Автор Анна Евкова
Преподаватель который помогает студентам и школьникам в учёбе.

Международные стандарты в сфере безопасности сетей ( Понятия безопасности)

Содержание:

Введение

Безопасность информационных систем является очень важным вопросом. В жизни современного общества, информация, находящаяся на электронных носителях, играет большую роль. Такая информация уязвима, обусловлено это целым рядом аспектов: огромные объемы, большое количество пользователей, работающих с этой информацией, анонимность доступа, передача информации по каналам связи, возможность «информационных диверсий»... Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой.

При рассмотрении безопасности информационных систем обычно выделяют две группы проблем: безопасность компьютера и сетевая безопасность. К компьютерной безопасности относятся проблемы защиты данных, хранящихся и обрабатывающихся компьютером. В этом случае, компьютер рассматривают как автономную систему. Данные проблемы решаются средствами операционных систем и прикладного ПО, таких как базы данных, а также встроенными аппаратными средствами компьютера. К сетевой безопасности относятся вопросы, связанные с взаимодействием устройств в сети, это, прежде всего, защита данных в момент их передачи по линиям связи и защита от несанкционированного удаленного доступа в сеть.

Специально для обеспечения безопасности информационных сетей были придуманы международные стандарты.

1. Понятия безопасности

Безопасная информационная система – это система, которая, во-первых, защищает данные от несанкционированного доступа, во-вторых, всегда готова предоставить их своим пользователям, а в-третьих, надежно хранит информацию и гарантирует неизменность данных. Таким образом, безопасная система по определению обладает свойствами конфиденциальности, доступности и целостности.

Конфиденциальность – гарантия того, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен.

Доступность – гарантия того, что авторизованные пользователи всегда получат доступ к данным.

Целостность – гарантия сохранности данными правильных значений, которая обеспечивается запретом для неавторизованных пользователей каким либо образом изменять, модифицировать, разрушать или создавать данные.

Требования безопасности могут меняться в зависимости от назначения системы, характера используемых данных и типа возможных угроз. Трудно представить систему, для которой были бы не важны свойства целостности и доступности, но свойство конфиденциальности не всегда является обязательным. Например, если мы публикуем информацию в Интернете на WEB-сервере и нашей целью является сделать ее доступной для широкого круга людей, то конфиденциальность в данном случае не требуется.

Проблема обеспечения безопасности носит комплексный характер, для ее решения необходимо сочетание законодательных, организационных и программно-технических мер.

2. Механизмы реализации безопасности

2.1. Произвольное управление доступом

Добровольное управление доступом - это метод ограничения доступа к объектам на основе идентификации субъекта или группы, к которой он принадлежит. Добровольное управление заключается в том, что некоторое лицо (как правило, владелец объекта) может по своему усмотрению передать другим субъектам или отобрать у них права доступа к объекту. Большинство операционных систем и систем управления базами данных реализуют добровольное управление доступом. Его главное преимущество - гибкость, основные недостатки - рассредоточенность управления и сложность централизованного управления, а также изоляция прав доступа от данных, что позволяет копировать конфиденциальную информацию в общедоступные файлы или секретные файлы в незащищенные каталоги.

2.2. Безопасность повторного использования объектов

Безопасность повторного использования объектов является важным практическим дополнением к средствам управления доступом для предотвращения случайного или преднамеренного извлечения конфиденциальной информации из "мусора". "Безопасность повторного использования должна быть гарантирована для областей оперативной памяти (в частности, буферов с изображениями экрана, расшифрованными паролями и т. д.), дисковых блоков и магнитных носителей в целом. Важно обратить внимание на следующий момент. Поскольку информация о субъекте также является объектом, необходимо позаботиться о том, чтобы "повторное использование субъекта" было безопасным. Когда пользователь покидает вашу организацию, вы должны не только запретить ему возможность входа в систему, но и запретить ему доступ ко всем объектам. В противном случае новый сотрудник может получить ранее использованный ID, а вместе с ним и все права своего предшественника. Современные интеллектуальные периферийные устройства затрудняют безопасное повторное использование.

