Програмно-технічні заходи

date image 2018-02-13
views image 280
Поделись с друзьями: 
123

Програмно-технічні заходи, тобто заходи, спрямовані на контроль комп'ютерних сутностей - обладнання, програм та / або даних, утворюють останній і найважливіший рубіж інформаційної безпеки.

На цьому рубежі стають очевидними не тільки позитивні, але і негативні наслідки швидкого прогресу інформаційних технологій. По-перше, додаткові можливості з'являються не тільки у фахівців з ІБ, а й у зловмисників. По-друге, інформаційні системи весь час модернізуються, перебудовуються, до них додаються недостатньо перевірені компоненти (у першу чергу програмні), що ускладнює дотримання режиму безпеки.

Складність сучасних корпоративних ІС, численність і різноманітність загроз їх безпеки можна наочно уявити, ознайомившись з інформаційною системою любого банку.

Заходи безпеки доцільно розділити на такі види:

· превентивні, що перешкоджають порушень ІБ;

· заходи виявлення порушень;

· локалізуючі, що звужують зону впливу порушень;

· заходи з виявлення порушника;

· заходи з відновлення режиму безпеки.

У продуманій архітектурі безпеки всі вони повинні бути присутніми.

З практичної точки зору важливими також є наступні принципи архітектурної безпеки:

· безперервність захисту в просторі і часі, неможливість минати захисні засоби;

· дотримання визнаних стандартів, використання апробованих рішень;

· ієрархічна організація ІС з невеликим числом сутностей на кожному рівні;

· посилення самої слабкої ланки;

· неможливість переходу в небезпечний стан;

· мінімізація привілеїв;

· поділ обов'язків;

· ешелонування оборони;

· розмаїтість захисних засобів;

· простота і керованість інформаційної системи.

Центральним для програмно-технічного рівня є поняття сервісу безпеки. У число таких сервісів входять:

· ідентифікація та аутентифікація;

· управління доступом;

· протоколювання і аудит;

· шифрування;

· контроль цілісності;

· екранування;

· аналіз захищеності;

· забезпечення відмовостійкості;

· забезпечення безпечного відновлення;

· тунелювання;

· управління.

Ці сервіси повинні функціонувати у відкритій мережевому середовищі з різнорідними компонентами, тобто бути стійкими до відповідних загрозам, а їх застосування має бути зручним для користувачів та адміністраторів. Наприклад, сучасні засоби ідентифікації/аутентифікації повинні бути стійкими до пасивного й активного прослуховування мережі і підтримувати концепцію єдиного входу в мережу.

Виділимо найважливіші моменти для кожного з перелічених сервісів безпеки:

1. Кращими є криптографічні методи аутентифікації, реалізовані програмним чи апаратно-програмним способом. Парольний захист став анахронізмом, біометричні методи потребують подальшої перевірки в мережевому середовищі.

2. В умовах, коли поняття довіреної програмного забезпечення відходить у минуле, стає анахронізмом і найпоширеніша - довільна (дискреційна) - модель управління доступом. У її термінах неможливо навіть пояснити, що таке "троянська" програма. В ідеалі при розмежуванні доступу повинна враховуватися семантика операцій, але поки для цього є тільки теоретична база. Ще один важливий момент - простота адміністрування в умовах великого числа користувачів і ресурсів і безперервних змін конфігурації. Тут може допомогти рольовий управління.

Протоколювання і аудит мають бути всепроникливими і багаторівневими, з фільтрацією даних при переході на більш високий рівень. Це необхідна умова керованості. Бажано застосування засобів активного аудиту, однак потрібно усвідомлювати обмеженість їх можливостей і розглядати ці кошти як один з рубежів ешелонованої оборони, причому не найнадійніший. Слід конфігурувати їх таким чином, щоб мінімізувати число помилкових тривог і не здійснювати небезпечних дій при автоматичному реагування.

Все, що пов'язано з криптографією, складно не стільки з технічної, скільки з юридичної точки зору; для шифрування це вірно удвічі. Даний сервіс є інфраструктурним, його реалізації повинні бути присутнім на всіх апаратно-програмних платформах і задовольняти жорстким вимогам не тільки до безпеки, а й до продуктивності. Поки що єдиним доступним виходом є застосування вільно поширюваного ПЗ.

Надійний контроль цілісності також базується на криптографічних методах з аналогічними проблемами та методами їх вирішення. Можливо, ухвалення Закону про електронний цифровий підпис змінить ситуацію на краще, буде розширено спектр реалізацій. На щастя, до статичної цілісності є і некриптографічні підходи, засновані на використанні запам'ятовуючих пристроїв, дані на яких доступні тільки для читання. Якщо в системі розділити статичну і динамічну складові і помістити першу в ПЗУ або на компакт-диск, можна в корені припинити загрози цілісності. Розумно, наприклад, записувати реєстраційну інформацію на пристрої з одноразовим записом; тоді зловмисник не зможе "замести сліди".

Екранування - ідейно дуже багатий сервіс безпеки. Його реалізації - це не тільки міжмережеві екрани, але й обмежують інтерфейси, і віртуальні локальні мережі. Екран інкапсулює об'єкт, що захищається і контролює його зовнішнє уявлення. Сучасні міжмережеві екрани досягли дуже високого рівня захищеності, зручності використання та адміністрування; в мережевому середовищі вони є першим і дуже потужним рубежем оборони. Доцільно застосування всіх видів МЕ - від персонального до зовнішнього корпоративного, а контролю підлягають дії як зовнішніх, так і внутрішніх користувачів.

Аналіз захищеності - це інструмент підтримки безпеки життєвого циклу. З активним аудитом його ріднить евристичність, необхідність практично безперервного оновлення бази знань і роль не найнадійнішого, але необхідного захисного кордону, на якому можна розташувати вільно розповсюджуваний продукт.

Забезпечення відмовостійкості та безпечного відновлення - аспекти високої доступності. При їх реалізації на перший план виходять архітектурні питання, в першу чергу - внесення в конфігурацію (як апаратної, так і програмну) певної надмірності, з урахуванням можливих загроз та відповідних зон ураження. Безпечне відновлення - дійсно останній рубіж, що вимагає особливої уваги, ретельності при проектуванні, реалізації та супроводі.

Тунелювання - скромний, але необхідний елемент в списку сервісів безпеки. Він важливий не стільки сам по собі, скільки в комбінації з шифруванням і екрануванням для реалізації віртуальних приватних мереж.

Управління - це інфраструктурний сервіс. Безпечна система повинна бути керованою. Завжди повинна бути можливість дізнатися, що насправді відбувається в ІС (а в ідеалі - і отримати прогноз розвитку ситуації).Можливо, найбільш практичним рішенням для більшості організацій є використання будь-яких вільно поширюваного каркаса з поступовим "навішуванням" на нього власних функцій.

Місія забезпечення інформаційної безпеки важка, в багатьох випадках нездійсненна, але завжди благородна.

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

123

double arrow
Сейчас читают про:

article image
Анализ дебиторской задолженности
article image
Недостатки речного транспорта
article image
ПРОИЗВОДИТЕЛЬНОСТЬ ТРУДА
article image
Индексы переменного и постоянного состава, индекс структурных сдвигов
article image
Объяснительно-иллюстративный метод обучения
article image
Элементы поперечного профиля дороги
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Человек должен научиться понимать мотивы себе подобных, их иллюзии и их страдания. © Эйнштейн ==> читать все изречения...
like icon 6328
like icon 5974
Понравился сайт? Поделись им с друзьями: