Автор Анна Евкова
Преподаватель который помогает студентам и школьникам в учёбе.

Программные и аппаратные средства ограничения доступа к ресурсам ПК и сетей

Содержание:

Введение

Как только в нашу жизнь ворвались информационные технологии, информация стала прекрасным товаром. Если ещё сто лет и не думали о том, что можно продавать информацию в таком объёме, то сегодня это стало возможным.

И сегодня многие готовы отдать много денег, чтобы узнать секреты конкурентов или известных людей. А в бизнесе утечка информации вообще стала глобальной проблемой руководителей.

Внедрение системы информационной безопасности – одна из главных задач, которую следует решать уже на стадии открытия компании.

Что такое информационная безопасность? Это защищённость информации от преднамеренного или случайного вмешательства, которое может нанести вред владельцу информации. Им может быть как человек, так и компания.

К тому же, безопасность информации не сводится лишь к её защите от несанкционированного вмешательства, а может пострадать и от поломки всей системы или части. Кроме этого, утечка информации, возможна, и от электромагнитных излучений, специальных устройств для перехвата передаваемой информации из одного объекта в другой.

Тема исследования: Программные и аппаратные средства ограничения доступа к ресурсам ПК и сетей.

Цель исследование: Изучить программные и аппаратные средства ограничения доступа к ресурсам ПК и сетей.

Объект исследования: Ограничение доступа к ресурсам ПК и сетей.

Задачи исследования:

Изучить программные средства защиты от вредоносного программного обеспечения, криптографические программные средства ограничения доступа, межсетевые экраны

.Баранова Е. Барбаш А. Информационная безопасность и защита. Учебное пособие/ Е. Баранова,.- Инфра-М, 2017 – 324 с.

Учебное пособие посвящено рассмотрению базовых вопросов информационной безопасности и ограничения доступа и может быть рекомендовано бакалаврам и магистрам, изучающим курсы «Информационная безопасность» и «Управление информационной безопасностью», а также смежные с ними дисциплины. Книга может быть также полезна аспирантам и специалистам, интересующимся вопросами ограничения доступа.

Владимир Скиба, Владимир Курбатов Руководство по защите от внутренних угроз информационной безопасности / Скиба В., «Питер» 2008 г. Подробно изложена суть угроз внутренней IT-безопасности и существующие способы защиты от этих угроз. Приведено огромное количество примеров из практики борьбы с инсайдерами и утечками. 

С. А. Петренко, В. А. Курбатов. Политики безопасности компании при работе в Интернет / Петренко С. А. «ДМК пресс» 2011 г

Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения разработки, внедрения, и поддержки политик безопасности в различных российских государственных и коммерческих структурах. Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. 

Варлатая С.К., Шаханова М.В. Аппаратно-программные средства и методы ограничения доступа: Учебное пособие./ Варлатая С.К - Владивосток: Изд-во ДВГТУ, 2007. - 318 с. 

В учебном пособии последовательно излагаются основные понятия аппаратно-программных средств ограничения доступа. Рассматриваются основные понятия программно-аппаратной ограничения доступа, идентификация пользователей КС-субъектов доступа к данным, средства и методы ограничения доступа к файлам, аппаратно-программные средства криптографической ограничения доступа, методы и средства ограничения доступа к компонентам ЭВМ, защита программ от несанкционированного копирования, управление криптографическими ключами, защита программных средств от исследования.

Рашид Ачилов Построение защищенных корпоративных сетей/ Ачилов Р., ДМК-Пресс, 2013

Книга Рашида Ачилова "Построение защищенных корпоративных сетей" рассказывает о том, как построить защиту информации в корпоративной сети. О том, как обеспечить основной принцип – надежно доступна кому надо, надежно защищена от того, от кого не надо, и надежно контролируется тем, кем надо. Рассчитана она на администраторов сетей, в которых, кроме офиса, имеются еще и филиалы или розничная сеть, требующие постоянной связи с центром, хотя многие приемы с некоторыми оговорками можно применять в любых случаях.

За основу для построения сети берется ОС UNIX (конкретно FreeBSD). Да-да, не переживайте, у вас все в порядке с глазами. На ответственных постах не будет никакого Windows. У Windows будет своя задача – Active Directory, офис, базы данных, пользователи... В качестве же ОС для построения сети – только UNIX. Это естественным образом подводит нас к тому, что многое здесь будет делаться «самопально» – написанием собственных скриптов, обработчиков, посредников и т. д. Специализированный код всегда работает быстрее и эффективнее универсального. Платой за это является то, что сначала этот специализированный код необходимо написать, поэтому крайне желательно, чтобы вы умели программировать на каком-либо скриптовом языке, хоть на Visual Basic Script (на самом деле для Windows – вполне себе ничего язык). Ну а потому что это UNIX, конфигурироваться все это будет исключительно правкой текстовых файлов.

В книге рассказано обо всем, что необходимо для построения защищенной от внешних воздействий корпоративной сети – о том, как создать собственный удостоверяющий центр для выдачи SSL-сертификатов, как выдавать, отзывать, преобразовывать и просматривать сертификаты. Как установить SSL-сертификат в ОС или браузер, как его использовать, работая с защищенным ресурсом и какие ошибки при этом возникают. Описывается, как с помощью сертификатов защищить корпоративную электронную почту на всех этапах ее передачи – от почтовой программы пользователя до сервера получателя; как установить веб-интерфейс к хранимой на сервере почте, позволяющий просматривать ее в защищенном режиме с любой точки мира. Также уделено внимание защите служебных коммуникаций, в частности подключения из скриптов для управления серверами.

В книге приводится большое число примеров конфигурационных файлов с подробным пояснением параметров, а также скриптов на языке Bourne Shell 1.x.

Запечников С.В., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность отрытых систем. Том 1/ С.В. Запечников,- Горячая Линия – Телеком, 2016,- 305 с.

В учебнике рассматриваются основы информационной безопасности отрытых систем на примере интранет. Вводятся основные определения и понятия. Описываются современные угрозы, уязвимости базовых составляющих интранет и удаленные сетевые атаки на них. Подробно рассматриваются концептуальные подходы к обеспечению информационной безопасности для интранет и сервисы безопасности.

Фомичёв В., Мельников Д. Криптографические методы ограничения доступа. Часть 1 и 2. / В. Фомичёв, - Юрайт, 2017, - 399 с.

В данный архив вошли сразу 2 книги учебного пособия "Криптографические методы ограничения доступа", разработанного Владимиром Фомичёвым и Дмитрием Мельниковым. Первая книга состоит из трех частей: 1-я часть посвящена свойствам алгебраических систем и функций дискретных множеств, во 2-й части представлены основные классы современных криптосистем, в 3-й части описаны прикладные аспекты криптологии, в том числе связанные с информационной безопасностью.