2.3. Метки безопасности

Набор уровней безопасности может варьироваться от системы к системе. Категории образуют неупорядоченный набор. Их цель - описать предметную область, к которой относятся данные. В военной среде каждая категория может соответствовать, например, определенному типу оружия. Механизм категорий позволяет разделить информацию на отсеки, что способствует повышению безопасности. Субъект не может получить доступ к "чужим" категориям, даже если их уровень надежности является "совершенно секретным". "Специалист по танкам не признает тактико-технические данные самолетов.

Основная проблема, которую необходимо решить в связи с этикетками, заключается в обеспечении их целостности. Во-первых, не должно быть никаких немаркированных предметов и объектов, иначе в безопасности тега появятся легко используемые пробелы. Во-вторых, метки должны оставаться корректными для всех операций с данными. Это особенно верно для экспорта и импорта данных. Например, печатный документ должен открываться с заголовком, содержащим текстовое и / или графическое представление метки безопасности. Аналогично, когда файл передается по каналу связи, соответствующая метка должна передаваться таким образом, чтобы удаленная система могла ее расшифровать, несмотря на возможные различия в уровнях секретности и наборе категорий. Одним из способов обеспечения целостности меток безопасности является разделение устройств на уровни и родственные элементы. Многоуровневые устройства могут хранить информацию разных уровней секретности (точнее, лежащую в определенном диапазоне уровней). Одноуровневое устройство можно рассматривать как вырожденный случай многоуровневого, когда допустимый диапазон состоит из одного уровня. Зная уровень устройства, система может решить, допустимо ли записывать на него информацию с определенной меткой. Например, попытка напечатать совершенно секретную информацию на общедоступном принтере с неклассифицированным уровнем завершится неудачей.

2.4. Принудительное управление доступом

Управление принудительным доступом основано на сопоставлении меток безопасности субъекта и объекта.

Субъект может считывать информацию из объекта, если уровень безопасности субъекта не ниже уровня безопасности объекта, и все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В этом случае метка субъекта, как говорят, доминирует над меткой объекта. Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В частности, "конфиденциальный " субъект может писать в секретные файлы, но не может писать в несекретные файлы (конечно, ограничения по категориям также должны соблюдаться). На первый взгляд это ограничение может показаться странным, но оно вполне обоснованно. Ни при каких обстоятельствах не следует снижать уровень секретности информации, хотя обратный процесс вполне возможен. Принудительный контроль доступа реализован во многих вариантах операционных систем и СУБД, характеризующихся повышенными мерами безопасности. В частности, такие варианты существуют для СУБД SunOS и Ingres. Независимо от того, какая ваша заявка, обязательные средства контроля являются удобной методологической основой для оригинальной классификации информации и распределения прав доступа. Удобнее думать в терминах уровней и категорий безопасности, чем заполнять неструктурированную матрицу доступа. Однако в реальной жизни добровольный и обязательный контроль доступа объединены в единую систему, что позволяет использовать сильные стороны обоих подходов.

3. Организация ISO

Международная организация по стандартизации, ИСО (International Organization for Standardization , ISO ) — международная организация, занимающаяся выпуском стандартов.

Международная организация по стандартизации создана в 1946 двадцатью пятью национальными организациями по стандартизации. Фактически её работа началась с 1947. СССР был одним из основателей организации, постоянным членом руководящих органов, дважды представитель Госстандарта избирался председателем организации. Россия стала членом ИСО как правопреемник СССР. 23 сентября 2005 года Россия вошла в Совет ИСО.

При создании организации и выборе её названия учитывалась необходимость того, чтобы аббревиатура наименования звучала одинаково на всех языках. Для этого было решено использовать греческое слово ισος — равный, вот почему на всех языках мира Международная организация по стандартизации имеет краткое название «исо».

