АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Тема 11 Безпека інформаційних систем

Читайте также:
  1. A) Магнітоелектрична система.
  2. A) на этапе разработки концепций системы и защиты
  3. A) Объективный и системный
  4. A) Устойчивая система средств, методов и приемов общения тренера с спортсменами
  5. B) Електромагнітна система.
  6. B) подготовка, системно построенная с помощью методов-упражнений, представляющая по сути педагогический организованный процесс управления развитием спортсмена
  7. B. агроэкосистемой
  8. C) Електродинамічна система.
  9. C. неживые системы
  10. CASE-технологія створення інформаційних систем
  11. Cтрахування в логістичних системах
  12. D – моделювання в графічній системі КОМПАС

 

10.1 Інформаційна політика

Те, що інформація має цінність, люди усвідомили давно. Інформацію продукують, зберігають, транспортують, купують, продають, а отже, фальшують і крадуть. Саме тому інформацію потрібно захищати.

На нинішній час захист інформації - достатньо розвинута галузь науки і техніки, що пропонує на ринку широкий спектр різноманітних засобів для захисту даних. Проте жоден з них окремо взятий не в змозі гарантувати адекватну безпеку інформаційної системи. Надійний захист можливий лише за умови проведення комплексу взаємодоповнюючих заходів. Можна виділити три основні складові такого комплексу:

• нормативно-правові засоби;

• адміністративні заходи;

• спеціальне обладнання та програмне забезпечення.

Слід завважити, що безпеку інформаційних систем не можна купити, її треба постійно підтримувати: контролювати, модернізувати та оновлювати. Займатися цими питаннями в першу чергу повинні керівники підприємств, відділи інформаційної безпеки, ІТ-менеджери або принаймні системні адміністратори.

Незважаючи на те, що політика безпеки повинна розроблятись індивідуально для кожної конкретної інформаційної системи, існує ряд рекомендацій, які можна вважати загальними і керуватися ними, організуючи захист будь-яких інформаційних систем. Ці рекомендації опубліковані в документі RFC 2196 „Site Security Handbook " (Інструкція з безпеки Систем), що є складовою частиною документів RFC (Request for Comment), які визначають стандарти і процедури для Internet.

RFC 2196 дає таке визначення політики безпеки: Політика безпеки - це формальний виклад правил, яких повинні дотримуватися особи, що одержують доступ до корпоративних технологій та інформації.

Відповідно до RFC 2196 можна виділити такі чотири етапи побудови політики безпеки:

• реєстрація всіх ресурсів, які повинні бути захищені;

• аналіз та створення списків можливих загроз для кожного ресурсу;

• оцінка ймовірності появи кожної загрози;

• прийняття рішень, які дозволять економічно ефективно захистити інформаційну систему.

Далі розглянемо кожен з цих етапів.

Перелік об'єктів, що можуть підлягати захисту включає:

апаратне забезпечення: сервери різних служб, маршрутизатори, комутатори концентратори, канали зв'язку, термінали, робочі станції, персональні комп'ютери, принтери, дисководи, CD/CD-RW приводи;

програмне забезпечення: прикладне програмне забезпечення, різні системні утиліти, „дірки" в операційних системах і комунікаційному програмному забезпеченні, лістінги коду програм, що використовуються;

дані: збережені в реальному режимі, резервні копії і архіви, системні записи і аудит („логи"), бази даних, паролі та записи обліку користувачів (user accounts);

персонал: користувачі, системні адміністратори, техніки;

документація: інструкції до різного обладнання, журнали системних адміністраторів, контракти, угоди, технічні завдання;

витратні матеріали: папір, друковані бланки, магнітні та оптичні носії інформації.