Вторая книга посвящена системным и прикладным аспектам. Книга предназначена для студентов, аспирантов и преподавателей в области криптографических методов защиты информационного обмена в информационно-технических системах и сетях, а также для разработчиков и аналитиков систем криптографической ограничения доступа.

Петренко С.А., Курбатов В.А. - Политики безопасности компании при работе в интернет/ С.А. Петренко, - ДМК Пресс, 2014 ,- 396 с.

Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения разработки, внедрения, и поддержки политик безопасности в различных российских государственных и коммерческих структурах. Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.

Грибунин В.Г., Чудовский В.В. - Комплексная система ограничения доступа на предприятии/ В.Г. Грибунин, - Академия, 2014,- 416 с.

В учебном пособии раскрыты научные, методологические и законодательные основы организации комплексной системы ограничения доступа на предприятии, а также основные аспекты практической деятельности по ее созданию, обеспечению функционирования и контроля эффективности.

Глава 1. Характеристика средств ограничения доступа

1.1 Классификация средств ограничения доступа

Средства ограничения доступа - совокупность инженерно-технических, электрических, электронных, оптических и других устройств приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации. [Фомичёв В., Мельников Д. Криптографические методы ограничения доступа. Часть 1 и 2. / В. Фомичёв, - Юрайт, 2017, - 399 с.]

Средства обеспечения ограничения доступа в части предотвращении преднамеренных действий в зависимости от способа реализации можно разделить на группы:

1. Аппаратные средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи ограничения доступа. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, защитная сигнализация и др. Вторую - генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, "перекрывающих" потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества аппаратных средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны – недостаточная гибкость, относительно большие объем и масса, высокая стоимость [Фомичёв В., Мельников Д. Криптографические методы ограничения доступа. Часть 1 и 2. / В. Фомичёв, - Юрайт, 2017, - 399 с.].

2. Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств – универсальность, гибкость, надежность, простота установки, способность к модификации и развитию.

Недостатки – ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств) [Баранова Е. Барбаш А.. Информационная безопасность и защита. Учебное пособие/ Е. Баранова,.- Инфра-М, 2017 – 324 с.].

3. Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.

1.2 Аппаратные средства ограничения доступа

К аппаратным методам защиты относят разные устройства по принципу работы, по техническим конструкциям которые реализуют защиту от разглашения, утечки и НСД доступу к источникам информации [Грибунин В.Г., Чудовский В.В. - Комплексная система ограничения доступа на предприятии/ В.Г. Грибунин, - Академия, 2014,- 416 с.]. Такие средства применяют для следующих задач:

  • выявление линий утечки данных на разных помещения и объектах;
  • реализация специальных статистических исследований технических методов обеспечения деятельности на факт наличия линий утечки;
  • локализация линий утечки данных;
  • противодействие по НСД к источникам данных;
  • поиск и обнаружение следов шпионажа;

Аппаратные средства можно классифицировать по функциональному назначению на действия обнаружения, измерений, поиска, пассивного и активного противодействия. Также средства можно делить на простоту использования. Разработчики устройств пытаются все больше упростить принцип работы с устройством для обычных пользователей. К примеру группа индикаторов электромагнитных излучений вида ИП, которые обладают большим спектром входящих сигналов и низкой чувствительностью. Или же комплекс для выявления и нахождения радиозакладок, которые предназначены для обнаружения и определения местонахождения радиопередатчиков, телефонных закладок или сетевых передатчиков [Баранова Е. Барбаш А. Информационная безопасность и защита. Учебное пособие/ Е. Баранова,.- Инфра-М, 2017 – 324 с.].

Поисковые аппаратные средства можно поделить на методы съем данных и ее исследование линий утечки. Устройства первого вида настроены на локализацию и поиск уже внедренных средств НСД, а второго типа для выявления линий утечки данных. Для использования профессиональной поисковой аппаратуры нужно большой квалификации пользователя. Как в другой любой сфере техники, универсальность устройства приводит к снижению его отдельных параметров. С другой точки зрения, есть очень много разных линий утечки данных по своей физической природе. Но большие предприятия могут себе позволить и профессиональную дорогую аппаратуру и квалифицированных сотрудников по этим вопросам [Владимир Скиба, Владимир Курбатов Руководство по защите от внутренних угроз информационной безопасности / Скиба В., «Питер» 2008 г..].

И естественно такие аппаратные средства будут лучше работать в реальных условиях, то бишь выявлять каналы утечек. Но это не значит, что не нужно использовать простые дешевые средства поиска. Такие средства просты в использовании и в ускоспециализированных задачах будут проявлять себя не хуже.

Аппаратные средства могут применяться и к отдельным частям ЭВМ, к процессору, оперативной памяти, внешних ЗУ, контроллерах ввода-вывода, терминалах и тд. Для защиты процессоров реализуют кодовое резервирование — это создание дополнительных битов в машинных командах и резервных в регистрах процессора. Для защиты ОЗУ реализуют ограничение доступа к границам и полям. Для обозначения уровня конфиденциальности программ или информации, применяются дополнительные биты конфиденциальности с помощью которых реализуется кодирование программ и информации. Данные в ОЗУ требуют защиты от НСД. От считывания остатков информация после обработки их в ОЗУ используется схема стирания [Петренко С.А., Курбатов В.А. - Политики безопасности компании при работе в интернет/ С.А. Петренко, - ДМК Пресс, 2014 ,- 396 с.].

Эта схема записывает другую последовательность символов по весь блок памяти. Для идентификации терминала используют некий генератор кода, который зашит в аппаратуру терминала, и при подключении он проверяется.

Аппаратные методы защиты данных — это разные технические приспособления и сооружения, которые реализуют защиту информации от утечки, разглашения и НСД[Фомичёв В., Мельников Д. Криптографические методы ограничения доступа. Часть 1 и 2. / В. Фомичёв, - Юрайт, 2017, - 399 с.].

1.3 Программные средства ограничения доступа

Системы защиты рабочей станции от вторжения злоумышленником очень разнятся, и классифицируются:

  1. Методы защиты в самой вычислительной системы
  2. Методы личной защиты, которые описаны программным обеспечением
  3. Методы защиты с запросом данных
  4. Методы активной/пассивной защиты
  5. Направления реализации программной ограничения доступа

Направления которые используют для реализации безопасности информации:

  • защита от копирования;
  • защита от НСД;
  • защита от вирусов;
  • защита линий связи.

ПО каждому из направлений можно применять множество качественных программных продуктов которые есть на рынке[Запечников С.В., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность отрытых систем. Том 1/ С.В. Запечников,- Горячая Линия – Телеком, 2016,- 305 с.]. Также Программные средства могут иметь разновидности по функционалу:

  1. Контроль работы и регистрации пользователей и технических средств
  2. Идентификация имеющихся технических средств, пользователей и файлов
  3. Защита операционных ресурсов ЭВМ и пользовательских программ
  4. Обслуживания различных режимов обработки данных
  5. Уничтожение данных после ее использования в элементах системы
  6. Сигнализирование при нарушениях
  7. Дополнительные программы другого назначения.