Сфера деятельности ИСО касается стандартизации во всех областях, кроме электротехники и электроники, относящихся к компетенции Международной электротехнической комиссии (МЭК, IEC). Некоторые виды работ выполняются совместными усилиями этих организаций. Кроме стандартизации ИСО занимается проблемами сертификации.

ИСО определяет свои задачи следующим образом: содействие развитию стандартизации и смежных видов деятельности в мире с целью обеспечения международного обмена товарами и услугами, а также развития сотрудничества в интеллектуальной, научно-технической и экономической областях.

Организационно в ИСО входят руководящие и рабочие органы. Руководящие органы: Генеральная ассамблея (высший орган), Совет, Техническое руководящее бюро. Рабочие органы — технические Комитеты (ТК), подкомитеты, технические консультативные группы (ТКГ).

4. Международные стандарты

4.1. Стандарты ISO/IEC 17799:2002 (BS 7799:2000)

Международный стандарт ISO/IEC 17799:2000 (BS 7799-1:2000) «Управление информационной безопасностью — Информационные технологии» («Information technology — Information security management») является одним из наиболее известных стандартов в области защиты информации. Данный стандарт был разработан на основе первой части Британского стандарта BS 7799—1:1995 «Практические рекомендации по управлению информационной безопасностью» («lnformation security management — Part 1: Code of practice for information security management») и относится к новому поколению стандартов информационной безопасности компьютерных ИС.

Текущая версия стандарта ISO/IEC 17799:2000 (BS 7799—1:2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:

  • необходимость обеспечения информационной безопасности;
  • основные понятия и определения информационной безопасности;
  • политика информационной безопасности компании;
  • организация информационной безопасности на предприятии;
  • классификация и управление корпоративными информационными ресурсами;
  • кадровый менеджмент и информационная безопасность;
  • физическая безопасность;
  • администрирование безопасности КИС
  • управление доступом;
  • требования по безопасности к КИС в ходе их разработки, эксплуатации и сопровождения;
  • управление бизнес-процессами компании с точки зрения информационной безопасности;
  • внутренний аудит информационной безопасности компании.

Вторая часть стандарта BS 7799—2:2000 «Спецификации систем управления информационной безопасностью» («Information security management — Part 2: Specification for information security management systems»), определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта. В соответствии с положениями этого стандарта также регламентируется процедура аудита КИС.

Дополнительные рекомендации для управления информационной безопасностью содержат руководства Британского института стандартов — British Standards Institution (BSI), изданные в 1995—2003 гг. в виде следующей серии:

  • «Введение в проблему управления информационной безопасностью» («Information security managment: an introduction»);
  • «Возможности сертификации на требования стандарта BS 7799» («Preparing for BS 7799 sertification»);
  • «Руководство BS 7799 по оценке и управлению рисками» («Guide to BS 7799 risk assessment and risk management»);
  • «Руководство для проведения аудита на требования стандарта» («BS 7799 Guide to BS 7799 auditing»);
  • «Практические рекомендации по управлению безопасностью информационных технологий» («Code of practice for IT management»).

В 2002 г. международный стандарт ISO 17799 (BS 7799) был пересмотрен и существенно дополнен. В новом варианте этого стандарта большое внимание уделено вопросам повышения культуры защиты информации в различных международных компаниях. По мнению специалистов, обновление международного стандарта ISO 17799 (BS 7799) позволит не только повысить культуру защиты информационных активов компании, но и скоординировать действия различных ведущих государственных и коммерческих структур в области защиты информации.

4.2 Германский стандарт BSI

В отличие от ISO 17799 германское «Руководство по защите информационных технологий для базового уровня защищенности» посвящено детальному рассмотрению частных вопросов управления информационной безопасностью компании.

