|
Угрозы безопасности
|
|
|
|
|
|
Естественные
|
|
Искусственные
|
|
|
|
|
|
|
|
Природные
|
|
Технические
|
|
Непреднамеренные
|
|
Преднамерен- ные
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рисунок 1. Общая классификация угроз безопасности.
Естественные угрозы - это угрозы, вызванные воздействиями на компьютерную
систему и ее элементы каких-либо физических процессов или стихийных природных
явлений, которые не зависят от человека. Среди них можно выделить:
природные - это ураганы, наводнения, землетрясения, цунами, пожары,
извержения вулканов, снежные лавины, селевые потоки, радиоактивные излучения,
магнитные бури;
технические - угрозы этой группы связаны с надежностью технических
средств обработки информации.
Искусственные угрозы - это угрозы компьютерной системы, которые вызваны
деятельностью человека. Среди них можно выделить:
непреднамеренные угрозы, которые вызваны ошибками людей при
проектировании компьютерной системы, а также в процессе ее эксплуатации;
преднамеренные угрозы, связанные с корыстными устремлениями людей. В
качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник. Действия
нарушителя могут быть обусловлены разными мотивами: недовольство служащего
своей карьерой; взятка; любопытство; конкурентная борьба; стремление
самоутвердиться любой ценой.
Можно составить предполагаемую модель возможного нарушителя:
квалификация нарушителя соответствует уровню разработчика данной системы;
нарушителем может быть как законный пользователь системы, так и
постороннее лицо;
нарушителю известна принципиальная работы системы;
нарушитель выбирает наиболее слабое звено в защите.
Особо хотелось бы остановиться на угрозах, которым могут подвергаться
компьютерные сети. Основная особенность любой компьютерной сети состоит в том,
что ее компоненты распределены в пространстве. Связь между узлами сети
осуществляется физически с помощью сетевых линий и программно с помощью
механизма сообщений. При этом управляющие сообщения и данные, пересылаемые
между узлами сети, передаются в виде пакетов обмена.
Общая схема классификации угроз информационной безопасности компьютерных
сетей приведена в Приложении А.
Итак, угрозы в компьютерных сетях можно классифицировать следующим
образом.
По цели реализации угрозы могут быть нарушающими целостность информации
(что может привести к утрате или обесцениванию информации); нарушающими
конфиденциальность информации (что может нанести значительный ущерб ее
владельцам); нарушающими доступность компьютерной сети.
По принципу воздействия на сеть угрозы подразделяются на использующие
скрытые каналы (обмен информацией таким способом, нарушает системную политику
безопасности); использующие доступ субъекта компьютерной сети к объекту (доступ
- это взаимодействие между субъектом и объектом, приводящее к возникновению
информационного потока от второго к первому).
По характеру воздействия на сеть - активное воздействие, связано с выполнением
нарушителем каких-либо действий, например, доступ к определенным наборам
данных, вскрытие пароля, доступ к программам и т.д. Такое воздействие ведет к
изменению состояния сети. Пассивное воздействие, осуществляется с помощью
наблюдения за какими-либо побочными эффектами и их анализом. Пассивное
воздействие не ведет к изменению состояния системы, т.к. оно всегда связано
только с нарушением конфиденциальности информации в компьютерных сетях (никаких
действий с субъектами и объектами не производится).
По способу активного воздействия на объект атаки возможно
непосредственное воздействие (с помощью средств контроля доступа такое действие
достаточно легко предотвратить); воздействие на систему разрешений
(несанкционированные действия осуществляются относительно прав на объект атаки,
а сам доступ к объекту выполняется потом законным образом); опосредованное
воздействие (в качестве примера можно рассмотреть случай когда злоумышленник
выдает себя за авторизованного пользователя, каким-либо образом присвоив себе
его полномочия.).
По используемым средствам атаки - с использованием стандартных программ
(в этом случае результаты воздействия обычно предсказуемы, так как большинство
стандартных программ хорошо изучены); с использованием специально разработанных
программ, что может быть более опасным для сети.
По состоянию объекта атаки - когда в момент атаки объект находится в
состоянии хранения информации (в таком случае воздействие на объект, как
правило, осуществляется с использованием несанкционированного доступа); в
момент осуществления передача информации по линии связи между узлами сети или
внутри узла (в таком случае воздействие на объект предполагает либо доступ к
фрагментам передаваемой информации, либо прослушивание с использованием скрытых
каналов); объект находится в состоянии обработки информации (здесь объект атаки
- это процесс пользователя).
Кроме перечисленных угроз информационной безопасности следует добавить
следующие угрозы:
несанкционированный обмен информацией между пользователями;
отказ от информации;
отказ в обслуживании.
Компьютерные сети характерны тем, что против них можно осуществить
удаленные атаки. Нападению может подвергнуться и конкретный компьютер, и
информация, передающаяся по сетевым каналам связи, хотя нарушитель в это время
может находиться за много километров от атакуемого объекта.
Атака на сеть может производиться с верхнего уровня (когда нарушитель
использует свойства сети для проникновения на другой узел и выполнения
определенных несанкционированных действий) и нижнего уровня (нарушитель
использует свойства сетевых протоколов для нарушения конфиденциальности или
целостности отдельных сообщений или потока в целом).
Существуют четыре основных категории атак:
атаки доступа - злоумышленник пытается получить информацию, на просмотр которой
у него нет разрешений. Везде, где существует информация и средства для ее
передачи возможно выполнение такой атаки. Атака доступа нарушает
конфиденциальность информации;
атаки модификации - направлены на нарушение целостности информации. Такие
атаки возможна везде, где существует или передается информация;
атаки на отказ от обязательств - такая атака направлена против
возможности идентифицировать информацию, говоря другими словами, это попытка
дать неверную информацию о реальном событии или транзакции;
атаки на отказ в обслуживании (Denial-of-service, DoS) - это атаки,
приводящие к невозможности получения информации легальным пользователям. В
результате DoS-атаки злоумышленник обычно не получает доступа к компьютерной
системе и не может оперировать с информацией, он просто делает систему или
находящуюся в ней информацию недоступной.
Имеется огромное множество способов выполнения атак: при помощи
специально разработанных средств, через уязвимые места компьютерных систем.
Одним из наиболее опасных способов проведения атак является внедрение в
атакуемые системы вредоносного программного обеспечения.
Наиболее распространенными видами вредоносных программ являются
«троянские кони», черви и вирусы.
«Троянский конь» - это вредоносная программа, которая используется
злоумышленником для сбора информации, её разрушения или модификации, а также
нарушает работоспособность компьютера или использет его ресурсы в неблаговидных
целях.
Компьютерный вирус - это разновидность компьютерной программы,
отличительной особенностью которой является способность к размножению
(саморепликации). В дополнение к этому он может повреждать или полностью
уничтожать данные, подконтрольные пользователю, от имени которого была запущена
заражённая программа.
Сетевой червь - это разновидность самовоспроизводящейся компьютерной
программы, которая распространяется в компьютерных сетях. В отличие от
компьютерных вирусов червь является самостоятельной программой.
Свое название компьютерные вирусы получили из-за определенного сходства с
биологическими вирусами, такими как: способность к саморазмножению; высокая
скорость распространения; избирательность поражаемых систем; наличие в
большинстве случаев инкубационного периода; способность «заражать» еще
незараженные системы; трудность борьбы с вирусами и т.д.
В последнее время к этим особенностям добавилась еще и постоянно
увеличивающаяся быстрота появления модификаций и новых поколений вирусов, что
можно объяснить идеями злоумышленников определенного склада ума.
Программа, внутри которой находится вирус, называется «зараженной». Когда
такая программа начинает работу, то сначала управление получает вирус. Вирус
находит и «заражает» другие программы, а также выполняет какие-либо вредные
действия.
Процесс заражения вирусом программных файлов можно представить следующим
образом. В зараженной программе код последней изменяется таким образом, чтобы
вирус получил управление первым, до начала работы программы-вирусоносителя. При
передаче управления вирусу он каким-либо способом находит новую программу и
выполняет вставку собственной копии в начало или добавление ее в конец этой,
обычно еще не зараженной, программы. Если вирус записывается в конец программы,
то он корректирует код программы с тем, чтобы получить управление первым. После
этого управление передается программе-вирусоносителю, и та нормально выполняет
свои функции. Более изощренные вирусы могут для получения управления изменять
системные области накопителя (например, сектор каталога), оставляя длину и
содержимое заражаемого файла без изменений.
Евгений Касперский - один из самых авторитетных «вирусологов» страны
предлагает условно классифицировать вирусы по следующим признакам:
по среде обитания вируса;
по способу заражения среды обитания;
по деструктивным возможностям;
по особенностям алгоритма вируса.
Более подробная классификация внутри этих групп представлена Приложении
Б.
В настоящее время вредоносное программное обеспечение очень разнообразно
и представляет собой серьезную угрозу. К тому же, все чаще речь идет не только
об удаленных с жесткого диска файлах или испорченной операционной системе.
Современные вирусы и троянские кони наносят огромный материальный ущерб и
позволяют их создателям и распространителям зарабатывать деньги. Это приводит к
тому, что вредоносное программное обеспечение развивается очень активно.
В основном атаки, нацеленные на захват информации, хранимой в электронном
виде, имеют одну интересную особенность: информация не похищается, а
копируется. Она остается у исходного владельца, но при этом ее получает и
злоумышленник. Таким образом, владелец информации несет убытки, а обнаружить
момент, когда это произошло, очень трудно.
