- •Актуальность проблемы обеспечения безопасности информационных технологий Место и роль информационных систем в управлении бизнес-процессами
- •Основные причины обострения проблемы обеспечения безопасности информационных технологий
- •Защита информационных технологий как процесс управления рисками. Сложность количественной оценки рисков
- •Особенности современных автоматизированных систем как объектов защиты
- •Основные понятия в области безопасности информационных технологий Что такое безопасность информационных технологий
- •Информация и информационные отношения
- •Субъекты информационных отношений, их безопасность
- •Цель защиты автоматизированной системы и циркулирующей в ней информации
- •Угрозы безопасности информационных технологий Уязвимость основных структурно-функциональных элементов распределённых автоматизированных систем
- •Угрозы безопасности информации, автоматизированных систем и субъектов информационных отношений
- •Источники угроз безопасности
- •Классификация угроз безопасности
- •Классификация каналов проникновения в автоматизированную систему и утечки информации
- •Неформальная модель нарушителя
- •Виды мер и основные принципы обеспечения безопасности информационных технологий Виды мер противодействия угрозам безопасности
- •Достоинства и недостатки различных видов мер защиты
- •Основные принципы построения системы обеспечения безопасности информации в автоматизированной системе
- •Правовые основы обеспечения безопасности информационных технологий Введение
- •Защищаемая информация
- •Лицензирование
- •Сертификация средств защиты и аттестация объектов информатизации
- •Новое поколение нормативно-технических документов (гост р исо/мэк 15408-2008)
- •Часть 2 рд содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определённым правилам.
- •Специальные требования и рекомендации по технической защите конфиденциальной информации
- •Юридическая значимость электронных документов с электронной подписью
- •Ответственность за нарушения в сфере защиты информации
- •Государственная система защиты информации Введение
- •Государственная система защиты информации
- •Организация защиты информации в системах и средствах информатизации и связи
- •Контроль состояния защиты информации
- •Финансирование мероприятий по защите информации
- •Основные защитные механизмы, реализуемые в рамках различных мер и средств защиты Основные механизмы защиты информационных систем
- •Разграничение доступа зарегистрированных пользователей к ресурсам автоматизированной системы
- •Регистрация и оперативное оповещение о событиях безопасности
- •Криптографические методы защиты информации
- •Контроль целостности программных и информационных ресурсов
- •Обнаружение атак
- •Защита периметра компьютерных сетей
- •Управление механизмами защиты
- •Страхование информационных рисков
- •Организационная структура системы обеспечения безопасности информационных технологий Понятие технологии обеспечения (управления) безопасности информации и ресурсов в автоматизированной системе
- •Цели создания системы обеспечения информационной безопасности
- •Регламентация действий пользователей и обслуживающего персонала автоматизированной системы
- •Политика безопасности организации
- •Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты
- •Распределение функций по обеспечению безопасности информационных технологий
- •Система организационно-распорядительных документов по обеспечению безопасности информационных технологий
- •Документы , регламентирующие правила парольной и антивирусной защиты Инструкция по организации парольной защиты
- •Инструкция по организации антивирусной защиты
- •Документы, регламентирующие порядок допуска к работе и изменения полномочий пользователей автоматизированной системы Допуск сотрудников подразделений к работе с ас
- •Обеспечение и контроль физической целостности и неизменности конфигурации аппаратно-программных средств автоматизированной системы
- •Регламентация процессов обслуживания и осуществления модификации аппаратных и программных средств автоматизированной системы
- •Процедура внесения изменений в конфигурацию аппаратных и программных средств защищённых серверов и рабочих станций
- •Регламентация процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач Основы процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач
- •Взаимодействие подразделений на этапах проектирования, разработки, испытания и внедрения новых автоматизированных подсистем
- •Назначение, возможности, и основные защитные механизмы межсетевых экранов Введение
- •Мэ - основные сведения
- •Классификация мэ
- •Варианты расположения мэ
- •Политика безопасности и мэ
- •Недостатки мэ
- •Что такое «HoneyNet»?
Недостатки мэ
Общий обзор
МЭ позволяют эффективно реализовать политику безопасности, касающуюся вопросов обмена информацией с «чужими» сетями (например, с внешним миром). Однако, наряду с очевидными достоинствами, МЭ имеют ряд ограничений:
МЭ обеспечивают безопасность только тех соединений, которые установлены непосредственно через них. Это означает, что применение МЭ будет эффективным только тогда, когда периметр контролируется полностью. МЭ не контролируют соединения, установленные в обход средств защиты периметра, например, с использованием модемов. Кроме того, МЭ не контролируют внутренние соединения, т. е. подключения со стороны внутренних пользователей к внутренним ресурсам.
