- 5.13. Политика безопасности в компьютерных сетях
- 5.14. Способы и средства нарушения конфиденциальности информации
- Разработка политики безопасности локально-вычислительной сети предприятия, обеспечивающей надежную передачу данных Текст научной статьи по специальности «Компьютерные и информационные науки»
- Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Мешкова Елена Владимировна
- Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Мешкова Елена Владимировна
- Текст научной работы на тему «Разработка политики безопасности локально-вычислительной сети предприятия, обеспечивающей надежную передачу данных»
5.13. Политика безопасности в компьютерных сетях
Защищённая компьютерная сеть обязательно должна иметь средства разграничения доступа к ресурсам компьютерной сети , проверки подлинности пользователя и противодей — ствия выводу компьютерной сети из строя . Российскими предприятиями создано и внедрено несколько десятков проектов по за — щите информации . Эти проекты включают разработку комплексных систем защиты инфор — мации , средств сетевой защиты , создание межсетевых экранов , средств защиты системы электронной почты и документооборота , средств антивирусной защиты . Разработка отечест — венных технологий осуществляется по двум направлениям : ∙ путём встраивания механизмов защиты информации в разрабатываемые отече — ственные средства связи ( маршрутизаторы , центры коммуникаций пакетов и т . п .); ∙ путём разработки аппаратно — программных механизмов защиты , “ накладывае — мых ” на существующую структуру компьютерных сетей и сетей передачи дан — ных . Политика безопасности в компьютерных сетях и сетях передачи данных включает : ∙ множества субъектов и объектов компьютерной сети ; ∙ множество возможных операций над объектами ; ∙ множество разрешённых операций для каждой пары субъект – объект . Существует два типа политики безопасности : дискретная и полномочная ( мандат — ная ) . Дискретная политика основана на двух правилах : ∙ все субъекты и объекты должны быть идентифицированы ; ∙ права доступа субъекта к объекту определяются на основе некоторого набора правил . Это наиболее дешёвая и распространённая политика . Мандатная модель включает че — тыре основных правила : ∙ все субъекты и объекты должны быть идентифицированы ; ∙ задан линейно упорядоченный набор меток секретности ; ∙ каждому субъекту присвоена метка секретности – степень доверия компьютер — ной сети к нему , т . е . уровень доступа ; ∙ каждому объекту присвоена метка секретности , характеризующая ценность со — держащейся в объекте информации , т . е . уровень секретности . Последние два правила однозначно определяют круг субъектов и объектов , имеющих право обращения друг к другу .
5.14. Способы и средства нарушения конфиденциальности информации
5.14.1. Основные методы реализации угроз информационной безопасности. Ос — новные направления реализации угроз информационной безопасности следующие : ∙ непосредственное обращение к объектам доступа . Используется подсмотрен — ный полностью или частично пароль легального пользователя , ищутся ошибки в политике безопасности ; ∙ создание программных и технических средств , выполняющих обращение к объектам доступа . Это расшифровка паролей , просмотр содержимого жёстких дисков , поиск незащищённых файлов и каталогов , прослушивание портов для определения открытого порта и т . п .; ∙ модификация средств защиты , позволяющая реализовать угрозы информаци — онной безопасности . Это замена файлов системы защиты с целью изменения реакции системы на права доступа к объектам ;
∙ внедрение в технические средства программных или технических механизмов , нарушающих структуру и функции компьютерной сети . Подключение допол — нительных устройств , изменение программ для сбора сведений и т . п . Основные методы , применяемые злоумышленниками для получения несанкциониро — ванного доступа к информации , такие : ∙ определение типов и параметров носителей информации ; ∙ определение архитектуры , типов технических средств компьютерной сети , версии операционной системы , состава прикладного программного обеспече — ния ; ∙ выявление основных функций , выполняемых компьютерной сетью ; ∙ определение средств и способов защиты , а также способов представления и кодирования информации . 