Сферы программной защиты делятся на защиты данных (сохранение целостности/конфиденциальности) и защиты программ (реализация качество обработки информации, есть коммерческой тайной, наиболее уязвимая для злоумышленника).

Идентификация файлов и технических средств реализуется программно, в основе алгоритма лежит осмотр регистрационных номеров разных компонентов системы. Отличным методов идентификации адресуемых элементов есть алгоритм запросно-ответного типа. Для разграничения запросов различных пользователей к разным категориям информации применяют индивидуальные средства секретности ресурсов и личный контроль доступа к ним пользователями. Если к примеру одну и тот же файл могут редактировать разные пользователи, то сохраняется несколько вариантов, для дальнейшего анализа [Баранова Е. Барбаш А. Информационная безопасность и защита. Учебное пособие/ Е. Баранова,.- Инфра-М, 2017 – 324 с.].

Защита информации от НСД

Для реализации защиты от вторжения нужно реализовать основные программные функции:

  1. Идентификация объектов и субъектов
  2. Регистрация и контроль действия с программами и действиями
  3. Разграничения доступа к ресурсам системы.

Процедуры идентификации подразумевают проверки есть ли субъект, который пытается получить доступ к ресурсам, тем за кого выдает себя. Такие проверки могут быть периодическими или одноразовыми [Грибунин В.Г., Чудовский В.В. - Комплексная система ограничения доступа на предприятии/ В.Г. Грибунин, - Академия, 2014,- 416 с.]. Для идентификации часто в таких процедурах используются методы:

  • сложные,простые или одноразовые пароли;
  • значки,ключи,жетоны;
  • специальные идентификаторы для апаратур, данных, программ;
  • методы анализа индивидуальных характеристик (голос, пальцы, руки, лица).

Практика показывает что пароли для защиты есть слабым звеном, так как его на практике можно подслушать или подсмотреть или же разгадать. Для создания сложного пароля, можно прочитать эти рекомендации длина ключа. Объектом, доступ к которому тщательно контролируется, может быть запись в файле, или сам файл или же отдельное поле в записи файла. Обычно множество средств контроля доступа черпает данные с матрицы доступа. Можно также подойти к контролю доступа на основе контроле информационных каналов и разделении объектов и субъектов доступа на классы [Запечников С.В., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность отрытых систем. Том 1/ С.В. Запечников,- Горячая Линия – Телеком, 2016,- 305 с.]. Комплекс программно-технических методов решений в безопасности данных от НСД реализуется действиями:

  • учет и регистрация;
  • управление доступом;
  • реализация криптографических средств;

Также можно отметить формы разграничения доступа:

  • Предотвращение доступа:
    • к отдельным разделам;
    • к винчестеру;
    • к каталогам;
    • к отдельным файлам;
    • к сменным носителям данных;
    • защита от модификации:
    • каталогов;
    • файлов;
  • Установка привилегий доступа к группе файлов
  • Предотвращение копирования:
    • каталогов;
    • файлов;
    • пользовательских программ;
  • Защита от уничтожения:
    • файлов
    • каталогов
  • затемнение экрана спустя некоторое время.

Защита от копирования

Методы защиты от копирования предотвращают реализацию ворованных копий программ. Под методами защиты от копирования подразумевается средства, которые реализуют выполнения функций программы только при наличия уникального некопируемого элемента. Это может быть часть ЭВМ или прикладные программы [Фомичёв В., Мельников Д. Криптографические методы ограничения доступа. Часть 1 и 2. / В. Фомичёв, - Юрайт, 2017, - 399 с.].

Защита реализуется такими функциями:

  • идентификация среды, где запускается программа;
  • аутентификация среды, где запускается программа;
  • реакция на старт программы из несанкционированной среды;
  • регистрация санкционированного копирования;
  • защита информации от удаления.

Удаление данных может реализовываться при ряда мероприятий таких как, восстановление, резервирование, обновления и тд. Так как мероприятия очень разнообразны, подогнать их под они правила тяжело. Также это может быть и вирус, и человеческий фактор.

И хоть от вируса есть противодействие, это антивирусы. А вот от действий человека мало противодействий [Баранова Е. Барбаш А.Информационная безопасность и защита. Учебное пособие/ Е. Баранова,.- Инфра-М, 2017 – 324 с.].

Для уменьшения рисков от такой угрозы информационной безопасности есть ряд действий:

Информировать всех пользователей про ущерб предприятия при реализации такой угрозы.

Запретить получать/открывать программные продукты, которые есть посторонние относительно информационной системы.

Также запускать игры на тех ПК где есть обработка конфиденциальной информации.

  1. Реализовать архивирование копий данных и программ.
  2. Проводить проверку контрольных сумм данных и программ.
  3. Реализовать СЗИ.

1.4 Аппаратно-программные средства ограничения доступа

Программно-аппаратные средства ограничения доступа — это сервисы безопасности, встроенные в сетевые операционные системы. К сервисам безопасности относятся: идентификация и аутентификация, управление доступом, протоколирование и аудит, криптография, экранирование.
  Идентификация предназначена для того, чтобы пользователь или вычислительный процесс, действующий по команде определенного пользователя, могли идентифицировать себя путем сообщения своего имени. С помощью аутентификации вторая сторона убеждается, что пользователь, пытающийся войти в операционную систему, действительно тот, за кого себя выдает [Запечников С.В., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность отрытых систем. Том 1/ С.В. Запечников,- Горячая Линия – Телеком, 2016,- 305 с.].

  Средства управления доступом позволяют специфицировать и контролировать действия, которые пользователи и вычислительные процессы могут выполнять над информацией и другими компьютерными ресурсами, то есть речь идет о логическом управлении доступом, который реализуется программными средствами [Владимир Скиба, Владимир Курбатов Руководство по защите от внутренних угроз информационной безопасности / Скиба В., «Питер» 2008 г.].

  Логическое управление доступом обеспечивает конфиденциальность и целостность объектов путем запрещения обслуживания неавторизированных пользователей. Контроль прав доступа осуществляется посредством различных компонент программной среды — ядром сетевой операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим программным обеспечением [С. А. Петренко, В. А. Курбатов. Политики безопасности компании при работе в Интернет / Петренко С. А. «ДМК пресс» 2011 г].

  Протоколированием называется процесс сбора и накопления информации о событиях, происходящих в информационной системе предприятия. Возможные события принято делить на три группы:
  - внешние события, вызванные действиями других сервисов;
  - внутренние события, вызванные действиями самого сервиса;
  - клиентские события, вызванные действиями пользователей и администраторов [Запечников С.В., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность отрытых систем. Том 1/ С.В. Запечников,- Горячая Линия – Телеком, 2016,- 305 с.]

