Файл: Защита сетевой инфраструктуры предприятия (Основные понятия и цели сетевой информационной безопасности).pdf
Добавлен: 26.05.2023
Просмотров: 73
Скачиваний: 2
СОДЕРЖАНИЕ
Глава 1. Понятие политики безопасности и анализ угроз в сетевой инфраструктуре
1.1. Основные понятия и цели сетевой информационной безопасности
1.2. Политика информационной безопасности
1.3. Основные виды угрозы информационной безопасности организации
Глава 2. Защита информации в локальной сети
2.2. Проектирование политики безопасности
- DoS- и DDoS-атаки - Denial Of Service (отказ в обслуживании) — этот тип атаки использует определенные ограничения пропускной способности, которые характерны для любых сетевых ресурсов, чтобы вызвать отказ в обслуживании. Как правило, конечной целью атаки является временное прекращение работы сервера или веб-ресурса. Такие атаки перегружают канал или ресурс трафиком и мешают прохождению информации, вплоть до полной блокировки доступа. Например, отправка огромного количества электронной почты на почтовый сервер может заблокировать его работу. Новый тип атак DDoS (Distributed Denial Of Service - Распределенные сетевые атаки) отличается наличием огромного количества компьютеров, расположенных в любой точке мира, объединенный в одну атакующую структуру посредством сети Интернет;
- Анализаторы протоколов и программы мониторинга траффика «снифферы» - в данную группу входят средства перехвата данных, передаваемых по сети. Анализатор сетевых протоколов позволяет прочитать трафик и выделить из него данные и протоколы, передающиеся по сетевому кабелю. Если данные передаются по сети в открытом виде, перехват внутри локальной сети позволит злоумышленнику получить к ним доступ, в том числе к паролям. При передаче данных по глобальным сетям эта проблема встает наиболее остро, поэтому необходимо по возможности ограничить доступ к сети неавторизированным пользователям и случайным людям.
- Программы шифровальщики (Virus-Encoder, Trojan-Encoder) - шифровальщики, попадая в систему зашифровывают всё или часть файлов на жестком диске, требуя за ключ или программы-декриптор выкуп. Они рассылаются злоумышленниками в виде электронного письма, представляясь официальным приложением банка, новой версией ПО или замаскированным под документ вложенным файлом. Обладают сложными методами шифрования и представляют серьезную опасность, т.к. расшифровка без ключа шифрования или затруднена, или вообще невозможна, что ведёт к неизбежной утрате информации.
Человеческий фактор. Виды угроз данного типа можно условно разделить на:
- Уволенные и недовольные сотрудники - данная группа людей наиболее опасна, так как могли иметь разрешенный доступ к конфиденциальной информации, и в случае конфликта или недовольства работодателем, могут использовать доступ к информации во вред организации, злонамеренного использования ресурсов, похищения конфиденциальной информации и т. д.;
- Промышленный шпионаж - это самая сложная категория. Если ваши данные интересны кому-либо, то, скорее всего он найдет способы их получить. Взлом защищенной сети - это сложное и затратное мероприятие, требующее привлечение высококвалифицированных специалистов по компьютерным сетям. Иногда проще получить доступ к ресурсам изнутри сети, подослав специального шпиона, или физически проникнуть в серверную организации;
- Халатность - самая обширная категория злоупотреблений, начиная с не установленных вовремя обновлений, неизмененных настроек «по умолчанию» и заканчивая несанкционированными модемами для выхода в Интернет, в результате чего злоумышленники получают открытый доступ в хорошо защищенную сеть;
- Низкая квалификация - часто низкая квалификация не позволяет пользователю понять, с чем он имеет дело, поэтому даже хорошие программы защиты становятся малоэффективны. Большинство пользователей не понимают реальной угрозы от запуска исполняемых файлов и скриптов, считая, что исполняемые файлы – это только файлы с расширением «ехе», «com» или «bat». Низкая квалификация не позволяет определить, какая информация является действительно конфиденциальной, а какую можно разглашать. Иногда, можно просто позвонив пользователю, представится администратором, и узнать какие-либо учетные данные. Решение есть только одно - обучение пользователей, создание соответствующих регламентирующих документов и повышение квалификации.
