г.)Федеральный закон от 27.07.2006 № 149-ФЗ (ред. от 13.07.2015) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 10.01.2016)ГОСТ Р 50922- 2006. Защита информации. Основные термины и определения. - Введ. 2008-02-01. -М.: Стандартинформ, 2007. - 12 с.ГОСТ Р 53114-2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения: - М.: Стандартинформ, 2009.— 20 с.АвдошинС.М., ПесоцкаяЕ.Ю. Информатизация бизнеса. Управление рисками/ С.МАвдошин, Е.Ю. Песоцкая. – М.: ДМК, 2015. – 420с.Аверченков, В.И. Организационная защита информации: учебное пособие для вузов / В.И. Аверченков. – М.: Флинта, 2011. – 184с.Артемьев, Н.В. Экономическая безопасность как научная категория / Н.В. Артемьев // Микроэкономика.- 2015. - № 2. - С. 36-41.Асаул, А.Н. Организация предпринимательской деятельности / А.Н. Асаул. – СПб.: АНОИПЭВ, 2011. – 336с.Баранов А. П., Борисенко Н.П. Математические основы информационной безопасности. - Орел: ВИПС, 2010. - 354с.Большой толковый словарь русского языка / Под ред. С. А. Кузнецова. – Спб.: Норит, 2014. – 1536с.Большой энциклопедический словарь / Под ред. И. Лапина, Е. Маталина и др. – М.: Астрель, 2003. – 1200с.Воройский Ф. С. Информатика. Энциклопедический словарь-справочник: введение в современные информационные и телекоммуникационные технологии в терминах и фактах. - М.: ФИЗМАТЛИТ, 2012. - 768 с.Зырянова Т.Ю. Управление информационными рисками: монография / Т.Ю. Зырянова. – Тюмень: Издательство Тюменского государственного университета, 2011. – 189с.Информатика:Учебник. - 3-е перераб. изд. /Под ред. проф. Н.В. Макаровой. - М.: Финансы и статистика, 2010. - 768 с.: ил.КилясхановИ.Ш., Саранчук Ю.М. Информационное право в терминах и понятиях: учебное пособие, Юнити-Дана, 2011 г. - 135 с.Кобб М., Джост М. Безопасность IIS , ИНТУИТ, 2013 г. - 678 с.Козлова Е. А. Оценка рисков информационной безопасности с помощью метода нечеткой кластеризации и вычисления взаимной информации / Е. А. Козлова // Молодой ученый. — 2013. — №5. — С. 154-161.Королев, М.И. Информационная безопасность предприятия / М.И. Королев // Вестник института экономики Российской академии наук. – 2010. - №4. – С.187-191.Могилев А.В. Информация и информационные процессы. – Спб.: БХВ-Петербург, 2011. – 125с.ТенеткоМ.И., ПесковаО.Ю. Анализ рисков информационной безопасности / М.И.Тенетко, О.Ю. Пескова // Известия Южного федерального университета. Технические науки. - №12. – 2011. – С.49-58Хорошко В. А., Чекатков А. А. Методы и средства защиты информации, К.: Юниор, 2013г. - 504с.Шаньгин, В.Ф. Информационная безопасность / В.Ф. Шаньгин. – М.: ДМК Пресс, 2014. – 702с.SecretNet[Электронный ресурс] Режим доступа - http://www.securitycode.ru/products/secret_net/ (Дата обращения 10.02.17)Вихорев, С.В. Классификация угроз информационной безопасности / С.В. Вихорев [Электронный ресурс]. – Режим доступа: http://www.cnews.ru/reviews/free/oldcom/security/elvis_class.shtml (дата обращения: 13.02.2017)Глобальный тренд – утечки данных [Электронный ресурс] // Политика и финансы в новом окне. – Режим доступа: http://www.trust.ua/news/133322-globalnyj-trend-utecki-dannyh.html (Дата обращения 20.01.17)Лукацкий, А. Аудит информационной безопасности: какой, кому, зачем? [Электронный ресурс] / А. Лукацкий. Режим доступа: http://bosfera.ru/bo/audit-informatsionnojbezopasnosti (Дата обращения 29.01.2017)Обеспечение информационной безопасности предприятия [Электронный ресурс]. - Режим доступа: http://www.arinteg.ru/articles/informatsionnaya-bezopasnost-predpriyatiya-25799.html (дата обращения: 10.02.2017).Сообщество кадровиков и специалистов по управлению персоналом [Электронный ресурс] Режим доступа - http://www.hrliga.com/index.php?module=profession&op=view&id=1085 (Дата обращения 31.01.17)Стандарты информационной безопасности [Электронный ресурс] Режим доступа - http://www.arinteg.ru/articles/standarty-informatsionnoy-bezopasnosti-27697.html (Дата обращения 31.01.17)