5.14.2. Типичные примеры атак на локальные и удалённые компьютерные сети. 1. Сканирование файловой системы . Производятся попытки просмотреть файло — вую систему , скопировать файлы . Сканирование продолжается в автоматиче — ском режиме до обнаружения хотя бы одной ошибки администратора , которая затем используется для несанкционированного доступа ; 2. Кража ключевой информации . Подсматривается или крадётся пароль или кра — дётся внешний носитель с ключевой информацией ; 3. Сборка мусора . При получении доступа к программе удаления файлов , эти файлы просматриваются с целью выделения нужной информации ; 4. Превышение полномочий . Ищутся ошибки в системном программном обеспе — чении или политике безопасности , присваиваются полномочия , превышающие выделенные . Используется вход в компьютерную сеть под чужим именем ; 5. Программные закладки . Внедрение программ , выполняющих хотя бы одно из следующих действий : ∙ внесение искажений в коды программ , находящихся в оперативной па — мяти ; ∙ перенос части информации из одной области оперативной памяти в другую ; ∙ искажение информации , выводимой на внешние устройства ; 6. Жадные программы . Запуск программ , преднамеренно захватывающих значи — тельную часть ресурсов компьютерной сети , в результате чего другие про — граммы не работают из — за нехватки нужных ресурсов ; 7. Атаки на отказ в обслуживании . Классифицируются по объекту воздействия : ∙ перегрузка пропускной способности сети , автоматическая генерация из нескольких узлов слишком большого сетевого трафика ; ∙ перегрузка процессора – генерация большого количества вычислитель — ных заданий или запросов в объёме , превышающем возможности про — цессора ; ∙ занятие всех возможных портов ; 8. Атаки маскировкой . Атакующий выдаёт себя за другого пользователя , обычно того , кто имеет облегчённый доступ в компьютерную сеть ; 9. Атаки на маршрутизацию . Применяется метод изменения маршрута доставки пакета . Каждый путь доступа имеет свои права , ищутся пути с более обшир — ными правами ; 10. Прослушивание сети . Устройство прослушивания может быть помещено либо у хода или выхода конкретного устройства , либо у одного из транзитных узлов компьютерной сети . Прослушиваемая информация анализируется .
Разработка политики безопасности локально-вычислительной сети предприятия, обеспечивающей надежную передачу данных Текст научной статьи по специальности «Компьютерные и информационные науки»
Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Мешкова Елена Владимировна
В статье рассматриваются основных положения политики безопасности ЛВС для предприятия, которая позволит свети к минимуму риск утечки информации, технических сбоев оборудования, неправильных технологических и организационных решений в процессах хранения, обработки и передачи информации в ЛВС предприятия.
Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Мешкова Елена Владимировна
Текст научной работы на тему «Разработка политики безопасности локально-вычислительной сети предприятия, обеспечивающей надежную передачу данных»
Мешкова Елена Владимировна, студентка, 5 курс электротехнического факультета, Пермский национальный исследовательский политехнический университет
РАЗРАБОТКА ПОЛИТИКИ БЕЗОПАСНОСТИ ЛОКАЛЬНО-ВЫЧИСЛИТЕЛЬНОЙ СЕТИ ПРЕДПРИЯТИЯ, ОБЕСПЕЧИВАЮЩЕЙ НАДЕЖНУЮ ПЕРЕДАЧУ ДАННЫХ
Аннотация: В статье рассматриваются основных положения политики безопасности ЛВС для предприятия, которая позволит свети к минимуму риск утечки информации, технических сбоев оборудования, неправильных технологических и организационных решений в процессах хранения, обработки и передачи информации в ЛВС предприятия.
Ключевые слова: локально-вычислительная сеть, политика безопасности, базовые мероприятия, функциональное руководство, администратор, пользователь.
Abstract: The article discusses the major provisions of the security policy of a LAN for the enterprise, which will allow minimizing the risk of information leakage, technical failure of equipment, improper technological and organizational solutions in data storage, processing and transmission of information in a LAN of the enterprise.
Keywords: LAN, security policy, basic activities, functional management, administrator, user.
На промышленных предприятиях уделяется большое внимание обработке и передаче данных в локально-вычислительных сетях (далее ЛВС), которая позволяет максимально ускорить создание больших проектов, требующих вклада
множества сотрудников, задействования различных устройств или вычислительных мощностей различных серверов, а также организовать связь с удаленными филиалами компании, и непосредственно запрашивать и предоставлять информацию в сети Интернет. При этом возникают трудности с организацией модели безопасной передачи данных внутри ЛВС [1].