Идентификация угроз:
- Повышение привилегий - получение системных привилегий через атаку с переполнением буфера, незаконное получение административных прав;
- Фальсификация - модификация данных, передаваемых по сети, модификация файлов;
- Имитация - подделка электронных сообщений, подделка ответных пакетов при аутентификации;
- Раскрытие информации - несанкционированный доступ или незаконная публикация конфиденциальной информации;
- Отречение - удаление критичного файла или совершение покупки с последующим отказом признавать свои действия;
- Отказ в обслуживании - загрузка сетевого ресурса большим количеством поддельных пакетов.
Глава 2. Защита информации в локальной сети
2.1.Защита информации
Административно-организационные меры информационной безопасности и защиты информации
Основой обеспечения информационной безопасности является административно-организационные мероприятия, цель которых - информирование сотрудников о том, какие сведения относятся к коммерческой тайне, и какие обязанности по неразглашению возлагаются на персонал, а также убедиться в том, что компания выполнила все требования закона и проявила предусмотрительность. Это усилит позиции в случае возможного судебного процесса против похитителя коммерческой тайны, или заказчика похищения, или сотрудника компании, нарушившего соглашение о неразглашении коммерческой тайны.[3]
Административно-организационные меры включают:
- Издание приказа о введении режима коммерческой тайны. В документе определяются основные параметры системы защиты и лица, ответственные за организацию защитных мероприятий.
- Определение перечня сведений, относящихся к коммерческой тайне. К конфиденциальным данным нельзя отнести сведения из учредительных документов, большинство данных о штатном расписании, режиме труда, информацию о соблюдении экологических и пожарных требований.
- Разработка системы локальных нормативных актов, которые обеспечат соблюдение режима конфиденциальности и защиту сведений, составляющих коммерческую тайну. Помимо основного документа – положения «О коммерческой тайне» – могут быть разработаны положения о работе со средствами электронно-вычислительной техники, о порядке предоставления информации контрагентам и государственным органам, порядке копирования документации, типовые договоры с контрагентами, приложения к трудовым договорам и другие.
- Определение круга лиц, у которых есть право работать с материалами, где содержатся сведения, составляющие коммерческую тайну, и уровень допуска. На этом этапе организационные меры должны взаимодействовать с техническими мерами, так как уровни допуска реализуются в IT-структуре компании. Уполномоченные лица, которые определяются на уровне приказа исполнительного органа, должны быть уведомлены о том, что доверенная им информация составляет коммерческую тайну, и предупреждены о возможности санкций за ее разглашение.
- Разработка трудовых договоров и договоров с контрагентами, которые содержат норму о защите коммерческой тайны. В договор с работниками обязательно включать пункт, которые предупреждает об ответственности за разглашение конфиденциальных сведений и о праве компании обязать сотрудника компенсировать материальный ущерб. Закон позволяет также указать в трудовом договоре срок, начинающийся после расторжения трудового договора, в течение которого работник не вправе разглашать информацию, ставшую известной в связи с выполнением трудовых обязанностей. Обычно срок составляет три года. С перечнем информации сотрудник должен быть ознакомлен под подпись. Наличие личной подписи означает, что работник полностью осознает ответственность и, в случае разглашения сведений, готов понести наказание.
- Включение в договоры с контрагентами условия о конфиденциальности в случаях, когда информация, доверенная контрагенту или его сотрудникам в связи с выполнением условий договора, составляет коммерческую тайну. Контрагентами подобного рода могут быть аудиторские, консалтинговые, оценочные и другие компании. Пункт в договоре должен обязывать в полном объеме компенсировать ущерб, причиненный разглашением тайны.
- Функционирование грифов «коммерческая тайна» для защиты конфиденциальной информации и средств идентификации копий документов. Это не защищает документы от копирования в целях передачи информации потенциальным заказчикам, но ограничивает распространение среди широкого круга лиц в открытом доступе.
- Особые режимы пользования телекоммуникационным оборудованием, копировальными устройствами, внешней электронной почтой, интернетом. Допуск сотрудника к ресурсам должен осуществляться на основе заявок с обоснованием необходимости использования. Заявки должны согласовываться на уровне руководства сотрудника и служб безопасности.
- Строгий контроль над использованием учетных записей в сетях только владельцами учетных записей с предупреждением о том, что передача пароля может служить основанием для увольнения за «разглашение коммерческой тайны».
Правовые способы защиты коммерческой тайны.
