Методы и средства защиты информации в корпаративных сетях

VPN должна взаимодействовать  с системой PKI в целом ряде точек (передача сертификата на подпись, получение сертификата и "черного" списка при установлении взаимодействия  и т. п.). Очевидно, что это взаимодействие  с чуждой по отношению к VPN системой  может осуществляться только  при условии полной 

поддержки международных стандартов, которым удовлетворяет большинство современных PKI-систем  (например, Baltimore, Entrust, Verisign ).

Следующим важным элементом интеграции систем является наличие криптоинтерфейса. Любая система, использующая криптооперации (VPN, защищенная почта, программы шифрования дисков и файлов, PKI), должна получать криптосервис из сертифицированных соответствующими органами криптоплагинов, созданных специализирующимися в этом компаниями. Исключительно опасно доверяться поставщику VPN, создавшему свой собственный, никому не известный, но, как он утверждает, надежный алгоритм.

VPN образует "непроницаемые" каналы связи поверх открытых  сетей. В реальной жизни организации  всегда требуется, чтобы сотрудники  имели доступ из VPN в открытые  сети и Интернет. Контроль в  критичной точке контакта с  открытой сетью должен осуществляться  межсетевыми экранами. Более правильная  ситуация - VPN обеспечивает функции  межсетевого экрана в каждой  точке, где есть ее агент. Такой "распределенный" межсетевой экран  контролируется из того же  центра безопасности. Межсетевой  экран и VPN являются комплементарными  системами, решая две связанные  задачи:

- использование открытых сетей в качестве канала недорогой связи (VPN);

- обеспечение защиты от атак из открытых сетей при работе с открытой информацией, содержащейся в этих сетях (межсетевой экран).

Гарантируя защиту передаваемой информации, VPN не обеспечивает ее защиту во время хранения на конечных компьютерах. Эта задача решается целым рядом специальных средств:

- систем криптозащиты файлов и дисков (а также почты);

- систем защиты от несанкционированного доступа к компьютерам;

- антивирусных систем и т. п.

Необходимо обратить внимание на сложную взаимосвязь продуктов защиты информации. Например, система защиты компьютера от несанкционированного доступа должна работать с теми же смарт-картами, что и VPN, а это требует реализации в обеих системах единого интерфейса доступа к смарт-карте (например, PKCS#11 фирмы RSA).

"Правильные" средства  защиты информации должны обладать  следующим набором характеристик:

- соответствие открытым международным стандартам;

- открытые интерфейсы к другим средствам защиты информации;

- способность взаимодействовать с одними и теми же "интегрирующими" элементами системы;

- способность к масштабированию.

Продукты, создаваемые для защиты информации, должны быть совместимы с системами PKI, известными на российском рынке. И прежде всего с сервером сертификатов - программным средством управления VPN. Сервер сертификатов предназначен для хранения в виде базы данных открытых сертификатов всех пользователей VPN. Он осуществляет автоматическую раздачу сертификатов VPN-устройствам и взаимодействие с внешними системами PKI.

Итак, начав с отдельного средства, обеспечивающего оперативное решение проблемы защиты информации, - VPN, мы рассмотрели процесс наращивания системы, добавив сначала необходимые компоненты, без которых VPN не может функционировать вообще (PKI, криптоплагины, межсетевые экраны), и дополнили затем общую картину более полным спектром продуктов.

 

 

 

 

 

 

 

 

 

 

2.3 Организационные меры защиты информации в корпоративных    сетях.

К организационным мерам можно отнести охрану серверов, тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности сервера после выхода его из строя, универсальность средств защиты от всех пользователей (включая высшее руководство).

Несанкционированный доступ к информации может происходить во время профилактики или ремонта компьютеров за счет прочтения остаточной информации на носителях, несмотря на ее удаление пользователем обычными методами. Другой способ – прочтение информации с носителя во время его транспортировки без охраны внутри объекта или региона.

Современные компьютерные средства построены на интегральных схемах. При работе таких схем происходят высокочастотные изменения уровней напряжения и токов, что приводит к возникновению в цепях питания, в эфире, в близрасположенной аппаратуре и т.п. электромагнитных полей и наводок, которые с помощью специальных средств (условно назовем их "шпионскими") можно трансформировать в обрабатываемую информацию. С уменьшением расстояния между приемником нарушителя и аппаратными средствами вероятность такого рода съема и расшифровки информации увеличивается.

Несанкционированное ознакомление с информацией возможно также путем непосредственного подключения нарушителем «шпионских» средств к каналам связи и сетевым аппаратным средствам.

Традиционными методами защиты информации от несанкционированного доступа являются идентификация и аутентификация, защита паролями.

Идентификация и аутентификация. В компьютерных системах сосредоточивается информация, право на пользование которой принадлежит определенным лицам или группам лиц, действующим в порядке личной инициативы или в соответствии с должностными обязанностями. Чтобы обеспечить безопасность информационных ресурсов, устранить возможность несанкционированного доступа, усилить контроль санкционированного доступа к конфиденциальной либо к подлежащей засекречиванию информации, внедряются различные системы опознавания, установления подлинности объекта (субъекта) и разграничения доступа. В основе построения таких систем находится  принцип допуска и выполнения только таких обращений к информации, в которых присутствуют соответствующие признаки разрешенных полномочий.

Защита паролями. Пароль – это совокупность символов, определяющая объект (субъекта). При выборе пароля возникают вопросы о его размере, стойкости к несанкционированному подбору, способам его применения. Естественно, чем больше длина пароля, тем большую безопасность будет обеспечивать система, ибо потребуются большие усилия для его отгадывания. При этом выбор длины пароля в значительной степени определяется развитием технических средств, их элементной базой и быстродействием.