Другим кроком при розробці політики безпеки є визначення переліку потенційних загроз, від яких треба захищати об'єкти. Нижче наводиться список класичних загроз:

¨ несанкціонований доступ до ресурсів і/або інформації;

¨ ненавмисне розкриття інформації (наприклад, випадкове ознайомлення з паролем);

¨ відмова в обслуговуванні користувачів інформаційної системи тими чи іншими видами сервісу - мережевими, WWW, e-mail та іншими;

¨ різні види атак, що дозволяють проникнути в мережу або перехопити управління мережею;

¨ комп’ютерні віруси, і тому числі - мережеві хробаки, що модифікують і знищують інформацію або блокують роботу обчислювальних систем;

¨ логічні бомби - набори команд, що записуються в програму і спрацьовують за певних умов, наприклад, через визначений інтервал часу;

¨ „троянські коні" - програми, що виконують певні дії без відома власника зараженої системи, наприклад, відсилають через Інтернет із зараженого комп'ютера різну інформацію, включаючи паролі зареєстрованих користувачів;

¨ засоби пригальмовування обміну даними в мережах;

¨ природні катаклізми.

Крім того, потрібно пам'ятати, що методи та засоби вторгнень в інформаційні системи постійно розвиваються. В результаті можна стверджувати, що стовідсотковий захист від усіх типів загроз забезпечити неможливо.

Далі потрібно оцінити ймовірність появи кожної загрози та можливі втрати (збитки) за її появи. В результаті такого аналізу всі можливі загрози можна класифікувати як незначні, небезпечні та критичні для цієї інформаційної системи.

Сама собою система безпеки інформаційної системи не приносить прибутку, проте її відсутність може бути причиною великих збитків. Прикладами можливих збитків є:

• втрата конфіденційності (несанкціонований доступ);

• втрата даних (спотворення або знищення файлів);

• відмова в обслуговуванні користувачів системою;

• втрата репутації.

Останнє може призвести до відмови користувачів бути клієнтами цієї інформаційної системи. Найважче оцінити фінансові збитки від того, що якась кількість клієнтів після злому покинуть компанію, а потенційні клієнти не оберуть її. В результаті компанії рідко повідомляють про вторгнення в їхні інформаційні системи та крадіжки даних.

На останньому етапі здійснюється вибір загроз, від яких буде реалізовуватись захист, обсягів та черговості робіт. Визначаючи загрози, для яких буде створюватись захист, необхідно брати до уваги і затрати на його реалізацію. Серед них, наприклад, матеріальні затрати на купівлю обладнання та програмного забезпечення, затрати на шифрування й дешифрування. Витрати на захист від кожної загрози мають бути адекватні можливим наслідкам цієї загрози з врахуванням ймовірності їх появи.

Вартість засобів захисту від певного виду загроз не повинна перевищувати втрат, до яких може спричинити ця загроза, в тому числі і втрат на відновлення інформаційної системи.

Тільки реалізуючи повною мірою необхідний внесок у захист на кожному перерахованому вище етапі, можна впевнено почувати себе при роботі з інформаційними ресурсами.

 

10.2. Сервіси безпеки та механізми її порушень

Сервіс безпеки - це сукупність механізмів, процедур та інших заходів управління для зменшення ризиків, пов'язаних з загрозою втрати або розкриття даних. Одні сервіси забезпечують захист від загроз, інші - виявляють слабкі місця в системі безпеки.

Основними сервісами безпеки є:

• сервіс автентифікації;

• сервіс конфіденційності;

• сервіс цілісності;

• сервіс дотримання зобов'язань.

Першим етапом на шляху захисту ресурсів інформаційної системи є організація перевірки, чи є користувач, який входить в систему, тим, за кого він себе видає. Сама процедура перевірки носить назву автентифікації користувача. Як правило, процедура автентифікації складається з двох кроків: ідентифікації та верифікації.

Під ідентифікацією розуміють процедуру представлення користувача системі. Звичайно це відбувається шляхом уведення імені, під яким користувач зареєстрований в цій системі.

Другий крок автентифікації - верифікація. Верифікація - це процедура яку система виконує для того, щоб переконатися, що користувач, який входить в систему, є саме тим, чиє ім'я він ввів при ідентифікації. Для цього користувачу пропонується ввести пароль (password), який буде порівняний з паролем в записі обліку цього користувача.

Використання для автентифікації клієнта двох елементів утруднює нелегальне проникнення в систему, оскільки для успішної атаки необхідно подолати два незалежні бар'єри.