  Аудитом называется процедура анализа накопленной в результате протоколирования информации. Этот анализ может осуществляться оперативно в реальном времени или периодически.
  Экран - это средство разграничения доступа клиентов из одного сетевого множества к серверам, принадлежащим другому сетевому множеству. Функция экрана заключается в контроле всех информационных потоков между двумя множествами систем [Варлатая С.К., Шаханова М.В. Аппаратно-программные средства и методы ограничения доступа: Учебное пособие./ Варлатая С.К - Владивосток: Изд-во ДВГТУ, 2007. - 318 с.]. Примерами экранов являются межсетевые экраны (брандмауары (firewalls)), устанавливаемые для защиты локальной сети организации, имеющей выход в открытую среду.
  Метод криптографии — одно из наиболее мощных средств обеспечения конфиденциальности и контроля целостности информации. Основной элемент криптографии - шифрование (или преобразование данных в нечитабельную форму ключей шифрования - расшифровки). В состав криптографической системы входят: один или нескольких алгоритмов шифрования, ключи, используемые этими алгоритмами шифрования, подсистемы управления ключами, незашифрованный и зашифрованный тексты [Баранова Е. Барбаш А.. Информационная безопасность и защита. Учебное пособие/ Е. Баранова,.- Инфра-М, 2017 – 324 с.].

Глава 2. Примеры средств ограничения доступа

2.1 Аппаратные средства

Virtual Private Network (VPN) переводится с английского языка как «виртуальная частная сеть». Это технологии, объединенные в одну группу. Они предназначаются для обеспечения одного или нескольких соединений помимо другой сети. Казалось бы, ничего особенного. Суть технологии состоит в том, что к основному VPN-серверу при установленном соединении можно подключиться еще раз. В таком случае образуется зашифрованный канал, обеспечивающий надежность передачи данных [Грибунин В.Г., Чудовский В.В. - Комплексная система ограничения доступа на предприятии/ В.Г. Грибунин, - Академия, 2014,- 416 с.].

VPN используется для соединения локальных сетей в одну виртуальную. Отдельные операторы связи предоставляют все необходимое для выхода в мировую сеть. В настоящее время есть несколько вариантов подключения VPN с использованием стандартов IPSec, SSL/TLS и PPTP. В зависимости от используемых протоколов и применения виртуальных сетей можно создавать соединение трех видов: сеть-сеть, узел-сеть, узел-узел [Фомичёв В., Мельников Д. Криптографические методы ограничения доступа. Часть 1 и 2. / В. Фомичёв, - Юрайт, 2017, - 399 с.].

Настройка vpn соединений должна выполняться специалистами. Только они смогут учесть все нюансы подключения виртуальной сети и избежать ошибок. Если все сделано правильно, надежная защита от потери данных будет обеспечена [Владимир Скиба, Владимир Курбатов Руководство по защите от внутренних угроз информационной безопасности / Скиба В., «Питер» 2008 г.].

Виртуальные сети стандартно устанавливаются не выше сетевого уровня. Здесь использование криптографии дает возможность не изменять некоторые транспортные протоколы. Обычно для создания VPN-соединения берут инкапсуляцию протокола РРР с другим протоколом: IP, Ethernet.

Строение VPN-сетей

Виртуальные сети включает две части:

  • внешняя сеть — по ней осуществляется инкапсулированное соединение, передаются зашифрованные данные;
  • внутренняя сеть — находится под контролем. Таких сетей может быть несколько.

Для подключения используется сервер доступа, соединенный с внешней и внутренней сетями. При этом необходимо пройти процессы идентификации и аутентификации (проверка подлинности). Если на этих этапах не возникает затруднений, пользователь авторизуется и получает все необходимое для работы в виртуальной сети [С. А. Петренко, В. А. Курбатов. Политики безопасности компании при работе в Интернет / Петренко С. А. «ДМК пресс» 2011 г].

Виды VPN-сетей

Виртуальные сети классифицируются по разнообразным параметрам. Рассмотрим основные из них:

По степени защищенности используемой среды:

  • защищенные -самый распространенный тип. Используются для установки надежных подсетей обычно в Интернете;
  • доверительные — применяют, когда передающая среда является защищенной и требуется создать виртуальную подсеть в пределах одной большой сети. Обеспечением безопасности в таких случаях уже не занимаются [Рашид Ачилов Построение защищенных корпоративных сетей/ Ачилов Р., ДМК-Пресс, 2013].

По назначению:

  • Intranet VPN — применяют в организациях для объединения виртуальных филиалов одной компании для передачи данных по открытым каналам;
  • Extranet VPN — удобны для компаний, активно сотрудничающих с клиентами, поставщиками, партнерами. Эти пользователи подключаются к корпоративной сети;
  • Remote Access VPN — необходимы для обеспечения защищенной передачи данных между корпоративной сетью и отдельно взятым пользователем. Например, сотрудник работает на дому, подключается через виртуальную сеть с домашнего ПК, использует необходимые данные фирмы;
  • Internet VPN — применяется для выхода в Интернет при подключению нескольких пользователей к одному физическому каналу;
  • Client/Server VPN — создается для обеспечения защиты передаваемой информации между двумя узлами единой сети. Обычно эти узлы расположены в одной части. Удобен для разделения трафика между разными отделами одной компании[Владимир Скиба, Владимир Курбатов Руководство по защите от внутренних угроз информационной безопасности / Скиба В., «Питер» 2008 г.].

Преимущества VPN соединения

Профессиональное подключение и отладка виртуальных сетей (настройка vpn соединения) обеспечивает надежную защиту данных при передаче по каналам. Имеются и другие плюсы VPN-соединения. Очень важно, что локальная сеть и Интернет с виртуальной сетью работают гораздо быстрее. Пропускаются виртуальные каналы связи, платить за кабельные линии не требуется [ Рашид Ачилов Построение защищенных корпоративных сетей/ Ачилов Р., ДМК-Пресс, 2013].

Настраивание виртуальной сети обходится дешевле, чем монтаж удаленного доступа. Нет необходимости в приобретении дополнительного сетевого оборудования и его установке. Самое главное, что нужно сделать — это подключить виртуальную сеть и наладить контроль трафика удаленного доступа. Для VPN-соединения необходимо только соответствующее программное обеспечение [Запечников С.В., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность отрытых систем. Том 1/ С.В. Запечников,- Горячая Линия – Телеком, 2016,- 305 с.].

2.2 Программные средства

Антивирусные программы

Dr Web CureIt — антивирусная лечащая утилита от известного производителя антивирусного программного обеспечения, российской компании «Доктор Веб». Антивирусная утилита от Dr.Web предназначена для разовой проверки и устранению вирусных угроз на компьютере по требованию пользователя.