Наиболее распространенным и многообразным видом компьютерных нарушений
является несанкционированный доступ (НСД). НСД использует любую ошибку в
системе защиты и возможен при нерациональном выборе средств защиты, их
некорректной установке и настройке.
Несанкционированный доступ к информации, находящейся в сети может быть
косвенным (без физического доступа к элементам сети) или прямым (с физическим
доступом к элементам сети).
В настоящее время существуют следующие пути несанкционированного
получения информации по которым можно осуществить хищение, изменение или
уничтожение информации: хищение носителей информации и производственных
отходов; копирование носителей информации; использование программных ловушек;
маскировка под зарегистрированного пользователя с помощью хищения паролей и
других реквизитов разграничения доступа; незаконное подключение к аппаратуре
или линиям связи вычислительной системы; дистанционное фотографирование;
применение подслушивающих устройств; использование недостатков языков
программирования и операционных систем; перехват электромагнитных излучений;
несанкционированное использование терминалов; считывание данных в массивах
других пользователей; получение защищаемых данных с помощью серии разрешенных
запросов; преднамеренное включение в библиотеки программ специальных блоков
типа «троянских коней»; злоумышленный вывод из строя механизмов защиты.
Канал утечки информации - это
совокупность источников информации, материального носителя или среды
распространения несущего эту информацию сигнала и средства выделения информации
из сигнала или носителя.
Основные каналы утечки информации (Приложение В):
. Электромагнитный канал. Причиной его возникновения является
электромагнитное поле, связанное с протеканием электрического тока в
технических средствах обработки информации. Электромагнитное поле может
индуцировать токи в близко расположенных проводных линиях (наводки).
Электромагнитный канал в свою очередь делится на: радиоканал
(высокочастотные излучения); низкочастотный канал; сетевой канал (наводки на
провода заземления); канал заземления (наводки на провода заземления); линейный
канал (наводки на линии связи между компьютерами).
. Акустический канал. Он связан с распространением звуковых волн в
воздухе или упругих колебаний в других средах, возникающих при работе устройств
отображения информации.
. Канал несанкционированного копирования.
. Канал несанкционированного доступа.
.3 Классификация методов и средств обеспечения безопасности
Метод (способ) защиты информации: порядок и правила
применения определенных принципов и средств защиты информации.
Средство защиты информации: техническое, программное
средство, вещество и (или) материал, предназначенные или используемые для
защиты информации.
Для организации защиты информации в компьютерных сетях
важным вопросом является классификация методов и средств защиты, которые
позволяют воспрепятствовать ее использованию. В Приложении Г показана схема
наиболее часто используемых методов защиты информации в компьютерных сетях и
средств, с помощью которых они могут быть реализованы.
Методами обеспечения защиты информации являются следующие: регламентация,
препятствие, маскировка информации, противодействие вирусам, управление
доступом, принуждение и побуждение.
Препятствие - это метод, при котором пути злоумышленнику к защищаемой
информации преграждаются физически, например, к аппаратуре, носителям
информации и т.п.
Регламентация заключается в реализации системы организационных
мероприятий, которые определяют все стороны процесса обработки информации. Этот
метод создает такие условия автоматизированной обработки, передачи и хранения
информации, при которых возможность несанкционированного доступа к ней сводится
к минимуму.
Управление доступом - этот метод защиты информации регулирует
использование всех ресурсов автоматизированной информационной системы
организации (технические, программные, временные и др.) и включает следующие
функции защиты:
идентификацию пользователей, персонала и ресурсов информационной системы,
то есть присваивает каждому объекту персональный идентификатор;
аутентификацию, то есть устанавливает подлинность объекта или субъекта по
предъявленному им идентификатору;
регистрацию или, говоря другими словами, протоколирование обращений к
защищаемым ресурсам;
проверку полномочий, таких как проверка соответствия дня недели, времени
суток, запрашиваемых ресурсов и процедур в соответствии с установленным
регламентом;
разрешение и создание условий работы в пределах установленного
регламента;
реагирование при попытках несанкционированных действий (сигнализация,
отключение, задержка работ, отказ в запросе).
Маскировка информации - метод защиты информации путем ее
криптографического закрытия. Механизмы шифрования все шире применяются при
обработке и хранении информации на магнитных носителях. При передаче информации
по каналам связи большой протяженности только этот метод является единственно
надежным.
Противодействие вирусам (или атакам вредоносных программ) предполагает
комплексное использование организационных мер и антивирусных программ. Целью
принимаемых мер является уменьшение вероятности инфицирования
информационно-вычислительной системы, уменьшение последствий информационных
инфекций, локализация или уничтожение вирусов, восстановление информации.
Принуждение - такой метод защиты информации, при котором пользователей и
персонал системы вынуждают соблюдать правила обработки, использования и
передачи защищаемой информации под угрозой административной, материальной или
уголовной ответственности.
Побуждение - такой метод защиты информации, который за счет соблюдения
сложившихся моральных и этических норм побуждает пользователей системы не
нарушать установленные правила.
Указанные методы обеспечения информационной безопасности реализуются на
практике применением различных механизмов защиты, для создания которых
используются следующие основные средства: физические, аппаратные, программные,
аппаратно-программные, организационные, морально-этические и законодательные.
Физические средства защиты предназначены для внешней охраны территории
объектов, защиты компонентов автоматизированной информационной системы
предприятия и включают в себя разнообразные инженерные устройства и сооружения,
которые препятствуют проникновению злоумышленников на объекты защиты. Примером
физических средств могут служить замки на дверях, средства электронной охранной
сигнализации, решетки на окнах и т.д.
Аппаратные средства защиты - это электронные, электромеханические и
другие устройства, непосредственно встроенные в вычислительную технику или
самостоятельные устройства, которые сопрягаются с ней по стандартному
интерфейсу. Они предназначены для внутренней защиты структурных элементов
средств и систем вычислительной техники: терминалов, процессоров, периферийного
оборудования, линий связи и т.д. Такие средства принадлежат к наиболее
защищенной части системы. Если есть выбор, то предпочтение следует отдавать
аппаратным средствам защиты, так как они исключают вмешательство в их работу
непосредственно из сети. Еще одно преимущество аппаратных средств - это их
большая производительность по сравнению с программными средствами защиты,
особенно, при использовании их в устройствах криптографической защиты.
Недостатком аппаратных средств является их высокая стоимость.
Программные средства защиты - это специальные программы и программные
комплексы, предназначенные для защиты информации. Программные средства защиты
информации являются наиболее распространенным видом защиты, обладая следующими
положительными свойствами: универсальностью, гибкостью, простотой реализации,
возможностью изменения и развития. Основной их недостаток - это доступность для
хакеров, особенно это касается широко распространенных на рынке средств защиты.
Программные средства часто делят на средства, которые реализуются в
стандартных операционных системах (ОС) и в специализированных информационных
системах.
Криптографические программы основаны на использовании методов шифрования
(кодирования) информации. Такие методы очень надежны и значительно повышают
безопасность передачи информации в сетях.
Аппаратно-программные средства защиты - средства, в которых программные
(микропрограммные) и аппаратные части полностью взаимосвязаны и неразделимы.
Они совмещают высокую производительность аппаратно реализованных систем и
гибкость настройки программных. В качестве примера такого устройства можно
привести маршрутизаторы фирмы Cisco,
которые допускают их настройку в качестве пакетных фильтров.
Организационные средства - это действия общего характера, предпринимаемые
руководством организации. Они регламентируют процессы функционирования и
использование ресурсов системы обработки данных, деятельность обслуживающего
персонала, а также порядок взаимодействия пользователей с системой таким
образом, чтобы в наибольшей степени затруднить или исключить возможность
реализации угроз безопасности, а в случае их реализации снизить размер потерь.
Организационные меры включают в себя:
мероприятия, осуществляемые при подборе и подготовке персонала;
мероприятия, осуществляемые при проектировании, строительстве и
оборудовании сетей;
организацию охраны и надежного пропускного режима; разработку политики
безопасности;
распределение реквизитов разграничения доступа; организацию учета,
хранения, использования и уничтожения документов и носителей с информацией;
мероприятия, осуществляемые при проектировании, разработке, ремонте и
модификациях оборудования и программного обеспечения и т.п.
Организационные меры играют важную роль в обеспечении безопасности
компьютерных систем. Когда другие методы и средства защиты отсутствуют или не
могут обеспечить требуемый уровень безопасности, организационные меры - это
единственное, что остается. Но это не означает, что систему защиты необходимо
строить исключительно на их основе, так как этим мерам присущи и серьезные
недостатки, такие как:
низкая надежность без соответствующей поддержки физическими, техническими
и программными средствами;
дополнительные неудобства, связанные с большим объемом формальной и
рутинной деятельности.
Организационные меры нужны для того, чтобы обеспечить эффективное
применение других мер и средств защиты в части, касающейся регламентации
действий людей. В то же время организационные меры необходимо поддерживать
более надежными техническими и физическими средствами.
Законодательные средства - действующие в стране законы, указы и другие
нормативно-правовые акты, которые регламентируют правила обращения с
информацией, закрепляют права и обязанности участников информационных
отношений, а также устанавливают ответственность за нарушение этих правил.
Правовые меры защиты носят преимущественно упреждающий, профилактический
характер. Основной целью их является предупреждение и сдерживание потенциальных
нарушителей.
Морально-этические средства - всевозможные нормы поведения, несоблюдение
которых ведет к падению престижа конкретного человека или целой организации.
Морально-этические нормы могут быть как неписаные (например, общепризнанные
нормы честности, патриотизма и т.п.), так и оформленные в некоторый свод правил
или предписаний. Морально-этические меры защиты являются профилактическими и
требуют постоянной работы по созданию здорового морального климата в
коллективах пользователей.
Законодательные и морально-этические меры определяют правила обращения с
информацией и ответственность субъектов информационных отношений за их
соблюдение. Они являются универсальными, так как могут применяться для всех
каналов проникновения и НСД к информации. В некоторых случаях они могут быть
единственно применимыми, как например, при защите открытой информации от
незаконного тиражирования или при защите от злоупотреблений служебным
положением при работе с информацией.
Все рассмотренные средства защиты разделяются на формальные (выполняющие
защитные функции строго по заранее предусмотренной процедуре без
непосредственного участия человека) и неформальные (определяемые
целенаправленной деятельностью человека либо регламентирующие эту
деятельность).
Единая совокупность всех этих мер, направленных на противодействие
угрозам безопасности с целью сведения к минимуму возможности ущерба, образуют
систему защиты.
Надежная и безопасная система защиты должна соответствовать следующим
требованиям:
стоимость средств защиты должна быть меньше, чем размеры возможного
ущерба;
каждый пользователь должен иметь минимальный набор привилегий,
необходимый для работы;
защита тем более эффективна, чем проще пользователю с ней работать;
возможность отключения в экстренных случаях;
специалисты, имеющие отношение к системе защиты должны полностью
представлять себе принципы ее функционирования и в случае возникновения
затруднительных ситуаций адекватно на них реагировать;
под защитой должна находиться вся система обработки информации;
разработчики системы защиты, не должны быть в числе тех, кого эта система
будет контролировать;
система защиты должна предоставлять доказательства корректности своей
работы;
лица, занимающиеся обеспечением информационной безопасности, должны нести
личную ответственность;
объекты защиты целесообразно разделять на группы так, чтобы нарушение
защиты в одной из групп не влияло на безопасность других;
надежная система защиты должна быть полностью протестирована и
согласована;
защита становится более эффективной и гибкой, если она допускает
изменение своих параметров со стороны администратора;
система защиты должна разрабатываться, исходя из предположения, что
пользователи будут совершать серьезные ошибки и, вообще, имеют наихудшие
намерения;
наиболее важные и критические решения должны приниматься человеком;
существование механизмов защиты должно быть по возможности скрыто от
пользователей, работа которых находится под контролем.
Выводы. У специалистов по защите информации имеется широкий спектр
защитных мер: законодательных, морально-этических, административных
(организационных), физических и технических (аппаратно-программных) средств.
Все эти средства обладают своими достоинствами и недостатками, которые
необходимо правильно учитывать при создании систем защиты.
Все известные каналы проникновения и утечки информации должны быть
перекрыты с учетом анализа риска, вероятностей реализации угроз безопасности в
конкретной прикладной системе и обоснованного рационального уровня затрат на
защиту.
Наилучшие результаты достигаются при системном подходе к вопросам
безопасности компьютерных систем и комплексном использовании определенных
совокупностей различных мер защиты на всех этапах жизненного цикла системы,
начиная с самых ранних стадий ее проектирования.
.4 Методы обеспечения безопасности сетей
Выше была рассмотрена классификация методов и средств защиты информации.
Теперь пришло время рассмотреть конкретные методы и средства защиты, которые
используются в компьютерных сетях.
Парольная защита основывается на том, что для того, чтобы использовать
какой-либо ресурс, необходимо задать пароль (некоторая комбинация символов). С
помощью паролей защищаются файлы, архивы, программы и отдельные компьютеры. У
парольной защиты есть недостатки - это слабая защищенность коротких паролей,
которые с помощью специальных программ можно быстро раскрыть простым перебором.
При выборе пароля нужно соблюдать ряд требований: пароль не должен состоять
менее, чем из восьми символов; не использовать один и тот же пароль для доступа
к разным ресурсам; не использовать старый пароль повторно; менять пароль как
можно чаще. В сетях пароли могут использоваться самостоятельно, а также в
качестве основы для различных методов аутентификации.
Идентификацию и аутентификацию пользователей можно считать основой
программно-технических средств безопасности, поскольку остальные сервисы
рассчитаны на обслуживание именованных субъектов.
Идентификация представляет собой процедуру распознавания пользователя
(процесса) по его имени.
Аутентификация - это процедура проверки подлинности пользователя,
аппаратуры или программы для получения доступа к определенной информации или
ресурсу.
В качестве синонима слова "аутентификация" иногда используют
сочетание "проверка подлинности". Субъект может подтвердить свою
подлинность, если предъявит, по крайней мере, одну из следующих сущностей:
нечто, что он знает: пароль, личный идентификационный номер,
криптографический ключ и т.п.,
нечто, чем он владеет: личную карточку или иное устройство аналогичного
назначения,
нечто, что является частью его самого: голос, отпечатки пальцев и т.п.,
то есть свои биометрические характеристики,
нечто, ассоциированное с ним, например координаты.
Криптографические методы защиты основываются на шифровании информации и
программ. Готовое к передаче сообщение - будь то данные, речь либо графическое
изображение того или иного документа, обычно называется открытым, или
незащищенным текстом. Такое сообщение в процессе передачи по незащищенным
каналам связи может быть легко перехвачено. Для предотвращения
несанкционированного доступа к сообщению оно зашифровывается, преобразуясь в
закрытый текст. Санкционированный пользователь, получив сообщение, дешифрует
его обратным преобразованием криптограммы. В результате чего получается
исходный открытый текст.
Шифрование может быть симметричным и асимметричным. Симметричное
шифрование использует один и тот же секретный ключ для шифровки и дешифровки.
Основным недостатком симметричного шифрования является то, что секретный ключ
должен быть известен и отправителю, и получателю. С одной стороны, это ставит
новую проблему рассылки ключей. С другой стороны, получатель, имеющий
шифрованное и расшифрованное сообщение, не может доказать, что он получил его
от конкретного отправителя, поскольку такое же сообщение он мог сгенерировать и
сам.
При ассиметричном шифровании для шифрования используется один
общедоступный ключ, а для дешифрования - другой, являющийся секретным, при этом
знание общедоступного ключа не позволяет определить секретный ключ.
Асимметричные методы шифрования позволяют реализовать так называемую
электронную подпись. Идея состоит в том, что отправитель посылает два
экземпляра сообщения - открытое и дешифрованное его секретным ключом.
Получатель может зашифровать с помощью открытого ключа отправителя
дешифрованный экземпляр и сравнить с открытым ключом. Если они совпадут,
личность и подпись отправителя можно считать установленными.
Существенным недостатком асимметричных методов является их низкое
быстродействие, поэтому их приходится сочетать с симметричными. Так, для
решения задачи рассылки ключей сообщение сначала симметрично шифруют случайным
ключом, затем этот ключ шифруют открытым асимметричным ключом получателя, после
чего сообщение и ключ отправляются по сети.
При использовании асимметричных методов необходимо иметь гарантию
подлинности пары (имя, открытый ключ) адресата. Для решения этой задачи
вводится понятие сертификационного центра, который заверяет справочник
имен/ключей своей подписью.
Услуги, характерные для асимметричного шифрования, можно реализовать и с
помощью симметричных методов, если имеется надежная третья сторона, знающая
секретные ключи своих клиентов. Эта идея положена, например, в основу сервера
аутентификации Kerberos.
В последнее время получила распространение разновидность симметричного
шифрования, основанная на использовании составных ключей. Идея состоит в том,
что секретный ключ делится на две части, хранящиеся отдельно. Каждая часть сама
по себе не позволяет выполнить расшифровку. Если у правоохранительных органов
появляются подозрения относительно лица, использующего некоторый ключ, они
могут получить половинки ключа и дальше действовать обычным для симметричной
расшифровки образом.
Шифрование программ гарантирует невозможность внесения в них изменений.
Криптографическая защита данных осуществляется и при хранении данных и при
передаче их по сети. В настоящее время возможна как программная, так и
аппаратная реализация средств криптографии.
Привязка программ и данных к конкретному компьютеру (сети или ключу).
Идея этого метода заключается в том, чтобы включить в данные или в программу
параметры или характеристики конкретного компьютера, что сделает невозможным
чтение данных или выполнение программ на другом компьютере. Различные
модификации этого метода применительно к сети могут требовать или выполнение
всех операций на конкретном компьютере, или активного соединения сети с
конкретным компьютером. Метод «привязки» может значительно повысить
защищенность сети.
Разграничение прав доступа пользователей к ресурсам сети. Этот метод
основан на использовании наборов таблиц, которые определяют права
пользователей. Они построены по правилам «разрешено все, кроме» или «разрешено
только». Таблицы по паролю или идентификатору пользователя определяют его права
доступа к дискам, файлам, операциям чтения, записи, копирования, удаления и
другим сетевым ресурсам. Такое разграничение доступа определяется, как правило,
возможностями используемой ОС.
Управление доступом может быть достигнуто при использовании
дискреционного или мандатного управления доступом.
Дискреционная модель разграничения доступа предполагает назначение
каждому объекту списка контроля доступа, элементы которого определяют права
доступа к объекту конкретного субъекта. Правом редактирования дискреционного
списка контроля доступа обычно обладают владелец объекта и администратор
безопасности. Эта модель отличается простотой реализации, но возможна утечка
конфиденциальной информации даже в результате санкционированных действий
пользователей.