Якщо користувач успішно пройшов ідентифікацію (вказав ім'я, що є зареєстроване в системі) та верифікацію (ввів пароль, що відповідає цьому імені), автентифікація закінчена. Кожному користувачу, який пройшов Процедуру автентифікації, надаються певні права доступу до ресурсів Системи.

Серед альтернативних методів автентифікації варто відзначити біометричні. У наш час вони стають поширеними не лише у надсекретних організаціях, а й системах масового користування.

Біометрія - це наука, що займається вимірюванням характеристик людського організму. Такі фізичні характеристики, як відбитки пальців, рисунок сітківки та райдужної оболонки ока, голос та інші, можуть бути використані як засоби для автентифікації.

У процесі реєстрації нового користувача певна фізична характеристика зчитується і записується в базу даних для наступного використання. Ця записана характеристика називається шаблоном. При виконанні автентифікації відповідна характеристика особи зчитується, перетворюється в цифровий код і порівнюється з шаблоном. Оскільки біометричні вимірювання майже завжди мають варіації, то підчас порівняння вимагається попадання в певну зону значень, а не повний збіг з шаблоном.

Існують такі методи розпізнавання особи за біометричними характеристикам:

• розпізнавання за відбитками пальців;

• оптичне розпізнавання сітківки та райдужної оболонки ока;

• розпізнавання за голосом;

• розпізнавання підпису;

• розпізнавання за рисами обличчя;

• розпізнавання за динамікою введення тексту.

Конфіденційність означає, що доступ до інформації може бути наданий тільки тим суб'єктам, що мають на це право. Якщо необхідно, для забезпечення конфіденційності використовується шифрування даних.

Сервіс цілісності даних забезпечує захист від навмисної або випадкової зміни даних. Захисту потребує, наприклад, інформація, що зберігається в базі даних або передається по каналах зв'язку. Електронний характер цих даних має ряд особливих властивостей, що ускладнюють їх захист.

Електронний документ - це послідовність двійкових бітів, тому складно встановити, чи ця послідовність є оригіналом чи його спотвореною копією. Зміна бітів в пам'яті комп'ютера або в потоці, що передається в каналі зв'язку, не лишає фізичних слідів. Для захисту електронних документів можуть використовуватися криптографічні контрольні суми. Сервіс цілісності даних дозволяє виявити факт зміни, часткового вилучення ці доповнення даних.

Сервіс дотримання зобов'язань гарантує, що учасники інформаційного обміну не зможуть заперечити факт своєї участі в ньому. Тобто, наприклад, відправник не зможе відмовитися від факту передачі даних, адресат - від факту їх прийому. Цей сервіс може бути реалізований за рахунок використання цифрового підпису.

Залежно від профілю інформаційної системи на першому місці можуть бути різні вимоги:

• забезпечення конфіденційності інформації;

• забезпечення цілісності даних, наприклад, неможливості внесення змін в платіжні доручення;

• забезпечення безвідмовної роботи системи, наприклад, надання певних послуг.

Рисунок 1 ілюструє нормальний потік інформації та механізми порушень його безпеки.

Виділяють такі чотири механізми порушень безпеки даних.

Роз'єднання. Ресурс системи знищується або стає недоступним для використання (рис. 9.1б). При цьому порушується доступність даних.

Перехоплення. До ресурсу відкривається несанкціонований доступ (рис. 9.1в). В цьому випадку порушується конфіденційність даних.

Модифікація. До ресурсу не тільки відкривається несанкціонований доступ, зловмисник може також змінити ресурс (рис. 9.1г). В такому випадку порушується цілісність даних. Адресат може сприйняти модифікований зловмисником файл як оригінал.

Фальсифікація. Зловмисником в систему вноситься підставний об'єкт (рис. 9.1д). В цій ситуації порушується автентичність.

 

10.3. Шифрування даних

Унеможливити читання даних сторонніми особами дозволяють процедури шифрування.

Шифрування (ciphering, encryption) - це перетворення даних у форму, що не дає можливості безпосереднього сприйняття зашифрованої інформації. Шифрування здійснюється з використанням криптографічного ключа (key), з використанням ключа здійснюється і зворотна процедура дешифрування (deciphering, decryption), за допомогою якої відбувається приведення зашифрованої інформації до первинного варіанта.