Бесплатный антивирусный сканер (для домашнего использования) Dr.Web CureIt! служит для проверки и лечения компьютера от вирусов. Это не замена антивируса, установленного на компьютере для защиты в постоянном режиме [Баранова Е. Барбаш А.. Информационная безопасность и защита. Учебное пособие/ Е. Баранова,.- Инфра-М, 2017 – 324 с.].

Лечащая утилита Dr.Web CureIt необходима в следующих случаях: невозможно установить антивирус на зараженный компьютер, компьютер заражен, а установленный антивирус не справляется с защитой, для проверки, если есть сомнения в эффективности работы установленного антивируса, просто для профилактической проверки компьютера [Грибунин В.Г., Чудовский В.В. - Комплексная система ограничения доступа на предприятии/ В.Г. Грибунин, - Академия, 2014,- 416 с.].

Программа Доктор Веб Курейт не требует установки на компьютер, без проблем запускается при наличии другого антивируса на компьютере. В случае необходимости, скачайте антивирусный сканер от Доктора Веба на свой компьютер, запустите проверку, выполните лечение от вирусов, а затем удалите утилиту со своего компьютера [С. А. Петренко, В. А. Курбатов. Политики безопасности компании при работе в Интернет / Петренко С. А. «ДМК пресс» 2011 г].

Утилита Dr.Web CureIt обнаруживает и обезвреживает различные типы угроз:

  • вирусы;
  • трояны;
  • черви;
  • руткиты;
  • шпионское ПО;
  • программы дозвона;
  • рекламные программы;
  • потенциально опасные программы.

Программа работает в операционной системе Windows в 32- b 64-битных системах на русском языке. В своей работе программа использует различные методы обнаружения вредоносных угроз.

Встроенное в Интернет Контроль Сервер антивирусное решение Dr.Web для безопасности трафика, проходящего через прокси-сервер и почтовый шлюз программы, обеспечивает блокировку вредоносных программ, лечение зараженных файлов, запрет потенциально опасного содержимого. В решении использованы передовые технологии специалистов в области сетевой и антивирусной безопасности [Рашид Ачилов Построение защищенных корпоративных сетей/ Ачилов Р., ДМК-Пресс, 2013].

Антивирус Dr.Web для интернет-шлюзов Unix — антивирусная проверка HTTP- и FTP-трафика, проходящего через корпоративный интернет-шлюз – прокси-cервер [Запечников С.В., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность отрытых систем. Том 1/ С.В. Запечников,- Горячая Линия – Телеком, 2016,- 305 с.].

Ключевые функции:

  • антивирусная проверка FTP- и HTTP-трафика;
  • фильтрация доступа по MIME-типу и размеру файлов, названию хоста;
  • регулирование доступа к веб-ресурсам;
  • оптимизация проверки трафика за счет использования технологии Preview;
  • работа с протоколами IPv4 и IPv6;
  • проверка и применение различных действий в зависимости от типов проверяемых файлов;
  • изоляция зараженных объектов в карантине;
  • предоставление отчетности в удобном виде;
  • обработка нескольких запросов в ходе одного соединения;
  • мониторинг и автоматическое восстановление работы собственной системы.

SkyDNS - модуль в ИКС, блокирующий доступ к опасным ресурсам еще до поступления информации с таких сайтов в локальную сеть. Включает 57 категорий трафика [С. А. Петренко, В. А. Курбатов. Политики безопасности компании при работе в Интернет / Петренко С. А. «ДМК пресс» 2011 г].

Возможности:

  • централизованная фильтрация ПК;
  • поддержка сервисов динамических DNS;
  • ограничение работы фильтра по времени;
  • фильтрация графических баннеров, всплывающих окон, контекстной рекламы;
  • ведение статистики.

Модуль KWF включен только в версию ИКС 5.

Антивирус Касперского (Kaspersky Anti-Virus) использует проактивные и облачные антивирусные технологии для защиты от новых и неизвестных угроз. Включает веб-антивирус, мониторинг активности и дополнительные инструменты безопасности [Владимир Скиба, Владимир Курбатов Руководство по защите от внутренних угроз информационной безопасности / Скиба В., «Питер» 2008 г.].

Антивирус Касперского (Kaspersky Anti-Virus) обеспечивает базовую защиту в режиме реального времени от всех типов вредоносных программ.

Как основа обороны вашего ПК, антивирус защищает вас от вирусов, шпионских программ, троянов, интернет-червей и многих других угроз. Это решение легко в использовании, а технологии безопасности, отмеченные многочисленными наградами в тестированиях независимых лабораторий AV-Comparatives, AV-TEST, MRG Effitas и т.д., защищают от самых последних угроз, не замедляя работу компьютера.

Kaspersky Anti-Virus предлагает следующие возможности:

  1. Защита в режиме реального времени от вирусов, программ-шпионов, троянов, руткитов и других угроз.
  2. Быстрая работа и эффективная производительность ПК.
  3. Быстрое реагирование на новые и возникающие угрозы.
  4. Мгновенная антивирусная проверка файлов, приложений и веб-сайтов.
  5. Откат изменений, сделанных вредоносными программами.

Новое в Kaspersky Anti-Virus 2018

В Kaspersky Anti-Virus 2018 появились следующие возможности:

Добавлено уведомление от Веб-Антивируса о страницах с рекламными программами и другими легальными программами, которые могут быть использованы злоумышленниками для нанесения вреда компьютеру или вашим данным [С. А. Петренко, В. А. Курбатов. Политики безопасности компании при работе в Интернет / Петренко С. А. «ДМК пресс» 2011 г].

Добавлена защита от заражения во время перезагрузки операционной системы.

Добавлена возможность перейти из окна Лицензирование на портал My Kaspersky, чтобы просмотреть информацию о коде активации.

Добавлена возможность ввести новый код активации, если срок действия подписки истек.

Улучшена диагностика проблем установки программы. Теперь при сбое установки программы сохраняются логи установки, которые раньше удалялись.

Улучшена самозащита программы во время обновления до новой версии. Теперь защищена не только текущая версия, но и новая устанавливаемая программа до момента первого запуска.

Улучшена скорость некоторых сценариев установки, первого запуска программы и первого обновления баз и программных модулей.

Улучшена логика показа уведомлений.

Улучшено уведомление, появляющееся, если вы отключаете компонент Мониторинг активности. Теперь уведомление содержит более детальное описание последствий отключения компонента, в частности, отсутствие защиты от программ-шифровальщиков.

Увеличено время до отображения уведомления об устаревших базах и программных модулях при выходе компьютера из режима сна.

Kaspersky Anti-Virus (KAV) полностью совместим с межсетевым экраном Интернет Контроль Сервер. Мгновенно реагирует на возникающие угрозы безопасности, не замедляя при этом работу шлюза[Петренко С.А., Курбатов В.А. - Политики безопасности компании при работе в интернет/ С.А. Петренко, - ДМК Пресс, 2014 ,- 396 с..