В германском стандарте BSI представлены:

  • общая методика управления информационной безопасностью (организация менеджмента в области информационной безопасности, методология использования руководства);
  • описания компонентов современных ИТ;
  • описания основных компонентов организации режима информационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях, поддержка непрерывности бизнеса);
  • характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны);
  • характеристики основных информационных активов компании (в том числе аппаратное и программное обеспечение, например рабочие станции и серверы под управлением ОС семейства DOS, Windows и UNIX);
  • характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare, сети UNIX и Windows).
  • характеристика активного и пассивного телекоммуникационного оборудования ведущих поставщиков, например Cisco Systems;
  • подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).

Вопросы защиты приведенных информационных активов компании рассматриваются по определенному сценарию: общее описание информационного актива компании — возможные угрозы и уязвимости безопасности — возможные меры, и средства контроля и защиты.

4.3 Международный стандарт ISO 15408 «Общие критерии безопасности информационных технологий»

В 1990 г. Международная организация по стандартизации (ISO) приступила к разработке международного стандарта по критериям оценки безопасности ИТ для общего использования. В разработке участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция), которые опирались на свой солидный задел.

За десятилетие разработки лучшими специалистами мира документ неоднократно редактировался. Первые две версии были опубликованы соответственно в январе и мае 1998 г. Версия 2.1 этого стандарта утверждена 8 июня 1999 г. Международной организацией по стандартизации (ISO) в качестве международного стандарта информационной безопасности ISO/IEC 15408 под названием «Общие критерии оценки безопасности информационных технологий», или «Соттоп Criteria».

«Общие критерии» (ОК) обобщили содержание и опыт использования Оранжевой книги, развили европейские и канадские критерии и воплотили в реальные структуры концепцию типовых профилей защиты федеральных критериев США.

В ОК проведена классификация широкого набора требований безопасности ИТ, определены структуры их группирования и принципы использования. Главные достоинства ОК — полнота требований безопасности и их систематизация, гибкость в применении и открытость для последующего развития.

Ведущие мировые производители оборудования ИТ сразу стали поставлять заказчикам средства, полностью отвечающие требованиям ОК.

ОК разрабатывались для удовлетворения запросов трех групп специалистов, в равной степени являющихся пользователями этого документа: производителей и потребителей продуктов ИТ, а также экспертов по оценке уровня их безопасности. ОК обеспечивают нормативную поддержку процесса выбора ИТ-продукта, к которому предъявляются требования функционирования в условиях действия определенных угроз, служат руководящим материалом для разработчиков таких систем, а также регламентируют технологию их создания и процедуру оценки обеспечиваемого уровня безопасности.

ОК рассматривают информационную безопасность, во-первых, как совокупность конфиденциальности и целостности информации, обрабатываемой ИТ-продуктом, а также доступности ресурсов ВС и, во-вторых, ставят перед средствами защиты задачу противодействия угрозам, актуальным для среды эксплуатации этого продукта и реализации политики безопасности, принятой в этой среде эксплуатации. Поэтому в концепцию ОК входят все аспекты процесса проектирования, производства и эксплуатации ИТ-продуктов, предназначенных для работы в условиях действия определенных угроз безопасности.

Потребители ИТ-продуктов озабочены наличием угроз безопасности, приводящих к определенным рискам для обрабатываемой информации. Для противодействия этим угрозам ИТ-продукты должны включать в свой состав средства защиты, противодействующие этим угрозам и направленные на устранение уязвимостей, однако ошибки в средствах защиты в свою очередь могут приводить к появлению новых уязвимостей. Сертификация средств защиты позволяет подтвердить их адекватность угрозам и рискам.

ОК регламентируют все стадии разработки, квалификационного анализа и эксплуатации ИТ-продуктов. ОК предлагают концепцию процесса разработки и квалификационного анализа ИТ-продуктов, требующую от потребителей и производителей большой работы по составлению и оформлению объемных и подробных нормативных документов.

Требования ОК являются практически всеобъемлющей энциклопедией информационной безопасности, поэтому их можно использовать в качестве справочника по безопасности ИТ.