Криптографія - це наука засекречування інформації, тобто перетворення її в форму, яка недоступна для прочитання без наявності ключа. Наука, що займається розробкою методик і алгоритмів читання зашифрованих текстів без знання ключа, називається криптоаналізом. Спроба криптоаналітика порушити конфіденційність обміну інформацією називається криптографічною атакою. Відповідно результатом успішного проведення криптографічної атаки є злом шифру.

 
 

 


Рис 9.1 Механізми порушень безпеки даних

Якщо атака базується на прямому переборі ключів то час, необхідний для успішного подолання шифру, пропорційний довжині ключа. Сьогодні найбільш популярною довжиною ключа є 128 біт. Для зламу 128 бітного ключа методом прямого перебору потрібно 100 млрд. у.о та 1013 років. Однак обчислювальна техніка прогресує дуже швидкими темпами. Крім того шифри які не піддаються зламу спеціалізованими криптографічними системами можна отримати іншими, організаційними шляхами.

Прикладом застосування криптографії є банківські послуги і платежі в діалоговому режимі. Електронний бізнес може існувати тільки за умови конфіденційності інформації, одним з найкращих методів забезпечення якої є криптографія.

 

10.4 Симетрична криптографія

Якщо відправник і одержувач користуються одним і тим же ключем, тобто для шифрування в дешифрування використовується один ключ, то така методика шифрування називається симетричною криптографією. Симетричне шифрування зручне для обміну інформацією в intranet, в інформаційних системах, у яких відправник і одержувач не є віддалені один від одного і мають можливість конфіденційно домовитись про ключ шифрування. Ключі також треба зберігати в безпеці. Захищене зберігання ключів і забезпечення їх доступності для використання - це окрема задача, для розв'язання якої використовується спеціальна методика, що називається управління ключами. Особливість полягає в тому, що шифрування використовується для великих файлів (наприклад, мегабайт даних), а ключ має невелику довжину, наприклад, 16 байт.

Для зберігання ключів існують і апаратні засоби. Це мініатюрні пристрої, серед яких найбільш поширені пластикові смарт-картки, що приєднуються до USB-портів комп'ютерів. Перевагою застосування пристроїв для зберігання ключів є те, що зловмисник не має можливості атакувати їх 24 години на добу, а лише кілька секунд при підключенні пристрою до комп'ютера. Пристрої для зберігання ключів можуть використовуватися і для зберігання паролів. Найпопулярніша зі сучасних схем шифрування базується на алгоритмі DES (Data Encryption Standard), що був державним стандартом США у 1977-2000 роках та фактичним світовим стандартом шифрування комерційних даних. Однак зростання обчислювальних потужностей призвело до можливості розкриття шифру DES шляхом простого перебору ключів. Недостатню надійність 56-розрядного ключа DES було практично доведено в 1997 р. Офіційним наступником DES став алгоритм Rijndael, що був затверджений державним стандартом США у 2001 p. Це симетричний алгоритм з вищою, ніж у DES, надійністю та продуктивністю шифрування.

 

10.5 Асиметрична криптографія

Асиметрична криптографія передбачає використання для шифрування, і дешифрування двох різних ключів (рис.9.2).

 

Рис 9.2 Асиметрична криптографія: шифрування відкритим ключем.

Для шифрування використовується загальний ключ, інша назва відкритий, цей ключ не є таємним. Загальний ключ повинен бути відомий всім, хто хоче відправити зашифроване повідомлення. Дешифрування може бути здійснене тільки з використанням таємного ключа. Загальний (відкритий) і таємний (закритий) ключі зв'язані між собою математичною функцією

Якщо володар таємного ключа зберігає свій ключ в таємниці, зашифрований за допомогою відкритого ключа текст залишається в безпеці.

Загальний ключ може бути відісланий через Internet для використання при шифруванні, оскільки його перехоплення не становить загрози - він не дає можливості розшифрувати інформацію.

Прикладами асиметричної системи шифрування є алгоритм RSA та його популярна реалізація PGP (Pretty Good Privacy - дуже висока таємність).