Kaspersky Anti-Spam (KAS) - это интеллектуальная система, предназначенная для защиты корпоративных систем от спама. Использование возможно только в комплексе с Kaspersky Anti-Virus [Грибунин В.Г., Чудовский В.В. - Комплексная система ограничения доступа на предприятии/ В.Г. Грибунин, - Академия, 2014,- 416 с.].

Ключевые функции:

  • проверка почтового и HTTP-трафика;
  • защита данных локальной сети;
  • передовые технологии защиты от спама.

Kaspersky Web Filtering обеспечивает защиту пользователей сети от нежелательного и небезопасного контента, фишинга, вредоносных веб-сайтов.

Преимущества контент-фильтра KWF:

  • 70 категорий трафика;
  • 7 миллионов вредоносных и фишинговых веб-адресов;
  • обновления баз данных каждые 14 дней;
  • фильтрация по спискам Минюста;
  • фильтрация иноязычного контента.

Интернет Контроль Сервер с модулем KWF в коммерческих организациях и бюджетных учреждениях позволит сократить нецелевое использование трафика, повысить производительность сотрудников.

2.3 Программно-аппаратные средства

Электронные ключи

eToken — это полнофункциональный аналог смарт-карты, выполненный в виде брелока. Он напрямую подключается к компьютеру через USB-порт и не требует наличия дорогостоящих карт-ридеров и других дополнительных устройств. Основное назначение eToken — аутентификация пользователя при доступе к защищенным ресурсам сети и безопасное хранение цифровых сертификатов, ключей шифрования, а также любой другой секретной информации[Владимир Скиба, Владимир Курбатов Руководство по защите от внутренних угроз информационной безопасности / Скиба В., «Питер» 2008 г.].

Каждому брелоку eToken можно присвоить уникальное имя, например имя его владельца. Чтобы узнать имя владельца eToken, достаточно подключить брелок к USB-порту и открыть окно «Свойства». Однако получить доступ к защищенной памяти eToken и воспользоваться этим брелоком без знания специального PIN-кода нельзя [Запечников С.В., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность отрытых систем. Том 1/ С.В. Запечников,- Горячая Линия – Телеком, 2016,- 305 с.].

Кроме того, eToken выполнен в прочном водонепроницаемом корпусе и защищен от воздействия окружающей среды. Он имеет защищенную энергонезависимую память (модели PRO и RIC снабжены микропроцессором). Небольшой размер позволяет носить его на связке с ключами [Варлатая С.К., Шаханова М.В. Аппаратно-программные средства и методы ограничения доступа: Учебное пособие./ Варлатая С.К - Владивосток: Изд-во ДВГТУ, 2007. - 318 с.].

Если нужно подключить к компьютеру несколько ключей одновременно, а USB-портов не хватает, то можно воспользоваться концентратором (USB-HUB). Для удобства применения eToken поставляется вместе с удлинителем для USB-порта.

Таким образом, eToken может стать универсальным ключом, легко интегрируемым в различные системы для обеспечения надежной аутентификации. С его помощью можно осуществлять безопасный доступ к защищенным Web-страницам, к сетям, отдельным приложениям и т.д. Универсальность применения, легкость в использовании, удобство для пользователей и администраторов, гарантированное качество делают его прекрасным средством при необходимости использовать цифровые сертификаты и защищенный доступ [Варлатая С.К., Шаханова М.В. Аппаратно-программные средства и методы ограничения доступа: Учебное пособие./ Варлатая С.К - Владивосток: Изд-во ДВГТУ, 2007. - 318 с.].

В случае если объем конфиденциальной информации довольно значителен, можно воспользоваться устройством Secret Disk, выполненным с применением технологии eToken. Secret Disk — это разработка компании Aladdin Software Security R.D., предназначенная для защиты конфиденциальной информации на персональном компьютере с ОС Windows 2000/XP [Владимир Скиба, Владимир Курбатов Руководство по защите от внутренних угроз информационной безопасности / Скиба В., «Питер» 2008 г.].

Принцип защиты данных при помощи системы Secret Disk заключается в создании на компьютере пользователя защищенного ресурса — секретных дисков, предназначенных для безопасного хранения конфиденциальной информации. Доступ к этой информации осуществляется посредством электронного ключа eToken, подсоединяемого к USB-порту компьютера. Доступ к информации, защищенной системой Secret Disk, получают только непосредственный владелец информации и авторизованные им доверенные лица, имеющие электронный ключ eToken и знающие его PIN-код. Для других пользователей защищенный ресурс будет невидим и недоступен. Более того, они даже не догадаются о его наличии.

Устанавливая на компьютере систему Secret Disk, пользователь может быть уверен в сохранности защищаемых данных. Конфиденциальная информация не может быть просмотрена, скопирована, уничтожена или повреждена другими пользователями. Она не может быть использована посторонними при ремонте или краже компьютера, а также при утере съемного зашифрованного диска [Запечников С.В., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность отрытых систем. Том 1/ С.В. Запечников,- Горячая Линия – Телеком, 2016,- 305 с.].

Для защиты корпоративных серверов используется специальная версия — Secret Disk Server. Особенностью системы Secret Disk Server также является отсутствие следов закрытого «контейнера с информацией» в файловой системе. Таким образом, если злоумышленники снимут диск с вашего сервера, то они не только не смогут расшифровать данные — они даже не увидят, где именно находится информация [Варлатая С.К., Шаханова М.В. Аппаратно-программные средства и методы ограничения доступа: Учебное пособие./ Варлатая С.К - Владивосток: Изд-во ДВГТУ, 2007. - 318 с.].

Межсетевые экраны

Межсетевые экраны используются в качестве первой линии защиты сетей уже более 25 лет. Они ставят барьер между защищенными, контролируемыми внутренними сетями, которым можно доверять, и ненадежными внешними сетями, такими как Интернет [Петренко С.А., Курбатов В.А. - Политики безопасности компании при работе в интернет/ С.А. Петренко, - ДМК Пресс, 2014 ,- 396 с.].

Межсетевой экран может быть аппаратным, программным или смешанного типа.

Типы межсетевых экранов

Прокси-сервер

Это один из первых типов МСЭ. Прокси-сервер служит шлюзом между сетями для конкретного приложения. Прокси-серверы могут выполнять дополнительные функции, например кэширование и защиту контента, препятствуя прямым подключениям из-за пределов сети. Однако это может отрицательно сказаться на пропускной способности и производительности поддерживаемых приложений[Владимир Скиба, Владимир Курбатов Руководство по защите от внутренних угроз информационной безопасности / Скиба В., «Питер» 2008 г.].

