- Лекция 24 Обеспечение безопасности информации в лвс
- 1.4 Способы защиты информации в локальных вычислительных сетях
- 2 Охрана труда, техника безопасности в организации и на рабочем месте
- 2.1 Техника безопасности в организации
- 5.7. Защита информации в локальных вычислительных сетях
- 5.8. Защита информации при межсетевом взаимодействии
Лекция 24 Обеспечение безопасности информации в лвс
В вычислительных сетях сосредотачивается информация, исключительное право на пользование которой принадлежит определенным лицам или группам лиц, действующим в соответствии с должностными обязанностями. Такая информация должна быть защищена от всех видов постороннего вмешательства: чтения лицами, не имеющими права доступа к информации, и преднамеренного изменения информации. К тому же в вычислительных сетях должны приниматься меры по защите вычислительных ресурсов и средств связи от их несанкционированного использования, то есть должен быть исключен доступ к сети лиц, не имеющих на это права. Физическая защита системы и данных может осуществляться только в отношении рабочих компьютеров и узлов связи и оказывается невозможной для средств передачи, имеющих большую протяженность. По этой причине должны использоваться средства, исключающие несанкционированный доступ к данным и обеспечивающие их секретность.
Исследования практики функционирования систем обработки данных и вычислительных сетей показали, что существует много возможных направлений утечки информации и путей несанкционированного доступа в системах и сетях. В их числе:
- чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
- копирование носителей информации и файлов информации с преодо- лением мер защиты;
- маскировка под зарегистрированного пользователя;
- маскировка под запрос системы;
- использование программных ловушек;
- использование недостатков операционной системы;
- незаконное подключение к аппаратуре и линиям связи;
- злоумышленный вывод из строя механизмов защиты;
- внедрение и использование компьютерных вирусов и др.
- ограничение доступа в помещения, в которых происходит подготовка и обработка информации;
- допуск к обработке и передаче конфиденциальной информации только проверенных должностных лиц;
- хранение магнитных носителей и регистрационных журналов в закрытых для доступа посторонних лиц сейфах;
- исключение просмотра посторонними лицами содержания обрабатываемых материалов на дисплее, принтере, в распечатках и т.д.;
- использование криптографических кодов при передаче по каналам связи ценной информации;
- уничтожение красящих лент от принтеров, бумаги и иных материалов, содержащих фрагменты ценной информации.
- осуществление питания оборудования, обрабатывающего ценную информацию от независимого источника питания или через специальные сетевые фильтры;
- установка на дверях помещений кодовых замков;
- использование для отображения информации при вводе/выводе жидкокристаллических или плазменных дисплеев, а для получения твердых копий — струйных или термопринтеров, поскольку дисплей с ЭЛТ дает такое высокочастотное излучение, что его изображение с экрана можно принимать на расстоянии нескольких сотен метров;
- уничтожение информации, хранящейся в ПЗУ и на магнитных дисках, при списании или отправке их в ремонт;
- установка клавиатуры и принтеров на мягкие прокладки с целью снижения возможности снятия информации акустическим способом;
- охрана территорий и помещений с помощью экранирования машинных залов металлическими листами, установки систем наблюдения и организации контрольно-пропускных систем.
- контроля доступа к различным уровням памяти компьютеров;
- блокировки данных и ввода ключей;
- выделения контрольных битов для записей с целью идентификации.
- контроль безопасности, в том числе контроль регистрации вхождения в систему, фиксацию в системном журнале, контроль действий пользователя;
- реакцию (в том числе звуковую) на нарушение системы защиты контроля доступа к ресурсам сети;
- контроль мандатов доступа;
- формальный контроль защищенности операционных систем (базовой общесистемной и сетевой);
- контроль алгоритмов защиты;
- проверку и подтверждение правильности функционирования технического и программного обеспечения.
- некоторые программы перестают работать или работают не корректно;
- на экран выводятся посторонние сообщения, символы, рисунки и т.д.;
- работа компьютера существенно замедляется;
- некоторые файлы или файловая система полностью оказываются ис- порченными и т.д.
- подтверждение подлинности того, что объект, который предлагает се- бя в качестве отправителя информации в сети, действительно им является;
- целостность информации, выявляя искажения, вставки, повторы и уничтожение данных, передаваемых в сетях, а также последующее восста- новление данных;
- секретность всех данных, передаваемых по каналам вычислительной системы;
- нейтрализацию попыток несанкционированного использования вы числительных ресурсов. При этом контроль доступа может быть либо изби- рательным, то есть распространяться только на некоторые виды доступа к ресурсам, например, на обновление информации в базе данных, либо пол- ным;
- нейтрализацию угрозы отказа от информации со стороны ее отправи- теля и/или получателя;
- получателя информации доказательствами, которые исключают по пытки отправителя отрицать факты передачи указанной информации или ее содержания.
1.4 Способы защиты информации в локальных вычислительных сетях
Способы защиты информации в локальных сетях включают в себя следующие элементы:
1. Препятствие — физически преграждает злоумышленнику путь к защищаемой информации (на территорию и в помещения с аппаратурой, носителям информации).
2. Управление доступом — способ защиты информации регулированием использования всех ресурсов системы (технических, программных средств, элементов данных). Управление доступом включает следующие функции защиты:
- идентификацию пользователей, персонала и ресурсов системы, причем под идентификацией понимается присвоение каждому названному выше объекту персонального имени, кода, пароля и опознание субъекта или объекта по предъявленному им идентификатору;
- проверку полномочий, заключающуюся в проверке соответствия дня недели, времени суток, а также запрашиваемых ресурсов и процедур установленному регламенту;
- разрешение и создание условий работы в пределах установленного регламента;
- регистрацию обращений к защищаемым ресурсам;
- реагирование (задержка работ, отказ, отключение, сигнализация) при попытках несанкционированных действий.