Сучасні системи захисту інформації часто поєднують симетричну та асиметричну схеми шифрування. Наприклад асиметричні алгоритми використовують для розповсюдження ключів, а симетричні - для безпосереднього шифрування даних. Останнє зумовлено, в першу чергу, тим, що симетричні алгоритми мають значно вищу швидкодію, ніж асиметричні.

 

10.6 Цифровий підпис

Алгоритми асиметричного шифрування можуть використову­ватись для створення цифрових підписів. Ідея використання цифрового підпису базується на двох фундаментальних положеннях:

• таємний ключ захищений і доступ до нього має тільки власник;

• єдиний спосіб створити цифровий підпис - це використати секретний ключ.

В режимі шифрування даних (рис. 9.2) відкритий ключ використовується для шифрування, а закритий - для дешифрування. В режимі створення цифрового підпису - навпаки: на етапі шифрування використовують таємний ключ, а на етапі дешифрування - відкритий (рис. 9.3).

Оскільки відкритий ключ є вільно доступним, то будь-хто зможе прочитати інформацію, зашифровану таємним ключем. Це не дає можливості засекречувати дані, проте дозволяє засвідчити цілісність змісту повідомлення, шифрований текст розшифровують за допомогою відкритого ключа. Якщо відкритий ключ розшифрував дані, то вони були зашифровані зв'язаним з ним таємним ключем. Якщо при дешифруванні відкритим ключем повідомлення не розшифровується, то повідомлення не було шифроване зв'язаним з ним таємним ключем або було спотворене після шифрування.

Такий прийом дозволяє здійснювати надійну автентифікацію повідомлень, звідси випливає, що все, що ви зашифрували за допомогою вашого таємного ключа, є вашим цифровим підписом.

 

 

Рис. 9.3. Схема використання асиметричної криптографії для цифрового підпису

 

Цифровий підпис є унікальним для повідомлення. Кожна ком­бінація повідомлення і таємного ключа буде видавати різні підписи. Криптологи стверджують, що досі не зафіксовано жодної вдалої атаки на цифровий підпис, побудований за алгоритмом RSA.

Оскільки асиметричні алгоритми працюють повільно, то часто з мотивів продуктивності підписують не все повідомлення, а дані, які це повідомлення представляють. Дані, які представляють повідомлення, формують за певними правилами і називають дайджестом повідомлення.

Цифровий підпис - це конкретна реалізація криптографічної системи з відкритим ключем. Існує ще поняття електронного підпису. Електронний підпис - це будь-який знак або процедура, реалізовані електронними засобами та призначені для зв'язання запису з зобов'язаннями або завірення справжності запису. Прикладами електронного підпису може бути вихідний сигнал складного біометричного пристрою, який працює на розпізнаванні відбитків пальців, а може бути просто ім'я, введене наприкінці повідомлення, що буде відправлене електронною поштою.

Для того, щоб бути переконаним, що відкритий ключ є власністю суб'єкта, який про це декларує, можна скористатись цифровим сертифікатом.

 

10.7 Цифровий сертифікат

Цифровий сертифікат зв'язує ім'я з відкритим ключем. Він створюється для того, щоб можна було виявити несанкціоновану заміну імені або відкритого ключа. Перегляд цифрового сертифікату повинен дати можливість виявити факт підміни.

Найнадійніший спосіб розповсюдження відкритих ключів - послуги сертифікаційних центрів - сховищ цифрових сертифікатів.

Сертифікаційні центри несуть відповідальність за:

- перевірку особистості користувача;

- надання цифрових сертифікатів;

-перевірку їх справжності.

Сертифікаційний центр приймає відкритий ключ ра­зом з доказами особистості (якими - залежить від кла­су сертифіката). Після цього респонденти користувача можуть звертатися до сертифікаційного центру за під­твердженням відкритого ключа користувача.

Відомі сертифікаційні центри (VeriSign, Cyber trust і Nortel) видають цифрові сертифікати, що містять ім'я власника, назву сертифікаційного центру, відкритий ключ для шифрування кореспонденції, термін дії сертифіката (як правило, від шести місяців до року), клас та ідентифікаційний номер цифрового сертифіката.