Межсетевой экран с контролем состояния сеансов

Сегодня МСЭ с контролем состояния сеансов считается «традиционным». Он пропускает или блокирует трафик с учетом состояния, порта и протокола. Он осуществляет мониторинг всей активности с момента открытия соединения и до его закрытия. Решения о фильтрации принимаются на основании как правил, определяемых администратором, так и контекста. Под контекстом понимается информация, полученная из предыдущих соединений и пакетов, принадлежащих данному соединению [Рашид Ачилов Построение защищенных корпоративных сетей/ Ачилов Р., ДМК-Пресс, 2013].

Межсетевой экран UTM

Типичное устройство UTM, как правило, сочетает такие функции, как контроль состояния сеансов, предотвращение вторжений и антивирусное сканирование. Также оно может включать в себя дополнительные службы, а зачастую — и управление облаком. Основные достоинства UTM — простота и удобство [Владимир Скиба, Владимир Курбатов Руководство по защите от внутренних угроз информационной безопасности / Скиба В., «Питер» 2008 г.].

Межсетевой экран нового поколения (NGFW)

Современные межсетевые экраны не ограничиваются фильтрацией пакетов и контролем состояния сеансов. Большинство компаний внедряет межсетевые экраны нового поколения, чтобы противостоять современным угрозам, таким как сложное вредоносное ПО и атаки на уровне приложений.

Согласно определению компании Gartner, Inc., межсетевой экран нового поколения должен иметь:

  • стандартные функции МСЭ, такие как контроль состояния сеансов;
  • встроенную систему предотвращения вторжений;
  • функции учета и контроля особенностей приложений, позволяющие распознавать и блокировать приложения, представляющие опасность;
  • схему обновления, позволяющую учитывать будущие каналы информации;
  • технологии защиты от постоянно меняющихся и усложняющихся угроз безопасности.
  • И хотя эти возможности постепенно становятся стандартными для большинства компаний, межсетевые экраны нового поколения способны на большее.

NGFW с активной защитой от угроз

Эти межсетевые экраны сочетают в себе функции традиционного NGFW с возможностями обнаружения и нейтрализации сложных угроз [Запечников С.В., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность отрытых систем. Том 1/ С.В. Запечников,- Горячая Линия – Телеком, 2016,- 305 с.].

Межсетевые экраны нового поколения с активной защитой от угроз позволяют:

  • определять благодаря полному учету контекста, какие ресурсы наиболее подвержены риску;
  • быстро реагировать на атаки благодаря интеллектуальной автоматизации безопасности, которая устанавливает политики и регулирует защиту в динамическом режиме;
  • с большей надежностью выявлять отвлекающую или подозрительную деятельность, применяя корреляцию событий в сети и на оконечных устройствах;
  • значительно сократить время с момента распознавания до восстановления благодаря использованию ретроспективных средств обеспечения безопасности, которые осуществляют непрерывный мониторинг на предмет подозрительной деятельности и поведения даже после первоначальной проверки;
  • упростить администрирование и снизить уровень сложности с помощью унифицированных политик, обеспечивающих защиту на протяжении всего жизненного цикла атаки.

Межсетевым экранам свойственен определенный набор функций. Вот и посмотрим, какие функции предоставляет (или не предоставляет) тот или иной межсетевой экран. Основная функция любого межсетевого экрана — это фильтрация пакетов на основании определенного набора правил. Не удивительно, но эту функцию поддерживают все брандмауэры [Варлатая С.К., Шаханова М.В. Аппаратно-программные средства и методы ограничения доступа: Учебное пособие./ Варлатая С.К - Владивосток: Изд-во ДВГТУ, 2007. - 318 с.]. 

Также все рассматриваемые брандмауэры поддерживают NAT. Но есть довольно специфические (но от этого не менее полезные) функции, например, маскировка портов, регулирование нагрузки, многопользовательских режим работы, контроль целостности, развертывание программы в ActiveDirectory и удаленное администрирование извне. Довольно удобно, согласитесь, когда программа поддерживает развертывание в ActiveDirectory — не нужно вручную устанавливать ее на каждом компьютере сети [Запечников С.В., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность отрытых систем. Том 1/ С.В. Запечников,- Горячая Линия – Телеком, 2016,- 305 с.].

Также удобно, если межсетевой экран поддерживает удаленное администрирование извне — можно администрировать сеть, не выходя из дому, что будет актуально для администраторов, привыкших выполнять свои функции удаленно.  Безопасность у всех межсетевых экранов примерно одинаковая, иначе у них бы не было сертификата. 

Криптозащита

Криптографический ключ (криптоключ) — совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе (определение из «розовой инструкции – Приказа ФАПСИ № 152 от от 13 июня 2001 г., далее по тексту – ФАПСИ 152).

Ключевая информация — специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической ограничения доступа в течение определенного срока [Фомичёв В., Мельников Д. Криптографические методы ограничения доступа. Часть 1 и 2. / В. Фомичёв, - Юрайт, 2017, - 399 с].

Понять принципиальное отличие между криптоключем и ключевой информации можно на следующем примере. При организации HTTPS, генерируются ключевая пара открытый и закрытый ключ, а из открытого ключа и дополнительной информации получается сертификат. Так вот, в данной схеме совокупность сертификата и закрытого ключа образуют ключевую информацию, а каждый из них по отдельности является криптоключом [Грибунин В.Г., Чудовский В.В. - Комплексная система ограничения доступа на предприятии/ В.Г. Грибунин, - Академия, 2014,- 416 с.].

Тут можно руководствоваться следующим простым правилом – конечные пользователи при работе с СКЗИ используют ключевую информацию, а криптоключи обычно используют СКЗИ внутри себя. В тоже время важно понимать, что ключевая информация может состоять из одного криптоключа [Запечников С.В., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность отрытых систем. Том 1/ С.В. Запечников,- Горячая Линия – Телеком, 2016,- 305 с.].

Ключевые документы — электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах. (определение из Постановления Правительства № 313 от от 16 апреля 2012 г. , далее по тексту – ПП-313)

Простым языком, ключевой документ — это ключевая информация, записанная на носителе. При анализе ключевой информации и ключевых документов следует выделить, что эксплуатируется (то есть используется для криптографических преобразований – шифрование, электронная подпись и т.д.) ключевая информация, а передаются работникам ключевые документы ее содержащие [Фомичёв В., Мельников Д. Криптографические методы ограничения доступа. Часть 1 и 2. / В. Фомичёв, - Юрайт, 2017, - 399 с.].

