Файл: Че Е. П. аспирантТихоокеанский государственный университетРоссия, г. Хабаровск.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 25.10.2023
Просмотров: 16
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Всероссийский научный журнал «Студент. Аспирант. Исследователь» № 1 (19)
2017
Че Е.П.
аспирант
Тихоокеанский государственный университет
Россия, г. Хабаровск
БЕЗОПАСНОСТЬ ПРОГРАММНОГО И АППАРАТНОГО
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ В Г. АБУ
ДАБИ - СТОЛИЦЕ ОБЪЕДИНЕННЫХ АРАБСКИХ ЭМИРАТОВ
Аннотация. Исследуется безопасность аппаратного и программного обеспечения в нынешнем тренде технологий. Рассматривается политика безопасности информационных технологий в г. Абу-Даби — столице
Объединённых Арабских Эмиратов.
Ключевые слова: программное обеспечение, аппаратное обеспечение, защита информационных технологий, криптографическое шифрование, политика безопасности, г. Абу-Даби, Объединённые Арабские Эмираты.
Безопасность аппаратного и программного обеспечения претерпевает большие изменения в нынешнем тренде технологий. Большинство систем, используемых в наши дни, передаёт крайне важную информацию от клиентов к пользователю при полной прозрачности. Это означает, что «где хранятся данные», как они передаются и кто имеет доступ к ним — всё это вне контроля пользователя.
Очень часто безопасность аппаратного обеспечения рассматривается как наиболее базовая ее характеристика, по сути, физического устройства, которое заботится о безопасности сетевой системы. Задача: как бизнесу следует расположить сеть для того, чтобы он смог обеспечить безопасный сервис или обеспечить безопасность самому себе? Где серверы лучше расположить, и как данные следует использовать? Эти основные вопросы встают перед группой больших корпораций и правительства при разработке политики безопасности.
Организация ведения записей — это одна из наиболее важных тем наряду с управлением информации. Эти две темы описывают, как политика и бизнес stud-sciece@mail.ru
194
Всероссийский научный журнал «Студент. Аспирант. Исследователь» № 1 (19)
2017
объединились вместе для обеспечения какого-либо «стандарта», который бы использовался по всему миру.
Записи — информационные ресурсы и держатели ценности для организации. Организация обязуется перед всеми акционерами управлять ими эффективно для того, чтобы максимизировать прибыль, контролировать затраты и обеспечивать жизнедеятельность организации.
Эффективная организация ведения записей ручается, что нужная информация восстанавливаемая, достоверная и точная [2].
Безопасность программного обеспечения (ПО) — это идея инженерного
ПО, которое продолжает функционировать точно даже под воздействием вредоносной атаки. Большинство технических специалистов признают важность этого вопроса, но они нуждаются в некоторой помощи в решении этой проблемы.
При проведении безопасной сети необходимо принять к сведению следующее:
• Контроль над доступом
— авторизованные пользователи обеспечиваются путями к передаче от и до определённой сети.
• Конфиденциальность — информация в сети остаётся приватной.
• Проверка подлинности — проверить пользователей сети и убедиться в том, что юзеры являются теми, кем они себя назвали.
• Достоверность — убедиться в том, что сообщение не было модифицировано в пути.
Управление безопасностью информационных технологий (ИТ) — система, с помощью которой организация направляет и контролирует безопасность ИТ по материалам ISO 38500 (International standard for ^rporate governance of information technology) Международной организации по стандартизации.
Эта система управления передаёт полномочия компетентному человеку, устанавливает тех, кто затем принимает решения и кто ответственен за сочетание управления с мерами безопасности. Таким образом, корпорации stud-sciece@mail.ru
195
Всероссийский научный журнал «Студент. Аспирант. Исследователь» № 1 (19)
2017
могут построить защищённую сеть и обезопасить свои активы. Далее будет описано внедрение этих систем и шагов безопасности на примере города Абу
Даби
Политика безопасности, осуществлённая службой информационной
безопасности в г. Абу-Даби (столице Объединённых Арабских Эмиратов)
Полиция Абу-Даби — это главная штаб-квартира, она структурирована в
Министерство внутренних дел Объединёных Арабских Эмиратов.
В обязанности полиции Абу-Даби входит обеспечение безопасности города Абу
Даби (столицы Объединённых Арабских Эмиратов) и двух основных городов, которые представляют собой союз семи штатов (Абу-Даби, Дубай, Шарджа,
Умм-эль-Кайвайн, Аджман, Рас-эль-Хайма и Фуджейра).[12]
Департамент по информационным технологиям и телекоммуникациям
Главная штаб-квартира полиции Абу-Даби включат в себя много субдепартаментов, в том числе Департамент по ИТ и телекоммуникациям, который в свою очередь содержит несколько суботделов, включая Отдел по информационной безопасности.