Мандатная модель разграничения доступа предполагает назначение объекту
метки (грифа) секретности, а субъекту - уровня допуска. Доступ субъектов к
объектам в мандатной модели определяется на основании правил «не читать выше» и
«не записывать ниже». Использование мандатной модели, в отличие от
дискреционного управления доступом, предотвращает утечку конфиденциальной
информации, но снижает производительность компьютерной системы.
Протоколирование и аудит состояния системы безопасности составляют основу
обеспечения безопасности корпоративной сети.
Под протоколированием понимается сбор и накопление информации о событиях,
происходящих в информационной системе предприятия.
Аудит - это анализ накопленной информации, проводимый оперативно, почти в
реальном времени, или периодически.
Реализация протоколирования и аудита преследует следующие главные цели:
обеспечение подотчетности пользователей и администраторов - обеспечивается
не только возможность расследования случаев нарушения режима безопасности, но и
откат некорректных изменений. Тем самым обеспечивается целостность информации;
обеспечение возможности реконструкции последовательности событий -
позволяет выявить слабости в защите сервисов, найти виновника вторжения,
оценить масштабы причиненного ущерба и вернуться к нормальной работе;
обнаружение попыток нарушений информационной безопасности;
предоставление информации для выявления и анализа проблем - позволяют помочь
улучшить такой параметр безопасности, как доступность. Обнаружив узкие места,
можно попытаться переконфигурировать или перенастроить систему, снова измерить
производительность и т.д.
Аудит информационной безопасности является сегодня одним из наиболее эффективных
инструментов для получения независимой и объективной оценки текущего уровня
защищённости предприятия от угроз информационной безопасности. Кроме того,
результаты аудита используются для формирования стратегии развития системы
защиты информации в организации. Необходимо помнить, что аудит безопасности не
является однократной процедурой, а должен проводиться на регулярной основе.
Только в этом случае аудит будет приносить реальную пользу и способствовать
повышению уровня информационной безопасности компании.
Межсетевое экранирование
При подключении корпоративной сети к открытым сетям, например к сети Internet, появляются угрозы
несанкционированного вторжения в закрытую (внутреннюю) сеть из открытой
(внешней), а также угрозы несанкционированного доступа из закрытой сети к
ресурсам открытой. Подобный вид угроз характерен также для случая, когда
объединяются отдельные сети, ориентированные на обработку конфиденциальной
информации разного уровня секретности.
Нарушитель через открытую внешнюю сеть может вторгнуться в сеть
организации и получить доступ к техническим ресурсам и конфиденциальной
информации, получить пароли, адреса серверов, а иногда и их содержимое, войти в
информационную систему организации под именем зарегистрированного пользователя
и т.д.
Угрозы несанкционированного доступа из внутренней сети во внешнюю сеть
являются актуальными в случае ограничения разрешенного доступа во внешнюю сеть
правилами, установленными в организации.
Ряд задач по отражению угроз для внутренних сетей способны решить
межсетевые экраны.
Межсетевой экран (МЭ) или брандмауэр (Firewall) - это средство защиты, которое
можно использовать для управления доступом между надежной сетью и менее
надежной. Межсетевой экран - это не одна компонента, а стратегия защиты
ресурсов организации, доступных из глобальной сети.
Основная функция МЭ - централизация управления
доступом. Если удаленные пользователи могут получить доступ к внутренним сетям
в обход МЭ, его эффективность близка к нулю. МЭ обычно используются для защиты
сегментов локальной сети организации.
Межсетевые экраны обеспечивают несколько типов защиты:
·
блокирование
нежелательного трафика;
·
перенаправление
входного трафика только к надежным внутренним системам;
·
сокрытие уязвимых
систем, которые нельзя обезопасить от атак из глобальной сети другим способом;
·
протоколирование
трафика в и из внутренней сети;
·
сокрытие
информации (имен систем, топологии сети, типов сетевых устройств и внутренних
идентификаторов пользователей, от внешней сети;
·
обеспечение более
надежной аутентификации, чем та, которую представляют стандартные приложения.
Как и для любого средства защиты, нужны определенные
компромиссы между удобством работы и безопасностью. Прозрачность - это
видимость МЭ как внутренним пользователям, так и внешним, осуществляющим
взаимодействие через МЭ, который прозрачен для пользователей, если он не мешает
им получить доступ к сети. Обычно МЭ конфигурируются так, чтобы быть
прозрачными для внутренних пользователей сети (посылающим пакеты наружу), и, с
другой стороны, МЭ конфигурируется так, чтобы быть непрозрачным для внешних
пользователей, пытающихся получить доступ к внутренней сети извне. Это обычно
обеспечивает высокий уровень безопасности и не мешает внутренним пользователям.
Важным понятием экранирования является зона риска, определяемая как
множество систем, которые становятся доступными злоумышленнику после
преодоления экрана или какого-либо из его компонентов. Для повышения надежности
защиты, экран реализуют как совокупность элементов, так что "взлом"
одного из них еще не открывает доступ ко всей внутренней сети. Экранирование и
с точки зрения сочетания с другими сервисами безопасности, и с точки зрения
внутренней организации использует идею многоуровневой защиты, за счет чего
внутренняя сеть оказывается в пределах зоны риска только в случае преодоления
злоумышленником нескольких, по-разному организованных защитных рубежей.
Экранирование может использоваться как сервис безопасности не только в сетевой,
но и в любой другой среде, где происходит обмен сообщениями.
2 Обеспечение
безопасности информации компьютерной сети ГУ-УПФР
.1 Краткая характеристика ГУ-УПФР. Архитектура сети и ее защита
защита информация сеть безопасность
Пенсионный фонд Российской Федерации (ПФР) - один из наиболее значимых
социальных институтов страны.
В структуре Пенсионного фонда - 8 Управлений в Федеральных округах
Российской Федерации, 81 Отделение Пенсионного фонда в субъектах РФ, а также
ОПФР в г. Байконур (Казахстан), а также почти 2 500 территориальных управлений
во всех регионах страны. В системе ПФР трудится более 133 000 специалистов.
Деятельность ПФР затрагивает права и обязанности в области пенсионных
правоотношений каждого из нас.
Один из основных вопросов социальной политики государства - значительный
подъем материального положения пенсионеров, резкое сокращение численности
малообеспеченных граждан. Эти масштабные задачи решает ПФР и его
территориальные органы, составной и неотъемлемой частью которых является
ГУ-УПФР по Кстовскому району.
Сегодня Управление ПФР по Кстовскому району обслуживает 68 тысяч
работающих застрахованных лиц, более 30-ти тысяч пенсионеров, 13,5 тысяч
льготников, 6,5 тысяч страхователей. Доходы в виде пенсий - второй по объему
источник доходов населения после оплаты труда.
ПФР придерживается принципов обеспечения безопасности персональных данных
своих клиентов и сотрудников с целью защиты их прав и свобод, в том числе права
на неприкосновенность частной жизни, личную и семейную тайну, а также
соблюдения требований российского законодательства.
Для соблюдения конфиденциальности персональных данных реализуются
требования к их защите от неправомерного или случайного доступа, их
уничтожения, изменения, блокирования, копирования, распространения, а также от
иных неправомерных действий с помощью правовых, организационных и технических
(программно и аппаратно реализуемых) мер.
Исторически АИС ПФР создавалась по административному признаку. Поэтому
была реализована трёхуровневая система «центр - регион - район», которая и
сейчас остаётся основной структурой. У каждого уровня системы есть свои задачи
и функции.
Корпоративная информационно-телекоммуникационная сеть ПФР реализована на
базе арендуемых каналов связи. Аренду каналов в звене «центр-регион»
обеспечивает центр, Исполнительная дирекция ПФР, а в звене «регион-район» -
каждое из отделений ПФР. То есть система имеет древовидную структуру. Схема
корпоративной сети ПФР показана в Приложении Д.
В ГУ-УПФР есть своя локальная сеть, доступ к которой имеют только
работники пенсионного фонда. Количество рабочих станций в сети - 85. Сеть имеет
топологию «звезда». Основным преимуществом такой сети является ее устойчивость
к сбоям, возникающим вследствие неполадок на отдельных ПК или из-за повреждения
сетевого кабеля.
В сети используются операционные системы Windows XP на рабочих станциях и Windows 2003 Server
на серверах.
Для обеспечения безопасности информационной системы
персональных данных ПРФ уже более 10 лет используется ПО ViPNet. Во всех
региональных отделениях ПФР созданы структурные подразделения по защите
информации, осуществляющие внедрение и администрирование межсетевых экранов и
криптошлюзов ViPNet в региональных сегментах корпоративной сети передачи данных
ПФР.
Программные и программно-аппаратные комплексы ViPNet,
разработанные компанией «ИнфоТеКС», дают возможность строить очень надежные и
высокозащищенные каналы передачи персональных данных.