Стандарт ISO 15408 поднял стандартизацию ИТ на межгосударственный уровень. Возникла реальная перспектива создания единого безопасного информационного пространства, в котором сертификация безопасности систем обработки информации будет осуществляться на глобальном уровне, что предоставит возможности для интеграции национальных ИС, что в свою очередь откроет новые сферы применения ИТ.

Принятый базовый стандарт информационной безопасности ISO 15408, безусловно, очень важен и для российских разработчиков.

5. Стандарт IEEE 802.11 для беспроводных сетей.

Стандарт IEEE 802.11 является базовым стандартом и определяет протоколы, необходимые для организации беспроводных локальных сетей WLAN (Wireless Local Area Network). Основные из них — протокол управления доступом к среде MAC (Medium Accsess Control — нижний подуровень канального уровня) и протокол PHY передачи сигналов в физической среде. В качестве физической среды допускается использование радиоволн и инфракрасного излучения.

В основу стандарта IEEE 802.11 положена сотовая архитектура, причем сеть может состоять как из одной, так и нескольких ячеек. Каждая из них управляется базовой станцией, называемой точкой доступа АР (Access Point), которая вместе с находящимися в пределах радиуса ее действия рабочими станциями пользователей образует базовую зону обслуживания BSS (Basic Service Set). Точки доступа многосотовой сети взаимодействуют между собой через распределительную систему DS (Distribution System), представляющую собой эквивалент магистрального сегмента кабельных ЛС. Вся инфраструктура, включающая точки доступа и распределительную систему образует расширенную зону обслуживания ESS (Extended Service Set). Стандартом предусмотрен также односотовый вариант беспроводной сети, который может быть реализован и без точки доступа, при этом часть ее функций выполняются непосредственно рабочими станциями.

Для обеспечения перехода мобильных рабочих станций из зоны действия одной точки доступа к другой в многосотовых системах предусмотрены специальные процедуры сканирования (активного и пассивного прослушивания эфира) и присоединения (Association), однако строгих спецификаций по реализации роуминга стандарт IEEE 802.11 не предусматривает.

Для защиты WLAN стандартом IEEE 802.11 предусмотрен алгоритм WEP (Wired Equivalent Privacy). Он включает средства противодействия НСД к сети, а также шифрование для предотвращения перехвата информации.
Однако заложенная в первую спецификацию стандарта IEEE 802.1 1 скорость передачи данных в беспроводной сети перестала удовлетворять потребностям пользователей: алгоритм WEP имел ряд существенных недостатков — отсутствие управления ключом, использование общего статического ключа, малые разрядности ключа и вектора инициализации, сложности использования алгоритма RC4.

Чтобы сделать технологию Wireless LAN недорогой, популярной и удовлетворяющей жестким требованиям бизнес-приложений, разработчики создали семейство новых спецификаций стандарта IEEE 802.11 — а, Ь, L Стандарты этого семейства, по сути, являются беспроводными расширениями протокола Ethernet, что обеспечивает хорошее взаимодействие с проводными сетями Ethernet.

6. Стандарты информационной безопасности в Интернете

По оценке Комитета ООН по предупреждению преступности и борьбе с ней, компьютерная преступность вышла на уровень одной из международных проблем. Поэтому чрезвычайно важно добиваться эффективного решения проблем обеспечения безопасности коммерческой информации в глобальной сети Интернет и смежных Интранет-сетях, которые по своей технической сущности не имеют принципиальных отличий и различаются в основном масштабами и открытостью.

Рассмотрим особенности стандартизации процесса обеспечения безопасности коммерческой информации в сетях с протоколом передачи данных IP/TCP и с акцентом на защиту телекоммуникаций.
Обеспечение безопасности ИТ особенно актуально для открытых систем коммерческого применения, обрабатывающих информацию ограниченного доступа, не содержащую государственную тайну. Под открытыми системами понимают совокупности всевозможного вычислительного и телекоммуникационного оборудования разного производства, совместное функционирование которого обеспечивается соответствием требованиям международных стандартов.