Если все же утечка произошла, и распространения конфиденциальной информации избежать не удалось, возникает необходимость привлечь к ответственности виновника и возместить ущерб. Это возможно только в судебном порядке. В суде также может быть оспорено увольнение по основанию «разглашение коммерческой тайны».
Технические меры.
Среди технических мер защиты информации, составляющих коммерческую тайну, в первую очередь рассматривают программы, позволяющие полностью защитить информационный периметр от утечек, несанкционированного копирования или передачи данных. Системы настраивают таким образом, чтобы максимально исключить хищение информации внутренними пользователями, выявить угрозы и идентифицировать различные инциденты нарушения информационной безопасности, позволяя осуществлять полный риск-менеджмент и обеспечить защиту от проникновений через внешний периметр защиты.
К техническим мерам защиты можно отнести все способы кодирования и шифрования данных, установление запрета на копирование, контроль компьютеров сотрудников и мониторинг использования учетных записей.
2.2. Проектирование политики безопасности
Для уменьшения возможности вторжения в ИТ-среду организации, необходимо создать комплексные меры защиты на всех возможных уровнях. Такая концепция информационной безопасности подразумевает, что нарушение одного уровня защиты не скомпрометирует всю систему в целом.[4]
Проектирование и построение каждого уровня безопасности должны предполагать, что любой уровень может быть нарушен злоумышленником. Кроме того, каждый из уровней имеет свои специфические и наиболее эффективные методы защиты. Из перечня доступных технологий можно выбрать наиболее подходящую по техническим и экономическим факторам. Например:
Защита данных - списки контроля доступа, шифрование.
Приложения - защищенные приложения, антивирусные системы.
Компьютеры - защита операционной системы, управление обновлениями, аутентификация, система обнаружения вторжений на уровне хоста.
Внутренняя сеть - сегментация сети, IP Security, сетевые системы обнаружения вторжений.
Периметр - программные и программно-аппаратные межсетевые экраны, создание виртуальных частных сетей с функциями карантина.
Физическая защита — охрана, средства наблюдения и разграничения доступа.
Политики и процедуры — обучение пользователей и технического персонала. Таким образом, в результате комплексных мер защиты, на всех уровнях упрощается процесс обнаружения вторжения и снижаются шансы атакующего на успех.
Человеческий фактор - многие уровни защиты имеют в своей основе программно-аппаратные средства, однако влияние “человеческого фактора” вносит в общую картину серьезные коррективы.
На рис.3 показана схема защиты информации.
База знаний и рисков
Идентификация
Утверждение рисков
Анализ и приоритеты
Планирование действий
Выполнение и контроль
Управление
Накопление и обучение
Рисунок 3. Защита корпоративной информации на всех уровнях
Образец политики корпоративной безопасности.
Цель - гарантировать использование по назначению компьютеров и телекоммуникационных ресурсов организации её сотрудниками, независимыми подрядчиками и другими пользователями. Все пользователи компьютеров обязаны использовать компьютерные ресурсы квалифицированно, эффективно, придерживаясь норм этики и соблюдая требования законов.
Правила и условия касаются всех пользователей компьютерных и телекоммуникационных ресурсов и служб организации, где бы эти пользователи ни находились. Нарушения политики влечет за собой дисциплинарные наказания, вплоть до увольнения и/или возбуждения уголовного дела. Политика корпоративной безопасности может периодически изменяться и пересматриваться по мере необходимости.
Руководство организации имеет право, но не обязано проверять любой или все аспекты компьютерной системы, в том числе электронную почту, с целью гарантировать соблюдение данной политики. Компьютерная техника предоставляется сотрудникам организации с целью эффективного выполнения ими рабочих обязанностей.
Компьютерная и телекоммуникационная системы принадлежат организации и могут использоваться только в рабочих целях. Пользователям компьютеров следует руководствоваться перечисленными ниже мерами предосторожности в отношении всех компьютерных и телекоммуникационных ресурсов и служб. Компьютерные и телекоммуникационные ресурсы и службы включают в себя (но не ограничиваются) следующее: хост-компьютеры, файловый сервер, рабочие станции, автономные компьютеры, мобильные компьютеры, программное обеспечение, а также внутренние и внешние сети связи (интернет, коммерческие службы и системы электронной почты), к которым прямо или косвенно обращаются компьютерные устройства организации.