Виданий цифровий сертифікат може належати до одного з чотирьох класів, які вказують на ступінь ве­рифікації власника. Сертифікат першого класу отри­мати найлегше, оскільки тут вимагається мінімальна перевірка біографічних даних (лише імена й адреси електронної пошти). Під час видачі сертифіката дру­гого класу сертифікаційний центр перевіряє посвідчен­ня особистості, номер картки соціального страхування і дату народження. Користувачі, які бажають отрима­ти сертифікат третього класу, повинні бути готові до того, що, крім інформації, необхідної для отримання сертифіката другого класу, сертифікаційний центр пе­ревірить їх кредитоздатність, використовуючи спеціаль­ні установи. Сертифікат четвертого класу містить ще й інформацію про посаду власника в його установі, але відповідні верифікаційні вимоги тут ще не вироблені остаточно. Чим вищий клас сертифіката, тим вищий ступінь верифікації.

Сертифікаційні центри несуть відповідальність і за ведення й публікацію списку недійсних сертифікатів.

Існують комерційні сертифікаційні центри (VeriSign, Cybertrust і Nortel) і державні (Поштова служба США). Компанія може стати сертифікаційним центром і після цього видавати сертифікати своїм службовцям або ін­шим компаніям.

10.8 Захист апаратних пристроїв

Комп'ютер може вийти з ладу не тільки внаслідок збою операційної системи, дій користувача чи зловмисника, ай в результаті збою апаратного пристрою. В зв'язку з цим не можна ігнорувати такі істини:

v будь-який механічний або електронний пристрій рано чи пізно відмовить, в тому числі жорсткий диск і материнська плата;

v електрична енергія, що використовується для живлення більшості комп'ютерних систем, може бути непередбачено вимкнена, спотворена шумами, викидами.

Для захисту від збоїв апаратури необхідно вживати наступних заходів:

Þ забезпечення безперебійного живлення;

Þ резервування апаратного забезпечення;

Þ резервування даних.

Джерела безперебійного живлення

Висока складність і мініатюрні розміри електронних пристроїв роблять їх дуже чутливими до якості електричного живлення. В той же час якість сучасної енергетичної системи не розрахована на відповідність вимогам до живлення комп'ютерних систем.

Розрізняють чотири типи проблем, властивих енергетичним системам: вимикання живлення; „зашумлення" електричної напруги; викиди напруги; падіння напруги.

Найбільш ефективним захистом при використанні неякісних систем живлення є джерела безперебійного живлення UPS (Uninterruptible Power Supply).

Резервування апаратного забезпечення.

Комп'ютерні системи деяких організацій повинні функціонувати неперервно. В таких випадках необхідно використовувати обладнання, що передбачає надлишковість на апаратному рівні. Надлишково можуть бути встановлені джерела живлень, вентилятори, мережеві адаптери, центральні процесори, жорсткі диски та інші компоненти. Для забезпечення неперервної роботи використовуються інтерфейси з можливістю заміни компонент без зупинки системи.

Резервування даних

Резервування даних - це процедура створення копії даних на випадок виходу з ладу основного носія. Розрізняють:

v безпосереднє (online) резервування;

v майже безпосереднє (nearline) резервування;

v відкладене (offline) резервування.

Відкладене резервування є найбільш поширеним, оскільки легко реалізується і має оптимальне співвідношення вартість/ефективність. Метод передбачає стиснення копій даних і характеризується низькою швидкодією.

10.9 Захист мереж від зовнішніх втручань

Для захисту від зовнішнього вторгнення сьогодні існує безліч систем, які є різного роду фільтрами, що допомагають ви­явити спроби несанкціонованого втручання на ранніх етапах і по можливості не допустити зловмисників у систему через зовнішні мережі. До таких засобів належать:

Маршрутизатори - пристрої керування трафіком мережі, розташовані між мережами другого порядку і керують вхідним та вихідним трафіком приєднаних до нього сегментів мережі;

брандмауери - засоби ізоляції приватних мереж від ме­реж загального користування, що використовують програмне забезпечення, яке відслідковує і припиняє зовнішні атаки на сайт за допомогою певного контролю типів запитів;

шлюзи додатків - засоби, за допомогою яких адміністра­тор мережі реалізує політику захисту, якою керуються маршрутизатори, що здійснюють пакетну фільтрацію;

системи відстеження вторгнень - системи, які виявля­ють навмисні атаки і ненавмисне неправильне використання си­стемних ресурсів користувачами;

засоби оцінки захищеності (спеціальні сканери та ін.) -програми, які регулярно сканують мережу на предмет наявності проблем і тестують ефективність реалізованої політики безпеки.