Отдел по информационной безопасности ответственен за:
- защиту системы, приложений, сети, пользователей;
- разработку политики, которая обеспечивает надлежащую осведомлённость, информированность и защиту от несанкционированного использования техники;
- аудит и мониторинг;
- выполнение правил и регулирование, которое близко к информационной безопасности. Это также включает обновления политики и информации постоянно и непрерывно для того, чтобы достигнуть публичных интересов организации.
Эти принципы представлены в следующем порядке:
- Политика контроля над доступом.
stud-sciece@mail.ru
196
Всероссийский научный журнал «Студент. Аспирант. Исследователь» № 1 (19)
2017
- Политика классификации активов.
- Политика организации внесения изменений.
- Политика обмена данными и процесса функционирования.
- Политика соответствия стандартам.
- Политика управления конфигурацией.
- Политика криптографического использования.
- Политика безопасности электронной почты (e-mail).
- Политика безопасности КПК и PDA СЭУ (сложных электронных устройств).
- Политика информационного обмена и общения с прессой.
-
Политика
ИБ
(информационная безопасность) принимаемого использования.
- Политика интернет-безопасности.
- Политика управления лицензиями.
- Политика предотвращения вредоносного кода.
- Политика безопасности сети.
- Политика безопасности паролей.
- Политика безопасности для персонала.
- Технологическая и относящаяся к окружающей среде политика безопасности.
- Политика осведомлённости о безопасности.
- Политика безопасности доступа третьих лиц.
Далее будут описаны лишь некоторые из этих принципов, раскрывающие основную суть предмета данного исследования.
Политика контроля над доступом
Цель этой политики — контролировать доступ пользователя и бизнес
процессов, основанных на требованиях бизнеса, требованиях к службе безопасности, и обеспечивать информационные ресурсы на соответствующем уровне защиты в полиции Абу-Даби (ПАД).
stud-sciece@mail.ru
197
Всероссийский научный журнал «Студент. Аспирант. Исследователь» № 1 (19)
2017
Объём этой политики с тесно связанными процедурами покрывает все сферы ИБ (информационной безопасности), управляемые ПАД.
Контроль доступа:
• Доступ пользователя к информационным ресурсам ПАД будет основываться на требованиях бизнеса и специфических сферах ответственности работы программиста, имеющего доступ в систему, поддерживающего инфраструктуру программного и аппаратного обеспечения.
• Всем системам следует иметь пользовательский доступ к жизненному циклу.
• Роли и привилегии должны быть созданы с принципами, нужными пользователю.
• Доступ пользователя к информации должен контролироваться, основываясь на требованиях бизнеса и требованиях к службе безопасности.
• Доступ пользователя к ИБ ПАД должен быть проверен, чтобы убедиться в том, что он обоснованный.
• Все операционные системы и приложения должны вводиться с пользовательским идентификационным номером (ИН) и паролем. Иначе ввод должен блокироваться.
• Все оборудование в сети ПАД должно быть идентифицировано, зарегистрировано и авторизовано.
Политика контроля доступа конечного пользователя:
• Всем пользователям
ИБ
ПАД следует иметь уникальный идентификационный номер (ИН), чтобы идентифицировать индивидуального пользователя.
• Конечным пользователям следует ввести заявление об их правах доступа и требование на согласие.
• Системам следует конфигурироваться так, чтобы удалять или дезактивировать пользовательские учётные записи после определённого периода неактивности.
• Учётные записи конечных пользователей должны быть одобрены stud-sciece@mail.ru
198
владельцами системы до их создания и активирования.
• Если конечный пользователь меняет свой функционал в пределах
ПАД, то его право доступа следует рассмотреть для проверки на соответствие.[4]
Политика криптографического использования
Цель: защищать конфиденциальность, достоверность и
неприкосновенность информации, хранящейся или передающейся.
Криптографические системы используются для защиты информации, которая считается закрытой и секретной.
Шифровальные требования:
• Экспертная оценка риска требований бизнеса.
• Владельцу бизнеса следует убедиться в том, что требования к шифровке рассмотрены и одобрены командой информационной безопасности
ПАД и командой информационных технологий (ИТ) ПАД.
• Команда информационной безопасности ПАД должна организовать стандарты шифровки для безопасности приложений, WLAN (Wireless Local
Area Network), шифровки файла на базисе Информационных системных рисков.
• ПАД следует реализовать стандарты шифровки, отвечающие требованиям бизнеса.
Данные, передающиеся через WAN (Wide Area Network) между ПАД и его акционерами посредством сети Интернет, должны быть на должном уровне защищены соответствующей шифровкой.
•
Основываясь на требованиях бизнеса, конфиденциальная электронная почта (e-mail) должна быть зашифрована до отправки к получателю и обратно.
•
Базируясь на требованиях бизнеса, конфиденциальные данные следует шифровать, если в этом есть необходимость.
•
Любая
ИТ-система, использующая шифровку для защиты конфиденциальной информации, должна быть завершена, базируясь на одобрении от ИБ ПАД.