Доверительность отношений, безопасность коммуникаций и технических
средств, безопасность и достоверность информационных ресурсов можно обеспечить
лишь путем создания в корпоративной сети интегрированной виртуальной защищенной
среды, что и реализует технология ViPNet. Такая защищенная среда включает:
распределенную систему межсетевых и персональных сетевых экранов, которые
обеспечивают также контроль зарегистрированных и блокировку незарегистрированных
приложений и защищающую как от внешних, так и внутренних сетевых атак;
распределенную систему шифрования трафика любых приложений и операционной
системы, которая гарантирует целостность и конфиденциальность информации, а
также обеспечивает разграничение доступа к техническим и информационным
ресурсам;
распределенную систему регистрации и оповещения об IP-адресах объектов, наличии объектов в
виртуальной сети, их состоянии и местоположении;
систему электронной цифровой подписи, которая обеспечивает достоверность
и юридическую значимость документов и совершаемых действий в соответствии с
принятым Федеральным законом «Об электронной цифровой подписи»;
систему организации виртуальных каналов доступа для отдельных компьютеров
локальной сети к открытым ресурсам внешних сетей, включая Internet, безопасную для локальной сети;
систему прозрачного шифрования информации при ее сохранении на сетевых и
локальных жестких дисках, а также других носителях, обеспечивающую
недоступность и целостность информации в процессе ее хранения и обмена данными
для несанкционированного использования;
систему контроля и управления связями, правами и полномочиями объектов
виртуальной среды, которая обеспечивает автоматизированное управление
политиками безопасности в компьютерной сети;
систему управления ключами, которая включает подсистему распределения
симметричных ключей, подсистему асимметричного распределения ключей и
управления цифровыми сертификатами;
систему межсетевого взаимодействия, обеспечивающую организацию связи
между различными виртуальными сетями ViPNet путем взаимного согласования между администрациями сетей допустимых
связей между объектами и политик безопасности;
защищенные прикладные службы обмена сообщениями и конференций в реальном
времени в корпоративной сети. Защищенную Деловую почту со службами
автопроцессинга обработки файлов, разграничения доступа к документам, службами
ЭЦП, поиска и архивирования документов.
Технология ViPNet - это набор программных модулей, установка которых на
различные компьютеры корпоративной сети обеспечивается достижение указанных
выше свойств. При этом в полной мере может использоваться уже имеющееся в
организации оборудование (компьютеры, сервера, маршрутизаторы, коммутаторы,
Firewall и т.д.).
Комплекс ViPNet может быть адаптирован как под нужды
малого предприятия или отдельного офиса, так и под корпоративные сети масштаба
федерального Министерства или Ведомства, включающие свыше 1 000 000 клиентов.
Использование Удостоверяющих центров корпоративного
уровня (УЦКУ) ViPNet позволило создавать ключи подписи сотрудников ПФР.
Информационная система ПФР регулярно проходит проверки Федеральной службы
безопасности (ФСБ России) и Федеральной службы по техническому и экспортному
контролю (ФСТЭК России). Первые решения были внедрены еще в 2001 году. На
текущий момент продукты ViPNet установлены в более 2500 филиалах ПФР.
Общая схема защиты корпоративной сети ПФР приведена в
Приложении.
Для защиты сети ГУ-УПФР на периметре ЛВС, которая интегрирована в АИС
ПФР, установлен ViPNet Координатор.
Он выполняет функции межсетевого экранирования.
Вся циркулирующая между ЛВС информация шифруется. Основной канал
взаимодействия - это арендованные каналы корпоративной сети.
При пропадании взаимодействия какой-либо пары координаторов по
арендованным каналам корпоративной сети, они автоматически устанавливают
взаимодействие через соответствующий интерфейс по интернет-каналу. При
восстановлении арендованного канала - автоматически на него возвращаются.
.2 Нормативно-правовая база защиты информации в ПФР
При организации защиты информации ПФР опирается на Федеральные законы,
нормативные акты органов исполнительной власти, а также на нормативные акты
ПФР.
Федеральные законы:
Об информации, информационных технологиях и о защите информации;
О персональных данных;
Об электронной цифровой подписи;
Об индивидуальном (персонифицированном) учете в системе государственного
пенсионного страхования;
О дополнительных страховых взносах на накопительную часть трудовой пенсии
и государственной поддержке формирования пенсионных накоплений;
О страховых взносах в Пенсионной фонд Российской Федерации, ФCC Российской Федерации, Федеральный
ФОМС и территориальные ФОМС.
Первые три из указанных законов всем известны и многие организации
основывают свою работу на них.
А защита информации Пенсионного фонда опирается ещё на ряд специфических
законов. Вторая тройка законов относится к их числу и их список этим не
исчерпывается. Тут не упомянут, например, закон о бухучёте, который
ограничивает, точнее, позволяет ограничить доступ к некоторой информации.
Нормативные акты органов исполнительной власти:
Положение об обеспечении безопасности персональных данных при их
обработке в ИСПД;
Положения о лицензировании отдельных видов деятельности, связанных с
шифровальными (криптографическими) средствами;
Порядок проведения классификации ИСПД;
Специальные требования и рекомендации по технической защите
конфиденциальной информации;
Положение о разработке, реализации и эксплуатации шифровальных
(криптографических) средств защиты информации;
Положение о методах и способах защиты информации в информационных
системах персональных данных;
Методические рекомендации ФСБ России по защите ИСПД.
Нормативные акты органов исполнительной власти по защите персональных
данных всем известны и приведены для обеспечения стройности работы. Подробно на
них останавливаться не буду, не смотря на то, что именно они в преломлении
через призму особенностей работы ПФР нашли своё отражение в его нормативных
актах по защите информации, и в первую очередь персональных данных.
Нормативные акты ПФР:
Концепция безопасности информации автоматизированной информационной
системы ПФР;
Инструкция по организации защиты информации автоматизированной
информационной системы ПФР;
Инструкция по организации криптографической защиты информации в Пенсионном
фонде Российской Федерации;
Модель угроз безопасности персональных данных при их обработке в
информационной системе ПФР;
Акт классификации информационной системы персональных данных ПФР;
Положение о порядке работы с документированной информацией конфиденциального
характера в системе ПФР;
Перечень сведений ограниченного доступа, не составляющих государственной
тайны;
Порядок формирования списков лиц, допущенных к сведениям о плательщиках
страховых взносов и к персональным данным.
К представленному перечню нормативных актов можно добавить,
разрабатываемые в каждом органе ПФР Положения по защите персональных данных
работников ПФР.
Начну рассказ о разработанных в ПФР документах не с начала списка, а с
конца.
Название последнего документа (Порядок формирования списков) говорит само
за себя. Он определяет - каким образом руководители территориальных органов ПФР
действуют при реализации делегированного им Председателем ПФР права на
формирование соответствующих списков. В первую очередь списка лиц, на основании
которого в соответствии с требованиями Положения об обеспечении безопасности
персональных данных при их обработке в ИСПД (постановление Правительства
Российской Федерации от 17 ноября 2007 года № 781) , производится допуск к
работе с персональными данными.
Перечень сведений ограниченного доступа, не составляющих государственной
тайны, именно таковым и является. В нем на полутора страницах в форме таблицы
перечислены сведения, не относящиеся к ведомству Первого отдела, доступ к
которым в ПФР ограничен.
Положение о порядке работы с документированной информацией
конфиденциального характера в системе ПФР определяет особенности
документационного обеспечения деятельности ПФР с использование сведений
ограниченного доступа.
Пять верхних документов являются квинтэссенцией всего опыта защиты
информации в ПФР в предшествующие 20 лет.
На основании Модели угроз в соответствии с требованиями Порядка
проведения классификации ИСПД (приказ ФСТЭК, ФСБ и Мининформсвязи от 13 февраля
2008 года № 55/86/20) выполнена классификация информационной системы
персональных данных ПФР.
Актом для районных сегментов АИС ПФР определён класс 3 (К3), для
сегментов регионального и федерального уровня - класс 2 и, для всей системы
соответственно - также класс 2.
В соответствии с требованиями руководящих документов ФСТЭК и ФСБ тремя
верхними документами данного списка определены задачи, направления, методы и
способы обеспечения безопасности данных.
Концепция БИ АИС ПФР утверждена постановлением Правления ПФР от 26 июля
2008 года № 1п ДСП.
Концепция определяет:
цель и стратегию достижения требуемого уровня безопасности информации АИС
ПФР;
основные направления достижения безопасности информации;
принципы реализации и функционирования системы защиты информации;
объекты защиты;
меры по обеспечению безопасности информации.
Инструкция по организации ЗИ утверждена постановлением Правления ПФР от
26 июля 2008 года № 1п ДСП.
Инструкция определяет:
цели и задачи, объекты, мероприятия и методы защиты информации;
порядок руководства защитой и органы защиты информации;
задачи подразделений ИД ПФР и отделений ПФР, обязанности должностных лиц
по организации защиты информации;
основные обязанности пользователя;
классификацию ресурсов и особенности их защиты;
задачи и мероприятия и средства защиты от НСД;
организацию защиты от вредоносных программ;
порядок авторизации пользователей;
порядок применения машинных носителей информации;
порядок копирования информационных ресурсов;
требования к прикладным программным продуктам;
формы документов.
Инструкция по организации криптозащиты в ПФР утверждена постановлением
Правления ПФР от 16 октября 2008 года № 2п ДСП.
Определяет:
организацию и обеспечение безопасности обработки информации с
использованием криптосредств;
порядок обращения с криптосредствами и криптоключами к ним;
мероприятия при компрометации криптоключей;
порядок обеспечения безопасности информации с использованием
криптосредств при взаимодействии со сторонними организациями и передаче по
каналам связи;
размещение, оборудование, охрана и организация режима специальных
помещений;
формы документов.
Модель угроз безопасности ПДн при их обработке в АИС ПФР утверждена
Председателем Правления ПФР, согласована с ФСТЭК России.
Определяет для персональных данных:
перечень угроз безопасности;
возможные последствия нарушения безопасности;
объекты угроз (основные ресурсы, содержащие ПДн, перечень информации
способствующей доступу к ПДн);
основные формы реализации угроз каждой из характеристик безопасности ПДн
в АИС ПФР;
модель нарушителя безопасности;
перечень актуальных угроз безопасности.
Если не углубляться в содержание перечисленных документов, то можно
сказать, что все они, в зависимости от их основного назначения, указывают
требования, нормы или правила по обеспечению необходимого уровня информационной
защищенности организации.