В случае применения пароля необходимо периодически заменять его на новый, чтобы снизить вероятность его перехвата путем прямого хищения носителя, снятия его копии и даже физического принуждения человека. Пароль вводится пользователем в начале взаимодействия с компьютерной системой, иногда и в конце сеанса (в особо ответственных случаях пароль нормального выхода может отличаться от входного). Для правомочности пользователя может предусматриваться ввод пароля через определенные промежутки времени.

Пароль может использоваться для идентификации и установления подлинности терминала, с которого входит в систему пользователь, а также для обратного установления подлинности компьютера по отношению к пользователю.

Для идентификации пользователей могут применяться сложные в плане технической реализации системы, обеспечивающие установление подлинности пользователя на основе анализа его индивидуальных параметров: отпечатков пальцев, рисунка линий руки, радужной оболочки глаз, тембра голоса и др.

К отдельной группе мер по обеспечению сохранности информации и выявлению несанкционированных запросов относятся программы обнаружения нарушений в режиме реального времени.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ЗАКЛЮЧЕНИЕ

Проблемы, связанные с повышением безопасности информационной сферы, являются сложными, многоплановыми и взаимосвязанными. Они требуют постоянного, неослабевающего внимания со стороны государства и общества. Развитие информационных технологий побуждает к постоянному приложению совместных усилий по совершенствованию методов и средств, позволяющих достоверно оценивать угрозы безопасности информационной сферы и адекватно реагировать на них.

Предотвращение несанкционированного доступа к конфиденциальной информации, циркулирующей в телекоммуникационных сетях государственного и военного управления, к информации национальных и международных правоохранительных организаций, ведущих борьбу с транснациональной организованной преступностью и международным терроризмом, а также в банковских сетях является важной задачей обеспечения безопасности глобальной информации. Защите информации в последнее время уделяется все большее внимание на самых различных уровнях - и государственном, и коммерческом.

Под защитой информации принято понимать использование различных средств и методов, принятие мер и осуществление мероприятий с целью системного обеспечения надежности передаваемой, хранимой и обрабатываемой информации.

Можно выделить несколько основных задач, решение которых в информационных системах и телекоммуникационных сетях обеспечивает защиту информации.

Это:

- организация доступа  к информации только допущенных  к ней лиц;

- подтверждение истинности  информации;

- защита от перехвата  информации при передаче ее  по каналам связи;

- защита от искажений  и ввода ложной информации.

Защитить информацию – это значит:

- обеспечить физическую целостность информации, т.е. не допустить искажений или уничтожения элементов информации;

- не допустить подмены (модификации) элементов информации при сохранении ее целостности;

- не допустить несанкционированного получения информации лицами или процессами, не имеющими на это соответствующих полномочий;

- быть уверенным в том, что передаваемые (продаваемые) владельцем информации ресурсы будут использоваться только в соответствии с обговоренными сторонами условиями.

Радикальное решение проблем защиты электронной информации может быть получено только на базе использования криптографических методов, которые позволяют решать важнейшие проблемы защищённой автоматизированной обработки и передачи данных. При этом современные скоростные методы криптографического преобразования позволяют сохранить исходную производительность автоматизированных систем.

Криптографические преобразования данных являются наиболее эффективным средством обеспечения конфиденциальности данных, их целостности и подлинности. Только их использование в совокупности с необходимыми техническими и организационными мероприятиями могут обеспечить защиту от широкого спектра потенциальных угроз.

 

 

 

 

 

 

 

 

 

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

 

1. Биячуев, Т.А. Безопасность корпоративных сетей / Т.А. Биячуев. – СПб: СПб ГУ ИТМО, 2004.
2. Волчков, А.  Современная криптография / А.Волчков //  Открытые системы.-  2002. - №07-08.
3. Гмурман, А.И. Информационная безопасность/ А.И. Гмурман - М.: «БИТ-М», 2004.
4. Дъяченко, С.И. Правовые аспекты работы в ЛВС/ С.И. Дъяченко–СПб.: «АСТ», 2002.
5. Зима, В. Безопасность глобальных сетевых технологий / В.Зима, А. Молдовян, Н. Молдовян – СПб.: BHV, 2000.
6. Информатика: Базовый курс / С.В. Симонович [и др]. – СПб.: Питер, 2002.
7. Конахович, Г. Защита информации в телекоммуникационных системах/ Г.Конахович.-М.:МК-Пресс,2005.
8. Коржов, В. Стратегия и тактика защиты / В.Коржов //Computerworld Россия.- 2004.-№14.
9. Мельников, В. Защита информации в компьютерных системах /  В.Мельников - М.: Финансы и статистика, Электронинформ, 1997.
10. Осмоловский,  С. А. Стохастические методы защиты информации/ С. А. Осмоловский – М., Радио и связь, 2002.
11. Устинов, Г.Н. Уязвимость и информационная безопасность телекоммуникационных технологий/ Г.Н. Устинов– М.: Радио и связь, 2003.
12. Шахраманьян, М.А. Новые информационные технологии в задачах обеспечения национальной безопасности России/ Шахраманьян, М.А.  – М.:  ФЦ ВНИИ ГОЧС, 2003.
13. Ярочкин, В.И. Информационная безопасность. Учебник для вузов/ В.И. Ярочкин– М.: Академический Проект, Мир, 2004.

 

[1]Гмурман А.И. Информационная безопасность.- М.: «БИТ-М», 2004.С.23-35.

[2] Зима В., Молдовян А., Молдовян Н. Безопасность глобальных сетевых технологий. – СПб.: BHV, 2000. С.56.

[3] Гражданский Кодекс РФ, часть I, ст. 15.