МЭ могут содержать ошибки: - В программном обеспечении (ошибки реализации). - Допущенные при конфигурировании правил МЭ (ошибки обслуживания)
МЭ не способны обнаружить запрещённый трафик, передаваемый поверх разрешённого протокола (эта проблема частично решается с помощью средств анализа содержимого). Как известно, механизм передачи трафика заданного типа поверх (внутри) другого называется туннелированием. Далее этот механизм рассматривается подробнее.
Туннелирование
Многоуровневая архитектура стека протоколов TCP ЯР делает возможной передачу трафика какого-либо типа поверх другого. Например, прикладные службы могут использовать в качестве протокола транспортного уровня TCP или UDP. В стандартных реализациях стека TCP/IP можно выделить четыре уровня.
Однако теоретически можно добавить ещё один уровень (над прикладными службами) и передавать произвольный трафик (как правило, это также трафик какой-либо прикладной службы) поверх прикладного.
Очевидно, программа для реализации описанного механизма должна иметьраспределённую архитектуру. Задачи клиентской части:
Ожидать соединения со стороны локального пользователя (по возможности, быть привязанной к интерфейсу 127.0.0.1)
Упаковывать пользовательский трафик в трафик заданного типа и перенаправлять его серверной части (на другой конец туннеля).
Задачи серверной части:
Ожидать соединения со стороны клиентской части
Распаковывать трафик, отделяя от него информацию, связанную с работой туннеля
Осуществлять взаимодействие с целевым сервером
Схема взаимодействия клиента с целевым сервером показана на следующем рисунке:
Реализации клиентской и серверной частей программы, выполняющей туннелирование, для различных ОС можно найти по адресу: http://www.nocrew.org/software/httptunnel.html
Что такое «HoneyNet»?
Введение
Говоря о защите периметра, нельзя не упомянуть о проекте «HoneyNet» (http://project.honeyNet.org/papers), цель которого - изучение поведения нарушителей. «HoneyNet» - это сеть узлов, используемых в повседневной работе, но предназначенных для взлома. В процессе взлома информация фиксируется, а затем анализируется с целью изучения поведения нарушителей.
Назначение и особенности
Основная цепь «HoneyNet» - сбор данных о противнике, изучение его тактики. С её помощью можно решить следующие задачи:
Получение сведений о рисках в области безопасности и уязвимостях. Поскольку HoneyNet состоит из систем и приложений, используемых в повседневной деятельности, риски и уязвимости, имеющиеся в HoneyNet, полностью отображают риски и уязвимости реальной сети организации.
Отработка политики реагирования на инциденты.
Отслеживание действий нарушителя в реальном времени (общение через IRC и т. д.).
Таким образом, с помощью «HoneyNet» можно контролировать любую деятельность, происходящую внутри. Анализ собранных данных дает информацию об использованных инструментах, тактике и мотивах нарушителей.
Типовая схема «HoneyNet»
Схема «HoneyNet» должна быть спроектирована таким образом, чтобы обеспечить:
Возможность контроля ситуации
Возможность фиксации как можно большего числа данных
Сеть «HoneyNet» должна работать вместе с корпоративной сетью и быть максимально независимой от нее. Она может быть подключена к Интернет по отдельному каналу или использовать основной маршрутизатор организации. В предлагаемом варианте сети можно выделить три сегмента:
Собственно сама сеть «HoneyNet»
Административная сеть
Интернет
Сегмент «HoneyNet» состоит из:
Узлов-приманок. Они создают сетевую среду, моделирующую реальную сеть предприятия. На этих узлах ничего не эмулируется, ничего не сделано специально для ослабления защиты.
Сервера регистрации. Он собирает данные с узлов-приманок, настроенных так, что все данные сохраняются локально и на сервере-регистрации. На него могут поступать данные и от системы обнаружения атак (через административный сегмент)
Системы обнаружения атак, собирающей трафик сетевого сегмента «HoneyNet».
Административный сегмент служит для сбора и обработки данных, которые и являются результатом работы «HoneyNet». Источниками данных являются:
Межсетевой экран
Сервер регистрации
Система обнаружения атак
Системные журналы узлов сегмента «HoneyNet»
Межсетевой экран осуществляет фиксацию событий и контроль соединений, позволяя управлять ситуацией в сегменте «HoneyNet». Маршрутизатор защищает от атак сетевого уровня, исходящих из сегмента «HoneyNet», таких как IPSpoofmg, Ping of Death и т. п., a также ограничивает ICMP- трафик.
Итак, использование «HoneyNet» даёт возможность получить информацию о противнике, изучить аспекты его поведения и сделать соответствующие выводы, относящиеся уже к реальной сети предприятия.