С помощью правового обеспечения можно урегулировать многие спорные
вопросы, которые часто возникают в процессе информационного обмена. Помимо
этого, образуется система административных мер, оформленная юридически, которая
позволяет применять санкции к нарушителям внутренней политики безопасности.
.3 Задачи, направления и основные мероприятия защиты в ГУ-УПФР
В качестве задач защиты информации в ГУ-УПФР определяется обеспечение или
сохранение каждой из её характеристик безопасности, которые определены
Концепцией безопасности информации автоматизированной информационной системы
ПФР, а именно конфиденциальности, целостности, аутентичности (легитимности) и
доступности данных.
Решение указанных задач по обеспечению характеристик безопасности
организуется и реализуется по следующим направлениям:
- санкционирование доступа к ресурсам (конфиденциальность, целостность,
доступность, аутентичность);
защита от вредоносных программ (конфиденциальность, целостность,
доступность);
резервное копирование информационных ресурсов (целостность, доступность);
мониторинг состояния ресурсов (анализ эффективности защиты и разработка
направлений её совершенствования).
Каждое из этих направлений защиты обеспечивает в той или иной мере если
не все, то несколько характеристик безопасности информации.
Санкционирование доступа:
- допуск к работе с ресурсами (перечень ресурсов; таблица допуска к
ресурсам; списки лиц, допущенных к ПДн и сведениям о ПСВ);
санкция на вход в систему (пароль, загрузка только с НМЖД, минимизация
прав пользователя, опечатывание системного блока, доверенная загрузка);
санкция на доступ к сетевым ресурсам (пароль, сертификат);
безопасное хранение аутентифицирующих данных (электронные ключи);
блокирование портов ввода-вывода (программное или механическое).
Санкционирование доступа к ресурсам, то есть исключение
несанкционированного доступа организуется на всех этапах доступа к информации:
от получения средства такого доступа (включения компьютера) до
непосредственного предоставления информации.
Так уж повелось, что конфиденциальность в мире компьютеров в первую
очередь держится на авторизированном доступе (через пару логин/пароль). А
качество конфиденциальности и защиты информации непосредственно зависит от
того, какие используются пароли, а так же где и как они хранятся.
При выборе пароля важно решить три вопроса: размер пароля; устойчивость
пароля к несанкционированному доступу; способ его применения.
Метод паролей характеризуется простотой реализации и использования и
низкой стоимостью. Пароль - это строка символов, которую пользователь должен
ввести на клавиатуре. Если пароль соответствует хранящемуся в памяти, то
пользователь может пользоваться всей информацией, доступ к которой ему
разрешен. Пароль можно также использовать для защиты файлов, записей, полей
данных внутри записей и т.д.
Пароль вводится пользователем в начале работы, а иногда и в конце сеанса.
Иногда предусматривается ввод пароля несколько раз (например, два раза как факт
контрольной защиты информации), или периодически в течение всего рабочего
времени.
Различают несколько типов паролей: простой пароль, пароль на основе
определенного алгоритма, пароль однократного использования, пароль,
основывающийся на методе «запрос-ответ», пароль на основе выбора символов.
При работе с паролями рекомендуются следующие правила и меры
предосторожности:
пароли не следует отображать на экран;
чем больший период времени используется пароль, тем выше вероятность его
раскрытия, следовательно, пароли нужно менять часто;
пользователи сами хранят свои пароли, не позволяя посторонним узнать его;
длину пароля следует выбрать правильно: чем больше длина пароля, тем
лучше будет защищена система, так как потребуется много времени и сил, чтобы
его подобрать;
состав пароля должен включать большие и маленькие буквы, числа и
специальные символы.
При выработке паролей в ГУ-УПФР используются вышеизложенные правила.
Чтобы исключить компрометацию паролей для хранения аутентифицирующей
информации применяются электронные ключи.
eToken
(от англ.
<#"550671.files/image001.gif">
Рисунок
2. Окно Log On to Windows
Если в памяти eToken имеется более одного профиля, нужно выбрать один из
списка в поле User name.
В поле Token Password надо ввести пароль пользователя eToken и нажать
кнопку «OK».
Все установленные ключи обязательно регистрируются в аппаратном журнале
учета ключей (Приложение Е).
Для исключения возможности несанкционированного вывода информации на
съёмные носители порты ввода-вывода контролируются: либо блокируются
программными средствами или создаются физические препятствия, такие как
отключение, пломбирование (голографические наклейки).
Криптографическая защита при обеспечении конфиденциальности применяется в
основном при обмене информаций. Чтобы скрыть содержание представляемой
информации производится шифрование данных. Зашифрованные данные будут доступны
только тому, кто знает соответствующий ключ, с помощью которого можно
расшифровать сообщение. А, значит, похищение зашифрованных данных без знания
ключа становится бесперспективным. Зашифрованные данные, которые передаются по
каналам связи, критичны к искажениям. В ГУ-УПФР применяются две технологии
криптозащиты: ViPNet и «Верба». Так вот, при передаче
информации из ЛВС в канал корпоративной сети любые данные на входе в канал
шифруются средствами ViPNet,
а принимаемые данные ими же расшифровываются и передаются в ЛВС.
Кроме канального шифрования применяется и абонентское шифрование по
технологии ViPNet. Технология ViPNet применяется в ГУ-УПФР для связи строго очерченного
круга лиц. Администратор ViPNet
- сети должен определять - кто из её абонентов и с кем может иметь связь.
Технология «Верба» применяется для обеспечения абонентского шифрования,
при котором адресанты сами могут выбрать адресата из числа пользователей, чей
открытый ключ шифрования они имеют. Методы шифрования, которые используются в
СКЗИ «Верба - OW» гарантируют высокую секретность и
эффективное обнаружение искажений или ошибок в передаваемой информации.
Электронная цифровая подпись - это средство, которое позволяет, основываясь на
криптографических методах надежно устанавливать авторство и подлинность
электронного документа. При безбумажном документообороте электронная цифровая
подпись позволяет заменить печать и подпись, которые применяются традиционно.
При построении цифровой подписи выступает сложная математическая зависимость
между электронным документом, секретным и общедоступным ключами. Практически
невозможно подделать электронную цифровую подпись. Этот вывод опирается на
очень большой объем определенных математических вычислений. Подпись,
проставленная под документом, не меняет сам документ, она только дает
возможность проверить подлинность и авторство полученной информации.
Программа может работать со следующими ключевыми носителями: дискета;
Smart Card; Touch Memory. В ГУ-УПФР по Кстовскому району в качестве ключевого
носителя используется дискета.
Перед началом работы происходит считывание данных с ключевого носителя.
После загрузки данных с ключевой дискеты открывается основное окно с главной
панелью управления программой.
В программе можно использовать следующие функции: шифрование файлов;
проставление электронной цифровой подписи (ЭЦП); проставление ЭЦП и шифрование
файлов; расшифровывание файлов; снятие подписей под файлами; расшифровывание и
снятие ЭЦП; проверка ЭЦП; проверка шифрованных файлов; работа со справочником
открытых ключей подписи.
Создавать и изменять справочники открытых ключей подписи и шифрования
можно в окне «Настройки». В этом же окне можно конфигурировать параметры
программы.
Обе указанные технологии криптозащиты обеспечивают в ГУ-УПФР применение
электронной цифровой подписи.
Следующее направление защиты информации - противодействие вредоносным
программам или, иначе говоря, антивирусная защита.
Для антивирусной защиты в ГУ-УПФР по Кстовскому району используются
специализированные продукты «Лаборатории Касперского». В дистрибутив Kaspersky
Administration Kit включены агент администрирования, Антивирус Касперского для
рабочих станций, Антивирус Касперского для серверов.
Установку антивирусного ПО на рабочих станциях можно осуществить
несколькими способами: с использованием сценариев запуска (LoginScript),
рассылка через групповые политики Active Directory, с использованием агента
администрирования.
В консоли управления есть возможность создания любого количества групп.
Что позволяет легко перемещать компьютеры из одной группы в другую. Для каждой
группы можно задать свои политики.
В режиме реального времени можно с помощью консоли управления наблюдать за
состоянием защищаемой сети. Статистические данные реализованы через
всевозможные графики, диаграммы, таблицы и т.д. Самые необходимые для
отслеживания параметры уже предустановлены, также имеется возможность
самостоятельно создавать нужные выборки.
Отчеты можно сохранять в форматах XML, XTML, PDF. Экспортируемые отчеты
сохраняются на локальном компьютере, где установлена консоль управления.
Один из предустановленных отчетов - это отчет о состоянии защиты. Он
позволяет быстро определить, какие проблемы и где имеются. Он также содержит
информацию о состоянии системы антивирусной защиты на клиентских компьютерах.
Можно детально настроить выводимые данные, к которым может быть применен данный
отчет. Имеется возможность добавления практически любой информации.
Все предустановленные отчеты по умолчанию дублируются в графическом виде.
Что дает возможность наглядно посмотреть состояние и результат.
Данный набор продуктов современен, прост и надежен в использовании, также
он обеспечивает высокий уровень защиты, гибкое администрирование и качественный
контроль состояния защиты.
Все мероприятия по установке, настройке, удалению АПО и проведению
инструктажа по работе с ним, обязательно оформляются в журнале (Приложение Ж).
Также обязательно осуществляется контроль проведения еженедельной антивирусной
проверки рабочих станций.