Средства криптографической ограничения доступа (СКЗИ) – средства шифрования, средства имитозащиты, средства электронной подписи, средства кодирования, средства изготовления ключевых документов, ключевые документы, аппаратные шифровальные (криптографические) средства, программно-аппаратные шифровальные (криптографические) средства. [Варлатая С.К., Шаханова М.В. Аппаратно-программные средства и методы ограничения доступа: Учебное пособие./ Варлатая С.К - Владивосток: Изд-во ДВГТУ, 2007. - 318 с]

При анализе данного определения можно обнаружить в нем наличие термина ключевые документы. Термин дан в Постановлении Правительства и менять его мы не имеем права. В тоже время дальнейшее описание будет вестись из расчета что к СКЗИ будут относится только средства осуществления криптографических преобразований). Данный подход позволит упростить проведение аудита, но в тоже время не будет сказываться на его качестве, поскольку ключевые документы мы все равно все учтем, но в своем разделе и своими методами [Владимир Скиба, Владимир Курбатов Руководство по защите от внутренних угроз информационной безопасности / Скиба В., «Питер» 2008 г.].

Аутентификация пользователя

Аутентификация пользователя может быть выполнена по разным признакам. Одним из распространенных методов аутентификации является установление личности пользователя по тем специфическим сведениям, которыми он располагает. Пользователь вводит свой идентификатор, и затем секретный пароль. Считается, что эти сведения хранятся исключительно в памяти пользователя и не могут стать известны посторонним [Варлатая С.К., Шаханова М.В. Аппаратно-программные средства и методы ограничения доступа: Учебное пособие./ Варлатая С.К - Владивосток: Изд-во ДВГТУ, 2007. - 318 с].

Разработка системы управления доступом направлена на обеспечение ограничения доступа, хранящейся в базе данных, от несанкционированного доступа, то есть обеспечение конфиденциальности информации [Фомичёв В., Мельников Д. Криптографические методы ограничения доступа. Часть 1 и 2. / В. Фомичёв, - Юрайт, 2017, - 399 с.].

Система управления доступом включает процедуры, охватывающие порядок регистрации нового пользователя в ИС, контроль доступа пользователей к базе данных, удаление учетных записей пользователей, которые больше не нуждаются в доступе к информационным ресурсам [Баранова Е. Барбаш А.. Информационная безопасность и защита. Учебное пособие/ Е. Баранова,.- Инфра-М, 2017 – 324 с].

Аутентификация может производиться следующими способами:

  • средствами операционной системы (WindowsAuthentication);
  • средствами СУБД

В качестве учетной записи выступает имя пользователя и пароль (идентификатор).

Пользователей СУБД можно разбить на две категории:

  • администратор СУБД, занимающийся установкой, конфигурированием сервера, регистрацией пользователей, ролей;
  • пользователи, которые оперируют данными, хранящимися в базе, в рамках выделенных прав.
  • Права доступа пользователей к информации, хранящейся в базе данных, определяются должностными инструкциями.

В результате разграничений прав доступа обеспечивается санкционированный доступ к конфиденциальной информации [Баранова Е. Барбаш А. Информационная безопасность и защита. Учебное пособие/ Е. Баранова,.- Инфра-М, 2017 – 324 с. ]

Защите также подлежит программное обеспечение, с помощью которого производится обработка ценной информации:

  • СУБД (серверная часть);
  • операционная система и сервисное программное обеспечение.

Данный вид защиты организуется путем ограничения прав доступа пользователей операционной системы (доступ к системным файлам, разрешение на установку нового программного обеспечения), а также ограничения доступа к средствам конфигурирования и администрирования СУБД [Фомичёв В., Мельников Д. Криптографические методы ограничения доступа. Часть 1 и 2. / В. Фомичёв, - Юрайт, 2017, - 399 с.].

Для каждого отдельного пользователя выделяется однозначно определенная роль, разграничивающая его права, возможности.

Для поддержания необходимого уровня доступности необходимо производить резервное копирование базы данных, чтобы в случае необходимости произвести восстановление данных [Владимир Скиба, Владимир Курбатов Руководство по защите от внутренних угроз информационной безопасности / Скиба В., «Питер» 2008 г.].

Периодичность резервного копирования строго определена и отражена в соответствующих инструкциях. Резервное копирование производится на защищенные носители, доступ к которым для посторонних лиц строго ограничен.

Резервное копирование будет выполняться средствами операционной системы. Для выполнения операции резервного копирования в составе операционной системы поставляется программа архивации BackUP. С ее помощью можно резервировать и восстанавливать многие системные данные в том числе файлы баз данных [Грибунин В.Г., Чудовский В.В. - Комплексная система ограничения доступа на предприятии/ В.Г. Грибунин, - Академия, 2014,- 416 с.].

Заключение

В ближайшее время прогресс в области развития средств вычислительной техники, программного обеспечения и сетевых технологий даст толчок к развитию средств обеспечения безопасности, что потребует во многом пересмотреть существующую научную парадигму информационной безопасности.
В настоящее время проблемы связанные с защитой информации беспокоят как специалистов в области компьютерной безопасности, так и многочисленных рядовых пользователей персональных компьютеров. Это связано с глубокими изменениями, вносимыми компьютерной технологией в нашу жизнь. Изменился сам подход к понятию “информация”. Этот термин сейчас больше используется для обозначения специального товара, который можно купить, продать, обменять на что-то другое и т.д. При этом стоимость подобного товара зачастую превосходит в десятки, а то и в сотни раз стоимость самой вычислительной техники, в рамках которой он функционирует.

Целью данной работы  было изучение программных и аппаратных средств ограничения доступа Для достижения поставленной цели были решены следующие задачи:  

Изучены программные средства защиты от вредоносного программного обеспечения, криптографические программные средства ограничения доступа, межсетевые экраны.

Список литературы

  1. Рашид Ачилов Построение защищенных корпоративных сетей/ Ачилов Р., ДМК-Пресс, 2013
  2. Баранова,  Е., Бабаш,А. Информационная безопасность и защита. Учебное пособие/ Е. Баранова,.- Инфра-М, 2017 – 324 с.
  3. Варлатая С.К., Шаханова М.В. Аппаратно-программные средства и методы ограничения доступа: Учебное пособие./ Варлатая С.К - Владивосток: Изд-во ДВГТУ, 2007. - 318 с.
  4. Грибунин В.Г., Чудовский В.В. - Комплексная система ограничения доступа на предприятии/ В.Г. Грибунин, - Академия, 2014,- 416 с.
  5. Запечников С.В., Милославская Н.Г., Толстой А.И., Ушаков Д.В. Информационная безопасность отрытых систем. Том 1/ С.В. Запечников,- Горячая Линия – Телеком, 2016,- 305 с.
  6. Владимир Скиба, Владимир Курбатов Руководство по защите от внутренних угроз информационной безопасности / Скиба В., «Питер» 2008 г.
  7. Петренко С.А., Курбатов В.А. - Политики безопасности компании при работе в интернет/ С.А. Петренко, - ДМК Пресс, 2014 ,- 396 с.
  8. Фомичёв В., Мельников Д. Криптографические методы ограничения доступа. Часть 1 и 2. / В. Фомичёв, - Юрайт, 2017, - 399 с.