 

10.10 Захист від комп'ютерних вірусів

Прикладом одного з найбільш поширених типів втручання в роботу мережі, яким не можна нехтувати, є комп'ютерний вірус. Добра безпека передбачає своєчасне виявлення вірусів і негайну реакцію на них. Вірус може бути внесений в систему фізично, наприклад, з дискети, або через мережу. Найчастіше вірусами заражаються виконавчі файли з розширеннями.EXE,.BAT,.COM і.SYS. Деякі віруси тільки займають місце і розповсюджуються, інші можуть завдати серйозної шкоди даним і апаратним пристроям.

Для боротьби з вірусами використовують антивірусні програми двох типів:

• детектори вірусів (антивірусні сканери);

• антивірусні монітори.

Детектори вірусів можна запускати регулярно або якщо виникла підозра на вірус. Звичайно, такі програми мають бази даних з визначеннями вірусів (антивірусні бази). Ефективність захисту від вірусів залежить від регулярності запуску утіліти-детектора і поновлення антивірусних баз. Процедуру поновлення потрібно виконувати щоденно. З метою випередження вірусних епідемій розробники антивірусів пропонують декілька поновлень щодня.

Антивірусні монітори запускаються під час завантаження системи і залишаються активними в її пам'яті. Такі резидентні програми слідкують за всіма подіями в системі, вони перевіряють всі програми, що запускаються, на предмет наявності вірусів та при виявленні знищують їх.

 

10.11 Безпека і людський фактор

Інформаційна безпека часто залежить від так званого людського фактору, пов'язаного з тим, що інформаційні системи створюються, модернізуються і керуються людьми, і від їхньої чесності, професійних якостей і майстерності зале­жить довіра споживачів та загальний успіх усього підприємства. Результати безлічі досліджень показують, що найбільше занепо­коєння в компаній викликає саме внутрішня загроза - навмисні чи ненавмисні дії власних працівників.

У проблемі захисту від внутрішніх загроз розрізняють два аспекти: технічний і організаційний. Технічний аспект полягає в прагненні виключити будь-яку імовірність несанкціонованого доступу до інформації. Для цього застосовуються такі засоби:

• підтримка системи паролів та їх регулярна зміна;

• надання мінімуму прав, необхідних для роботи в сис­темі;

• наявність стандартних процедур своєчасної зміни груп доступу при кадрових змінах і негайному знищенні доступу після звільнення працівника.

Організаційний аспект полягає в розробці раціональної політики внутрішнього захисту, яка перетворює в рутинні опе­рації такі способи захисту і запобігання зламування:

• введення загальної культури дотримання безпеки в компанії;

• створення системи делегування повноважень і колективної відповідальності;

• тестування програмного забезпечення на предмет не­санкціонованого втручання;

• відстеження спроб несанкціонованого втручання і їхнє ретельне розслідування;

• проведення періодичних тренінгів для персоналу з питань безпеки і кіберзлочинності, які містять інформацію про конкретні ознаки зламувань для максимального розширення кола працівників, які мають можливість виявити такі дії;

• введення чітких процедур відпрацьовування випадків ненавмисної зміни чи руйнування інформації.

1. В чому полягає інформаційна політика?

2. З якою метою використовують цифровий підпис?

3. Як захищають апаратні пристрої?

4. Для чого використовують брандмауери?

5. Як захиститись від комп’ютерних вірусів?

6. Для чого застосовують резервування даних?

7. Які методи захисту від неправильних дій персоналу?

 


ПЛАНИ ЛАБОРАТОРНИХ ЗАНЯТЬ

 


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 |

Поиск по сайту:

Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.022 сек.)