Термин «открытые системы» подразумевает также, что если вычислительная система соответствует стандартам, то она будет открыта для взаимосвязи с любой другой системой, которая соответствует тем же стандартам. Это, в частности, относится и к механизмам криптографической защиты информации или к защите от НСД к информации.

В Интернете уже давно существует ряд комитетов, в основном из организаций-добровольцев, которые осторожно проводят предлагаемые технологии через процесс стандартизации. Эти комитеты, составляющие основную часть Рабочей группы инженеров Интернета IETF (Internet Engineering Task Force) провели стандартизацию нескольких важных протоколов, ускоряя их внедрение в Интернете. Непосредственными результатами усилий IETF являются такие протоколы, как семейство TCP/IP для передачи данных, SMTP (Simple Mail Transport Protocol) и POP (Post Office Protocol) для электронной почты, а также SNMP (Simple Network Management Protocol) для управления сетью.

В Интернете популярны протоколы безопасной передачи данных, а именно SSL, SET, IPSec. Перечисленные протоколы появились в Интернете сравнительно недавно как необходимость защиты ценной информации и сразу стали стандартами де-факто.

Заключение

Сетевая безопасность охватывает множество мер и должна рассматриваться как часть общей политики, проводимой организацией (предприятием, компанией, фирмой) по информационной безопасности. В обеспечении безопасности сети занято много служб и используются различные средства. По сетевой безопасности написано огромное количество книг и статей, затрагивающих широкий диапазон ИБ.

Эффективность компьютерной сети во многом зависит от степени защищенности обрабатываемой и передаваемой информации. Степень защищенности информации от различного вида угроз при ее получении, обработке, хранении, передаче и использовании называют безопасностью информации.

Актуальность проблеме сетевой безопасности придает широкое использование компьютерных технологий во всех сферах жизни современного общества, а также переход от использования выделенных каналов к публичным сетям который наблюдается при построении корпоративных сетей. В современном мире, практически во всех сферах жизни, используются компьютерные сети. Именно поэтому, актуальной проблемой становится безопасность компьютерных сетей. Для этого была придумана «политика безопасности сетей».

Основная задача политики безопасности состоит в защите от несанкционированного доступа к ресурсам информационной системы. Политика безопасности является эффективным средством, заставляющим всех пользователей корпоративной сети следовать раз и навсегда установленным правилам безопасности. Ее реализация начинается с выявления уязвимых компонентов и угроз и принятия соответствующих контрмер.

Список литературы

  • Аверченков В.И. Аудит информационной безопасности: учеб. пособие для вузов. – М.: ФЛИНТА, 2011. – 269 с.
  • Белов Е.Б., Лось В.П. Основы информационной безопасности: учеб. пособие для вузов. – М.: Горячая линия-Телеком, 2006. – 544 с.
  • Трахименок С.А. Безопасность государства. Методолого-правовые аспекты. – Минск: Хата, 2007. – 192 с.
  • Сергеева Ю.С. Защита информации: конспект лекций: учеб. пособие. – М.: А-Приор, 2011. – 128 с.
  • Родичев Ю. Информационная безопасность: Нормативно-правовые аспекты. – СПб.: Питер, 2008. – 272 с.
  • https://fb.ru/article/381432/obespechenie-bezopasnosti-kompyuternyih-setey
  • https://studbooks.net/2182054/informatika/obespechenie_bezopasnosti_kompyuternyh_setyah
  • https://kitaphana.kz/en/articles/abstracts-in-russian/154-informatika/1925-bezopasnost-kompyuternih-setey.html
  • https://ru.wikipedia.org/wiki/Безопасность_сети
  • https://tvoi-setevichok.ru/korporativnaya-set/bezopasnost-korporativnoy-seti-zashhita-kompyutera-v-seti.html