Всероссийский научный журнал «Студент. Аспирант. Исследователь» № 1 (19)
2017
stud-sciece@mail.ru
199
• Если конечный пользователь меняет свой функционал в пределах
ПАД, то его право доступа следует рассмотреть для проверки на соответствие.[4]
Политика криптографического использования
Цель: защищать конфиденциальность, достоверность и
неприкосновенность информации, хранящейся или передающейся.
Криптографические системы используются для защиты информации, которая считается закрытой и секретной.
Шифровальные требования:
• Экспертная оценка риска требований бизнеса.
• Владельцу бизнеса следует убедиться в том, что требования к шифровке рассмотрены и одобрены командой информационной безопасности
ПАД и командой информационных технологий (ИТ) ПАД.
• Команда информационной безопасности ПАД должна организовать стандарты шифровки для безопасности приложений, WLAN (Wireless Local
Area Network), шифровки файла на базисе Информационных системных рисков.
• ПАД следует реализовать стандарты шифровки, отвечающие требованиям бизнеса.
Данные, передающиеся через WAN (Wide Area Network) между ПАД и его акционерами посредством сети Интернет, должны быть на должном уровне защищены соответствующей шифровкой.
•
Основываясь на требованиях бизнеса, конфиденциальная электронная почта (e-mail) должна быть зашифрована до отправки к получателю и обратно.
•
Базируясь на требованиях бизнеса, конфиденциальные данные следует шифровать, если в этом есть необходимость.
•
Любая
ИТ-система, использующая шифровку для защиты конфиденциальной информации, должна быть завершена, базируясь на одобрении от ИБ ПАД.
Всероссийский научный журнал «Студент. Аспирант. Исследователь» № 1 (19)
2017
stud-sciece@mail.ru
199
Всероссийский научный журнал «Студент. Аспирант. Исследователь» № 1 (19)
2017
•
В зависимости от требований бизнеса владельцу актива (т.е. информации) и команде безопасности ПАД следует решить обоюдную методологию шифровки для защиты идентифицированной важной и закрытой предпринимательской информации.
Криптографические ключи должны:
•
Обеспечивать адекватную защиту от незаконного доступа.
•
Команде информационной безопасности ПАД следует определить тип и качество используемого шифровального алгоритма.
•
Электронные сертификаты, основанные на ключевых решениях общественной инфраструктуры, следует реализовать для идентифицированных критических приложений.
•
Штатные сотрудники ПАД должны быть обязательными и ответственными за транзакции и безопасную защиту электронных сертификатов.
•
Внутренней сети ПАД следует иметь возможность выпускать или отзывать электронные сертификаты.
Таким образом, безопасность программного и аппаратного обеспечения становится одной из важнейших тем современности, когда мы говорим об обмене данными. Перечисленные выше принципы работы и политика конфиденциальности на примере Объединенных Арабских Эмиратах может быть использована и в политике безопасности Российской Федерации.
Список использованных источников:
1.
Dowd, P.W.; McHenry, J.T., "Network security: it's time to take it seriously," Computer, vol.31, no.9, pp.24- 28, Sep 1998.
2.
Security Overview,www.redhatcom/docs/manuals/enterprise/RHEL-4-
Manual/security- guide/ch-sgs-ov.html.
3.
HYPERLINK http://www.networkworld.com/news/2011/030311- security-roundup.html
4.
IT Governance-What is It and Why is It Important? By Doug stud-sciece@mail.ru
200
Всероссийский научный журнал «Студент. Аспирант. Исследователь» № 1 (19)
2017 5.
Donald G; Mohnish P; Uday P; “Methodology for Network
SecurityDesign”,1990 6.
Marin,HYPERLINK
http://ieeexplore.ieee.org/search/searchresult.jsp?searchWithin=p Authors:
.QT.Marin,%20G.A..QT.&searchWithin=p_Author_Ids:37280140600&newsearch=tr ue" Florida Inst. of Technol., “Network security basics”,Volume 3, Issue 6.
7.
Rahul Telang; Wattal, S. "An Empirical Analysis of the Impact of
Software Vulnerability Announcements on Firm Stock Price", Software Engineering,
IEEE Transactions on, 557 Volume: 33, Issue: 8, Aug. 2007.
8.
Chess, B.; Arkin, B. "Software Security in Practice", Security & Privacy,
IEEE, On page(s): 89 - 92 Volume: 9, Issue: 2, March-April 2011.
9.
Schneier, Bruce. Applied Cryptography Protocols, Algorithms, and
Source Code in C, Second Edition. New York: Wiley, 1995. Print.
10.
Pfleeger, Charles P., and Shari L. Pfleeger. Security in Computing. 4th ed. New Jersey: Prentice Hall, 2006. Print. 0-13-239077-9.
11.
Ciampa, Mark D. "Introduction to Security." Security Guide to Network
Security Fundamentals. Boston, MA.: Course Technology/ Cengage Learning, 2009.
N. pag. Print.
12.
"Abu Dhabi Police Structure." Abu Dhabi Police GHQ. UAE
Government, n.d. Web. 21 Nov. 2013.
stud-sciece@mail.ru
201