Целью работы является рассмотрение основных положений политики безопасности ЛВС для предприятия, которая позволит свети к минимуму риск утечки информации, технических сбоев оборудования, неправильных технологических и организационных решений в процессах хранения, обработки и передачи информации в ЛВС предприятия.
Далее рассматриваются основные положения политики ЛВС.
Общие положения определяют цели обеспечения безопасности ЛВС предприятия и устанавливают совокупность правил, требований и руководящих принципов в области защиты информации, хранимой, обрабатываемой и передаваемой в ЛВС предприятия, которыми руководствуется предприятие в своей деятельности.
Также в общих положениях оговаривается область действия политики, а именно, на какие структурные подразделения предприятия распространяется политика, для какого круга лиц ее исполнение является обязательным и к какому периферийному оборудованию она применяется.
Обязательным пунктом политики является определение целей политики безопасности ЛВС. Только поставив цели и определив задачи обеспечения безопасности можно приступать к формированию соответственных требований.
2. Базовые мероприятия по обеспечению безопасности ЛВС предприятия
Базовые мероприятия определяют правила безопасного использования ЛВС сотрудниками предприятия. На данном этапе следует определить:
— Общие принципы обеспечения безопасности ЛВС, подключенной к сети
Интернет для получения данных из внешних источников.
— Общие принципы обеспечения безопасности ЛВС, подключенной к сети
Интернет для связи между сегментами ЛВС.
— Общие принципы обеспечения безопасности в случаях, когда в ЛВС
расположены общедоступные сервисы [2].
На данном этапе необходимо сформировать сотрудников в группы, согласно их правам, а также обозначить их обязанности по обеспечению защиты ЛВС предприятия. В качестве ответственных групп могут выступать следующие:
— Функциональное руководство — работники, которые несут ответственность согласно своим функциональным обязанностям (не в области компьютерной безопасности) внутри предприятия. Функциональное руководство отвечает за информирование сотрудников предприятия относительно этой политики [3].
— Администраторы ЛВС — сотрудники, которые участвуют в ежедневном управлении и поддержании работоспособности ЛВС предприятия. Администраторы ЛВС отвечают за обеспечение непрерывного функционирования ЛВС, а также за осуществление соответствующих мер защиты в ЛВС в соответствии с политикой безопасности ЛВС предприятия.
— Местные Администраторы — сотрудники, которые являются ответственными за предоставление конечным пользователям доступа к необходимым ресурсам ЛВС, которые размещены на серверах, входящих в их зону ответственности. Местные администраторы отвечают за обеспечение защиты своих серверов в соответствии с политикой безопасности ЛВС предприятия.
— Конечные пользователи — остальные сотрудники, которые имеют доступ к ЛВС предприятия. Конечные пользователи отвечают за использование ЛВС в соответствии с политикой безопасности ЛВС.
Детальные обязанности перечисленных групп сотрудников представлены в обязанностях по обеспечению защиты ЛВС предприятия.
4. Наказания за несоблюдение политики
Заключительным этапом является определение наказаний за несоблюдение политики, так как отказ соблюдать политику может подвергнуть информацию предприятия недопустимому риску потери конфиденциальности, целостности или доступности при ее хранении, обработке или передаче в ЛВС.
Для того, чтобы политика безопасности оставалась эффективной, необходимо осуществлять непрерывный контроль за ее исполнением, повышать осведомленность сотрудников организации в вопросах обеспечения безопасности и обучать их выполнению правил, предписываемых политикой безопасности.
Для поддержания политики в актуальном состоянии необходим регулярный ее пересмотр и корректировка правил, с помощью которых достигается безопасное использование ЛВС на предприятии.
1. О. А. Волков. Разработка и анализ модели политики безопасности компьютерной сети // Известия высших учебных заведений. Поволжский регион. Технические науки. — 2011. — № 2 (18). — С.38-45.
2. О. Н. Сергеев, Н. В. Федоров. Компьютерная защита информации. Учебное пособие. — М.: МГГУ, 2007 — 179 с.
3. В. А. Семененко, Н. В. Федоров. Компьютерная безопасность. Учебное пособие. — М.: МОСУ, 2006 — 356 с.