3. Маскировка — способ защиты информации в локальной вычислительной сети путем ее криптографического преобразования. При передаче информации по линиям связи большой протяженности криптографическое закрытие является единственным способом надежной ее защиты.
4. Регламентация — заключается в разработке и реализации в процессе функционирования локальной сети комплексов мероприятий, создающих такие условия автоматизированной обработки и хранения в сети защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму. Для эффективной защиты необходимо строго регламентировать структурное построение локальной сети (архитектура зданий, оборудование помещений, размещение аппаратуры), организацию и обеспечение работы всего персонала, занятого обработкой информации.
5. Принуждение — пользователи и персонал локальной сети вынуждены соблюдать правила обработки и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
2 Охрана труда, техника безопасности в организации и на рабочем месте
2.1 Техника безопасности в организации
Система организационных и технических мероприятий, и средств, предоставляющих предотвращение производственный травматизм, носит название техники безопасности.
Для предупреждения производственного травматизма в организации необходимо:
- инструктировать по безопасным приёмам работы;
- контролировать соблюдение правил техники безопасности.
Кроме изучения инструкций предусматривается вводный инструктаж, инструктаж на рабочем месте, дополнительные инструктажи и обучение по специальной программе.
Вводный инструктаж проводится в целях ознакомления с общей производственной обстановкой и особенностями работы организации, с опасностями, встречающимися при работе в организации. Инструктаж непосредственно на рабочем месте является практическим показателем безопасного приёма труда.
В задачи производственной санитарии входят:
- мероприятия по разъяснению последствий вредного действия на людей отработавших газов, этилированного бензина, ДТ, кислот и щелочей, растворителей и других материалов, и веществ, недопущение высоких и низких температур, повышенной влажности в производственных помещениях и прочих факторов, которые могут оказывать вредное влияние на здоровье людей.
Важным условием безопасного и высокопроизводительного труда являются:
- устранение производственного вреда, а именно;
- загрязнение воздушной среды;
- шумов и вибрации;
- не нормального теплового режима (сквозняки, низкая или высокая температура на рабочих местах).
Под воздействием производственного вреда могут возникнуть профессиональные заболевания. Задачи производственной санитарии и гигиены труда является полное исключение или существенное уменьшение производственного вреда.
Рабочее место практиканта находится в помещении с вычислительной техникой. Требуется знать некоторые правила охраны труда и техники безопасности на данном рабочем месте.
5.7. Защита информации в локальных вычислительных сетях
5.7.1. Характерными особенностями ЛВС являются распределенное хранение файлов, удаленная обработка данных (вычисления) и передача сообщений (электронная почта), а также сложность проведения контроля за работой пользователей и состоянием общей безопасности ЛВС.
5.7.2. Средства защиты информации от НСД должны использоваться во всех узлах ЛВС независимо от наличия (отсутствия) конфиденциальной информации в данном узле ЛВС и требуют постоянного квалифицированного сопровождения со стороны администратора безопасности информации.
5.7.3. Информация, составляющая служебную тайну, и персональные данные могут обрабатываться только в изолированных ЛВС, расположенных в пределах контролируемой зоны, или в условиях, изложенных в пунктах 5.8.4. и 5.8.5. следующего подраздела.
5.7.4. Класс защищенности ЛВС определяется в соответствии с требованиями РД Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».
5.7.5. Для управления ЛВС и распределения системных ресурсов в ЛВС, включая управление средствами защиты информации, обрабатываемой (хранимой, передаваемой) в ЛВС, в дополнение к системным администраторам (администраторам ЛВС) могут быть назначены администраторы по безопасности информации, имеющие необходимые привилегии доступа к защищаемой информации ЛВС.
5.7.6. Состав пользователей ЛВС должен устанавливаться по письменному разрешению руководства предприятия (структурного подразделения) и строго контролироваться. Все изменения состава пользователей, их прав и привилегий должны регистрироваться.
5.7.7. Каждый администратор и пользователь должен иметь уникальные идентификаторы и пароли, а в случае использования криптографических средств защиты информации — ключи шифрования для криптографических средств, используемых для защиты информации при передаче ее по каналам связи и хранения, и для систем электронной цифровой подписи.
5.8. Защита информации при межсетевом взаимодействии
5.8.1. Положения данного подраздела относятся к взаимодействию локальных сетей, ни одна из которых не имеет выхода в сети общего пользования типа Internet.
5.8.2. Взаимодействие ЛВС с другими вычислительными сетями должно контролироваться с точки зрения защиты информации. Коммуникационное оборудование и все соединения с локальными периферийными устройствами ЛВС должны располагаться в пределах КЗ.
5.8.3. При конфигурировании коммуникационного оборудования (маршрутизаторов, концентраторов, мостов и мультиплексоров) и прокладке кабельной системы ЛВС рекомендуется учитывать разделение трафика по отдельным сетевым фрагментам на производственной основе и видам деятельности предприятия.
5.8.4. Подключение ЛВС к другой автоматизированной системе (локальной или неоднородной вычислительной сети) иного класса защищенности должно осуществляться с использованием МЭ, требования к которому определяются РД Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».
5.8.5. Для защиты конфиденциальной информации при ее передаче по каналам связи из одной АС в другую необходимо использовать: