Добавлен: 23.11.2023
Просмотров: 199
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
1.1 Безопасность в организации
1.2 Человеческий фактор в обеспечении ИБ
Определение перечня внутренних угроз
определение перечня внешних угроз
1.3 Современные методы решения задач мониторинга
1.4 Постановка задачи. Общие принципы настройки механизмов защиты
ГЛАВА 2 Хранения и обработка данных автоматизированными системами и описание функций систем
2.1 Мониторинг привилегированных пользователей
2.3 Программное обеспечение Защита +
ГЛАВА 3. Экономическая эффективность информационной системы
3.2 Расчёт оборудования для совершенствования системы защиты информации
3.3 Анализ экономической целесообразности внедрения подсистемы «Защита +»
Таблица 1.3.1- Возможные каналы утечки информации с объекта защиты
| | Вид канала | Индикаторы |
| 1 | 2 | |
| Оптический канал | Окно №1 со стороны офисного здания с парковочной площадкой | |
| Окно №2 со стороны офисного здания с парковочной площадкой | ||
| Окно №3 со стороны многоэтажного жилого дома | ||
| Окно №4 со стороны многоэтажного жилого дома | ||
| Дверь в коридор | ||
| Радиоэлектронный канал | Многоэтажный жилой дом | |
| | | Офисное здание с парковочной площадкой |
| Телефон | ||
| Розетки | ||
| ПЭВМ | ||
| Воздушная линия электропередачи | ||
| Система оповещения | ||
| Система пожарной сигнализации | ||
| Акустический канал | Дверь | |
| Пол контролируемого помещения | ||
| Стены помещения | ||
| Батареи | ||
| Окна контролируемого помещения | ||
| Материально-вещественный канал | Документы на бумажных носителях | |
| Участник совещания | ||
| Персонал предприятия | ||
| Производственные отходы |
Возможности утечки информации с совещания зависят от многих факторов, основными из которых являются:
- возможность организации злоумышленниками каналов утечки информации;
- условия обеспечения разведывательного контакта в рамках того или иного канала утечки информации.
Канал утечки информации представляет собой физический путь от источника коммерческой тайны к злоумышленнику (конкуренту), посредством которого может быть реализован несанкционированный доступ к ограниченным сведениям. Для установления канала утечки информации необходимы определенные энергетические, пространственные и временные условия и соответствующие технические средства восприятия и фиксации информации. В качестве основных угроз безопасности информации во время проведения совещания выступают:
подслушивание и несанкционированная запись речевой информации с помощью закладных устройств, систем лазерного подслушивания, стетоскопов, диктофонов;
регистрация на неконтролируемой территории с помощью радиомикрофонов участниками, выполняющими агентурное задание;
перехват электромагнитных излучений при работе звукозаписывающих устройств и электроприборов.
Такие угрозы безопасности информации как модификация и уничтожение в данном случае не актуальны.
- Логи.
Лог – это текстовый файл, понятный даже новичку, в котором каждому событию соответствует одна строка с временем и некоторыми дополнительными сведениями. Для удобства пользователей лог-файлы часто группируются по датам, что облегчает поиск необходимых сведений.
У такого подхода есть множество недостатков. Например, обнаружение событий по постфактуму, а не в режиме реального времени. Конечно, обнаружение самого факта нарушения это уже хорошо, но в такой ситуации уже вряд ли можно будет возместить ущерб, который был причинен. Плюс ко всему здесь вся ответственность за обнаружение нарушений ИБ возлагается на человека, который, как известно, является самым слабым звеном в любой информационной системе.
- SPAN-порт.
SPAN – это коммутирующий порт для анализа, который является великолепным способом легко и без нарушения связи получить данные для анализа. По определению, SPAN-порт обычно указывает на возможность скопировать трафик с любого или со всех портов данных на один неиспользуемый порт, но, как правило, запрещает двунаправленный трафик на этот порт, чтобы защитить сеть от передачи обратного трафика.
Некоторые считают SPAN порт пассивным решением доступа к данным - но пассивный означает «не воздействующий», а зеркалирование (зеркальное копирование) оказывает некоторое воздействие на данные.
Зеркалирование меняет временные параметры взаимодействия кадров (увиденное и полученное – две разные вещи).
Spanning-алгоритм не рассматривался в качестве основной функции устройств, такой как коммутация или маршрутизация, таким образом приоритетом будет не spanning и если дублирование кадра становится проблемой, аппаратное устройство временно прекращает процесс SPAN.
Если скорость SPAN-порта станет чрезмерной, загруженные кадры теряются.
Для правильного зеркалирования от сетевого инженера требуется должным образом сконфигурировать коммутаторы, а для этого придется отвлечься от более серьёзных задач, выполняемых сетевым инженером, и часто конфигурация становится вопросом политики (постоянно возникающие разногласия между IT структурой, структурой безопасности и структурой соответствия требованиям.)
SPAN-порт отбрасывает все поврежденные пакеты или пакеты, размер которых меньше минимального, таким образом, не все кадры проходят.
Все эти события могут возникать в сети и пользователь не будет получать никаких уведомлений, так что нет гарантии, что будут представлена вся информация, необходимая для правильного анализа
Таким образом тот факт, что SPAN-порт в действительности не является пассивной технологией доступа к данным, и даже то, что он позволяет тестировать сеть без прерывания связи может стать проблемой для мониторинга.
Технология зеркалирования вполне жизнеспособна для определённых ситуаций, но с момента перехода на FDX Gigabit и 10 Gigabit сети и с требованиями просмотра всех кадров должна быть использована технология «реального» доступа (taps), чтобы отвечать современным требованиям технологий
комплексного анализа и мониторинга. Если требований к технологии недостаточно, сетевые специалисты могут сфокусировать оборудование инфраструктуры на задачах коммутации и маршрутизации и не тратить ценные ресурсы и время на настройку SPAN портов или перемаршрутизацию доступа к данным.
- Ответвители сетевого трафика(TAP - агенты)
Ответвители сетевого трафика – альтернатива SPAN-портам в области сбора трафика. Ответвители – это устройства, подключенные в разрыв между коммутаторами, межсетевыми экранами и серверами. Ответвители имеют преимущества над SPAN-портами, в особенности потому, что позволяют трафику беспрепятственно перемещаться между сетевыми устройствами, пока они копируют его для целей мониторинга.
Ответвители – это постоянная точка видения сетевого трафика и будут обеспечивать целостность соединения, даже если питание на ответвителе будет отключено. Ответвитель копирует видимый им сетевой трафик без существенной задержки или потери пакетов между сетевыми устройствами. Поскольку ответвители подключаются последовательно, им не нужен порт на коммутаторе или маршрутизаторе.
Хотя ответвители трафика способны видеть больше информации, чем SPAN-порты, они не видят внутренний трафик коммутаторов. Большинство ответвителей не требуют настройки – они просто постоянно работают. Некоторые ответвители могут делать множество копий сетевого трафика; таким образом разные приборы видят один и тот же набор данных
Ответвители сетевого трафика бывают разными и работают на разных скоростях. Если необходимо предоставить нескольким приборам доступ к каналу, неудобно для каждого прибора использовать отдельный ответвитель. Это слишком удорожит процесс. Намного практичнее иметь один ответвитель, воспроизводящий трафик на несколько портов для подключения устройств для мониторинга по необходимости или желанию.
В этом случае копии трафика поступают в канал один раз, минимизируя потерю оптического сигнала (если это волоконно-оптический ответвитель) и позволяя предоставить каждому прибору точную копию данных. Сегодня, когда безопасность сетей имеет важнейшее значение, сетевые ответвители оказываются надежнее SPAN-портов, поскольку порты мониторинга могут быть однонаправленными и невидимыми для других сетевых компонентов.
При установке ответвителей соединение между сетевыми устройствами необходимо прервать (отключить), но после установки оно может работать непрерывно.
Одно устройство для анализа сети может видеть множество сетевых сегментов, используя ответвитель трафика, агрегирующий данные из этих сегментов. Экономия, связанная с необходимостью в меньшем количестве зондов для анализа сети, позволит быстро окупить затраты на ответвитель сетевого трафика. Ответвители трафика используются в любых сетях, где необходима 100% видимость и работоспособность – от самых важных и крупных до самых небольших
1.4 Постановка задачи. Общие принципы настройки механизмов защиты
Как уже отмечалось выше, настройка механизмов защиты - дело сугубо индивидуальное для каждой системы и даже для каждой задачи. Поэтому дать ее подробное описание довольно трудно. Однако существуют общие принципы, которых следует придерживаться, чтобы облегчить себе работу, так как они проверены практикой. Рассмотрим их:
Группирование.
Это объединение множества субъектов под одним групповым именем; всем субъектам, принадлежащим одной группе, предоставляются равные права. Принципы объединения пользователей в группы могут быть самые разные: одинаковый характер вычислений, работа над совместным проектом и т.д. При этом один и тот же субъект может входить в несколько различных групп, и, соответственно, иметь различные права по отношению к одному и тому же объекту.
Механизм группирования может быть иерархическим. Это означает, что каждый субъект является членом нескольких групп, упорядоченных по отношению "быть подмножеством". Контроль за состоянием групп очень важен, поскольку члены одной группы имеют доступ к большому числу объектов, что не способствует их безопасности.
Правила умолчания.
Большое внимание при назначении привилегий следует уделять правилам умолчания, принятым в данных средствах защиты; это необходимо для соблюдения политики безопасности. Во многих системах, например, субъект, создавший объект и являющийся его владельцем, по умолчанию получает все права на него.
Кроме того, он может эти права передавать кому-либо. В различных средствах защиты используются свои правила умолчания, однако принципы назначения привилегий по умолчанию в большинстве систем одни и те же. Корректное использование правил умолчания способствуют поддержанию целостности политики безопасности.
Минимум привилегий.
Это один из основополагающих принципов реализации любой политики безопасности, используемый повсеместно. Каждый пользователь и процесс должен иметь минимальное число привилегий, необходимых для работы. Определение числа привилегий для всех пользователей, с одной стороны, позволяющих осуществлять быстрый доступ ко всем необходимым для работы объектам, а, с другой, - запрещающих доступ к чужим объектам - проблема достаточно сложная. От ее решения во многом зависит корректность реализации политики безопасности.