Такая система антивирусной защиты позволяет обеспечить управление
антивирусными средствами на всю глубину их построения. Она позволяет оценить
ситуацию в реальном времени, обеспечивает массу статистического материала.
Теперь перейдём к обеспечению сохранности данных путём резервного
копирования.
Резервное копирование информационных ресурсов:
копирование на съёмные носители (различная периодичность, учёт процедур
копирования, комплект носителей; раздельное хранение копий, назначение
ответственных, их дублёров);
дублирование ресурсов на уровне вычислительных средств (рассредоточение
мест положения средств);
дублирование на уровне функциональных систем (СПУ на базе серверов iSeries дублируется на уровне отделений
системой на базе Intel-серверов);
процедура восстановления ресурса из резервной копии (коллегиальность,
документальное оформление).
Основной метод обеспечения возможности восстановления разрушенного
информационного ресурса - периодическое резервное копирование соответствующего
ресурса.
Самый распространённый способ копирования - копирование данных на съёмный
носитель. В качестве таких носителей применяются оптические диски, магнитные
ленты, накопители на жёстких магнитных дисках.
Периодичность копирования, метод копирования, тип носителя и число
резервных копий определяется аппаратной платформой ресурса, его объёмом,
изменчивостью данных, необходимым временем восстановления и пр.
Для обеспечения целостности баз данных программно-технического комплекса
системы персонифицированного учёта (ПТК СПУ) используется программный комплекс
«Курсив», который обеспечивает протоколирование на магнитную ленту всех
изменений вносимых в базу. На каждый день недели имеется своя лента. В
последний день рабочей недели производится копирование всей базы сервера. Таким
образом, «Курсив» используя копию базы в совокупности с ежедневными
протоколами, позволяет восстановить данные на момент последнего
запротоколированного изменения.
В процессе сохранения используются тома магнитных лент (МЛ) со следующими
именами:
WEEK1, WEEK2, WEEK3 - при ручном (недельном) сохранении информационных
объектов;
DAY1, DAY2, DAY3, DAY4, DAY5 -при автоматическом сохранении изменений
информационных объектов.
Цикл сохранения начинается с ручного (недельного) сохранения в пятницу на
том WEEK1.
После выполнения ручного сохранения том WEEK1 извлекается из накопителя на магнитной ленте (НМЛ),
и на его место устанавливается том DAY5. Если сохранение выполнялось не в пятницу, то на экране будет
предложено установить том DAYx,
соответствующий текущему дню недели. На том DAY5 будет выполняться автоматическое сохранение до
понедельника.
В понедельник при входе в процедуру сохранения нужно заменить том DAY5 на том DAY1. На том DAY1 будет выполняться автоматическое сохранение до вторника. Во вторник,
среду и четверг выполняются аналогичные действия по замене тома МЛ.
В пятницу выполняется ручное (недельное) сохранение на том WEEK2 и цикл сохранения повторяется.
Последовательность замен лент в процессе цикла сохранения приведена на
рисунке 3.
|
пятница
|
суббота
|
воскр.
|
пон.
|
вторник
|
среда
|
четверг
|
пятница
|
суббота
|
|
WEEK1
|
DAY5
|
DAY1
|
DAY2
|
DAY3
|
DAY4
|
WEEK2
|
DAY5
|
Рисунок 3. Цикл сохранения
При попадании праздничного или выходного дня на пятницу еженедельное
сохранение базы данных проводится в последний рабочий день недели.
Проводимые сохранения информационных объектов фиксируются в журнале
учёта, а после извлечения из НМЛ том МЛ с сохранённой информацией помещается в
несгораемый сейф.
Приказом начальника ГУ-УПФР назначается лицо, ответственное за выполнение
резервного копирования ресурса, его дублёр на случай отсутствия, состав
комиссии по восстановлению разрушенного ресурса из копии.
Для каждого ресурса разрабатывается соответствующая технологическая
инструкция резервного копирования (что в каком порядке копировать и
восстанавливать). Определяются места рассредоточенного хранения экземпляров
копии.
Мониторинг состояния информационных ресурсов проводится на региональном и
федеральном уровнях. Он обеспечивает оперативность информации о состоянии
информационных ресурсов, позволяет анализировать эффективность мер защиты и
своевременно принимать меры по её совершенствованию.
Для мониторинга баз данных, реализуемых на платформе серверов AS/400, разработана и успешно эксплуатируется
специальная программа «Астра». Она с заданной периодичностью собирает на
региональном сервере AS/400
информацию о состоянии баз данных подчинённых районных серверов и регионального
сервера.
Консоли этой программы имеются в каждом подразделении по защите
информации, т.е. в каждом регионе. Региональному администратору безопасности
доступны отчёты со всех серверов AS/400
своего отделения. Администратору федеральному доступны отчёты всех серверов AS/400. Таким образом, обеспечивается
двойной контроль за состоянием баз на всех региональных и районных серверах.
Задачи мониторинга выполняют также и центральные антивирусные серверы.
В силу того, что в ГУ-УПФР в основном обрабатываются персональные данные,
обеспечение конфиденциальности которых стало столь актуальным в последние годы,
трудно выделить особенности их защиты по сравнению с другими данными. Поэтому
защита всей информации организована одинаково. И все, что касается защиты
информации в общем, в не меньшей мере относится и к защите персональных данных,
за исключением некоторых организационных моментов.
Основные мероприятия по защите информации, проводимые в ГУ-УПФР,
разделяют на правовые, организационные и технические.
Правовые:
- определение порядка информационного взаимодействия. Этот пункт весьма
важен в условиях функционирования ГУ-УПФР, который взаимодействует на различных
уровнях со множеством организаций. Обмен информацией с ними регулируется
двухсторонними соглашениями. Непременным условием предоставления ГУ-УПФР
информации другим организациям, закрепляемым в соглашениях, является
обеспечение конфиденциальности персональных данных. Таким образом реализуется
юридическая защита персональных данных;
- разработка инструкций по вопросам обработки персональных данных,
устанавливающих процедуры, направленные на предотвращение и выявление нарушений
законодательства Российской Федерации;
устранение последствий таких нарушений.
Организационные:
документальное оформление требований к безопасности обрабатываемых
данных;
назначение лиц, ответственных за организацию обработки персональных
данных;
издание системы нормативных (руководящих) документов по организации
защиты данных;
распределение ответственности по вопросам защиты данных между
должностными лицами и работниками органов системы ПФР;
установление персональной ответственности работников органов системы ПФР
за обеспечение безопасности обрабатываемых данных;
контроль выполнения подразделениями, должностными лицами и работниками
органов ПФР требований нормативных документов по защите данных;
своевременное выявление угроз безопасности данных и принятие
соответствующих мер защиты;
регламентирование порядка применения средств ввода-вывода данных и
контроль его выполнения;
содержание штата специалистов по защите информации, организация системы
их профессиональной подготовки и повседневной деятельности;
придание мероприятиям защиты информации характера обязательных элементов
производственного процесса ПФР, а требованиям по их исполнению - элементов
производственной дисциплины;
доведение до работников ПФР требований по защите данных и обучение их
правилам работы в АИС.
Технические:
резервное копирование информационных ресурсов;
применение прикладных программных продуктов, отвечающих требованиям
защиты данных;
организация контроля доступа в помещения и здания ПФР, их охрана в
нерабочее время;
систематический анализ безопасности данных и совершенствование системы их
защиты;
применение технических средств защиты, сертифицированных компетентными
государственными органами (организациями) на соответствие требованиям безопасности;
своевременное применение критических обновлений общесистемного и
прикладного программного обеспечения;
оптимальная настройка операционной системы и прикладного программного
обеспечения вычислительных средств, применяемых для обработки данных;
использование корпоративной информационно-телекоммуникационной сети для
обеспечения информационного взаимодействия органов ПФР;
шифрование данных при передаче и хранении (криптографическая защита);
использование электронной подписи;
применение межсетевых защитных (фильтрующих) экранов;
антивирусный мониторинг и детектирование;
мониторинг процессов и действий пользователей наиболее важных аппаратных
и информационных ресурсов;
оборудование зданий и помещений системами безопасности (пожарной и
охранной сигнализации, пожаротушения, телевизионного наблюдения и т.п.);
хранение парольной и ключевой информации на индивидуальных электронных
ключах;
применение в архитектуре вычислительных систем технологий и средств
повышения надёжности их функционирования и обеспечения безопасности информации;
применение средств технической укреплённости зданий и помещений;
противопожарная защита зданий и помещений.
Заключение
Актуальность проблемы защиты информации в современном мире определяется
следующими факторами:
- быстрый рост парка средств вычислительной техники, расширение областей
применения ПЭВМ;
вовлечение в процесс информационного взаимодействия все большего числа
людей и организаций;
отношение к информации, как к товару, переход к рыночным отношениям, с
присущей им конкуренцией и промышленным шпионажем, в области создания и сбыта
(предоставления) информационных услуг;
концентрация больших объемов информации различного назначения и
принадлежности на электронных носителях;
количественное и качественное совершенствование способов доступа
пользователей к информационным ресурсам;
многообразие видов угроз и возможных каналов несанкционированного доступа
к информации;
рост числа квалифицированных пользователей вычислительной техники и
возможностей по созданию ими программно-математических воздействий на систему.
Закономерно, что при таких условиях возникает потребность в защите
вычислительных систем и информации от несанкционированного доступа, кражи,
уничтожения и других преступных и нежелательных действий.
Реализация угроз информационной безопасности заключается в нарушении
конфиденциальности, целостности и доступности информации.
В первой главе выпускной квалификационной работы мною были рассмотрены
проблемы и особенности защиты компьютерных сетей, проанализированы угрозы,
рассмотрены методы и средства ЗИ.
Специфика распределенных АС, с точки зрения их уязвимости, связана в
основном с наличием интенсивного информационного взаимодействия между
территориально разнесенными и разнородными (разнотипными) элементами.
Уязвимыми являются буквально все основные структурно-функциональные
элементы распределенных АС: рабочие станции, серверы (Host-машины), межсетевые
мосты (шлюзы, центры коммутации), каналы связи.
Защита информации на сегодняшний день стала по-настоящему острой и
актуальной проблемой, в связи с быстрым и бурным развитием информационных
технологий. Главная тенденция, которая характеризует развитие современных
информационных технологий - это все больший рост компьютерных преступлений и
связанных с ними хищений конфиденциальной информации, а вследствие этого и
больших материальных потерь.
Игнорируя проблемы защиты информации, компьютерные сети просто не смогут
нормально функционировать и развиваться.
В первой главе работы мною дана краткая характеристика ПФР, список
нормативно-правовых документов, на которые организация опирается в работе по
защите информации. Описана архитектура корпоративной сети и общая схема ее
защиты. Также были рассмотрены основные задачи и их решение по направлениям:
санкционирование доступа к ресурсам, криптографическая защита, защита от
вредоносных программ, резервное копирование, мониторинг состояния ресурсов.
Определены организационные и технические мероприятия по защите компьютерной
сети.
Во второй главе я рассмотрел некоторые способы защиты, которые применяются
в ГУ-УПФР по Кстовскому району. Очень важной задачей является защита
корпоративной сети от несанкционированного доступа. Для этого в организации
используются электронные ключи, установлены пароли, используется
криптографическая защита.
Чтобы исключить заражение корпоративной сети компьютерными вирусами, в
ГУ-УПФР по Кстовскому району используются специализированные продукты
«Лаборатории Касперского». Этот пакет прост и надежен в использовании,
обеспечивает высокий уровень защиты, гибкое администрирование и качественный
контроль состояния защиты.
В процессе прохождения практики, мною были успешно выполнены все задания,
порученные руководителем практики, а также приобретены следующие навыки и
умения:
установка и настройка электронных ключей eToken;
работа с программой криптографической защиты СКЗИ «Верба» (проставление
ЭЦП и шифрование файлов, расшифровывание файлов, расшифровывание и снятие ЭЦП
под файлами, проверка ЭЦП под файлами, проверка шифрованных файлов, работа со
справочником открытых ключей);
установка и настройка антивирусного программного обеспечения на рабочих
станциях;
проведение инструктажа с пользователями по работе с АПО;
оформление журналов по установке АПО и аппаратного учета ключей;
осуществление контроля проведения еженедельной антивирусной проверки
рабочих станций.
Проанализировав доступную мне информацию об организации защиты в ГУ-УПФР
по Кстовскому району, я сделал следующий вывод - в этой организации есть
грамотно построенная, хорошо отлаженная и надежно работающая система защиты.
Для совершенствования работы организации мне хотелось бы внести следующие
предложения:
с целью дальнейшего совершенствования антивирусной защиты организации,
ввести в эксплуатацию дополнительное (дублирующее) антивирусное программное
обеспечение, например, «Доктор Web»;
полностью оснастить все компьютеры, работающие с конфиденциальной
информацией электронными ключами.
Пройденная производственно-технологическая практика имеет для меня
большое практическое значение, так как:
я получил подкрепление теоретических знаний и умений, полученных во время
обучения, практической работой;
ознакомился с законодательными и нормативными документами, которые
применяются в практической работе;
получил практические навыки по защите информации в корпоративной сети;
узнал о функциональности, составе и предназначении продуктов, входящих в
состав Антивируса Касперского для рабочих станций и серверов Windows;
разобрался в оптимизации работы Антивируса Касперского в больших и
разнородных сетях;
получил навыки поддержки и мониторинга работы системы антивирусной
защиты;
получил навыки обучения персонала при работе с антивирусным программным
обеспечением;
освоил некоторые компьютерные программы, которые используются для защиты
информации в профессиональной деятельности.
Глоссарий
|
№ п/п
|
Понятие
|
Определение
|
|
1
|
Абонентское шифрование
(оконечное)
|
защита информации,
передаваемой средствами телекоммуникаций криптографическими методами,
непосредственно между отправителем и получателем.
|
|
2
|
Автоматизированная
информационная система, АИС
|
совокупность программных и
аппаратных средств, предназначенных для создания, передачи, обработки,
распространения, хранения и/или управления данными и информацией и
производства вычислений.
|
|
3
|
Авторизация
|
предоставление доступа
пользователю, программе или процессу.
|
|
4
|
Авторизованный субъект
доступа
|
субъект, которому
предоставлены соответствующие права доступа к объектам системы (полномочия)
|
|
5
|
Атака
|
нарушение безопасности
информационной системы, позволяющее захватчику управлять операционной средой.
|
|
6
|
Аутентификация
|
проверка подлинности
идентификации пользователя, процесса, устройства или другого компонента
системы (обычно осуществляется перед разрешением доступа); а также проверка
целостности и авторства данных при их хранении или передаче для
предотвращения несанкционированной модификации
|
|
7
|
Безопасность информационной
системы
|
Защищенность от случайного
или преднамеренного вмешательства в нормальный процесс функционирования, от
попыток несанкционированного получения информации, модификации или
физического разрушения компонентов
|
|
8
|
Доступ к информации
|
ознакомление с информацией
(копирование, тиражирование), ее модификация (корректировка) или уничтожение
(удаление)
|
|
9
|
Доступ к ресурсу
|
получение субъектом
возможности манипулировать (использовать, управлять, изменять характеристики
и т.п.) данным ресурсом
|
|
10
|
Защита информации
|
деятельность по
предотвращению утечки защищаемой информации, несанкционированных и
непреднамеренных воздействий на защищаемую информацию
|
|
11
|
Идентификация
|
процесс распознавания
элемента системы, обычно с помощью заранее определенного идентификатора или
другой уникальной информации; каждый субъект или объект системы должен быть
однозначно идентифицируем
|
|
12
|
Информационная безопасность
|
Состояние защищенности
обрабатываемых, хранимых и передаваемых данных от незаконного ознакомления,
преобразования и уничтожения, а также состояние защищенности информационных
ресурсов от воздействий, направленных на нарушение их работоспособности
|
|
13
|
Метод (способ) защиты
информации
|
порядок и правила
применения определенных принципов и средств защиты информации
|
|
14
|
Несанкционированное
действие
|
действие субъекта в
нарушение установленных в системе правил обработки информации
|
|
15
|
Несанкционированный доступ
(НСД)
|
доступ субъекта к объекту в
нарушение установленных в системе правил разграничения доступа
|
|
16
|
Объект
|
пассивный компонент
системы, единица ресурса автоматизированной системы (устройство, диск,
каталог, файл и т.п.), доступ к которому регламентируется правилами
разграничения доступа
|
|
17
|
Правила разграничения
доступа
|
совокупность правил,
регламентирующих права доступа субъектов к объектам в некоторой системе
|
|
18
|
Средство защиты информации
|
техническое, программное
средство, вещество и (или) материал, предназначенные или используемые для
защиты информации
|
|
19
|
Субъект
|
активный компонент системы
(пользователь, процесс, программа), действия которого регламентируются
правилами разграничения доступа
|
|
20
|
Угроза безопасности
информации
|
события или действия,
которые могут привести к искажению, неразрешенному использованию или к разрушению
информационных ресурсов управления системы, а также программных и аппаратных
средств
|
Список
использованных источников
1 Андрончик
А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И.,
Хорьков Д. А., Щербаков М. Ю. Защита информации в компьютерных сетях.
Практический курс: учебное пособие / А. Н. Андрончик, В. В. Богданов, Н. А.
Домуховский, А. С. Коллеров, Н. И. Синадский, Д. А. Хорьков, М. Ю. Щербаков;
под ред. Н. И. Синадского. Екатеринбург : УГТУ-УПИ, 2008. 248 с.
Биячуев
Т.А. Безопасность корпоративных сетей. /Под ред. Л.Г.Осовецкого. - СПб: СПб ГУ
ИТМО, 2009. - 420 с. - ISBN: 5-279-02549-6
Безбогов
А.А. Методы и средства компьютерной информации: учебное пособие / А.А.Безбогов,
А.В.Яковлев, В.Н. Шамкин. - Тамбов : Изд-во Тамб. Гос. Техн. Ун-та, 2006.-196
с. - ISBN
5-8265-0504-4
4 Борисов М.А.
<http://www.biblion.ru/author/194412/>, Заводцев И.В.
<http://www.biblion.ru/author/256500/>, Чижов И.В.
<http://www.biblion.ru/author/256501/> Основы программно-аппаратной
защиты информации : Книжный дом "Либроком", 2012.- 376 с.
Гордеев А.В.
Операционные системы: Учебник для вузов. 2-е изд. - СПб.: Питер, 2009. - 416
с.:ил.
Гришина Н. В.
Организация комплексной системы защиты информации. - М.: Гелиос АРВ, 2007. -
256 с, ил.
Журнал «CHIP»
№12 декабрь 2011
Журнал сетевых
решений LAN декабрь 2010
Журнал «Системный
Администратор» №12(109) декабрь 2011
Избачков Ю.С.,
Петров В.Н., Васильев А.А., Телина И.С. Информационные системы: Учебник для
вузов. 3-е изд. - СПб.: Питер, 2011.-544 с.:ил.
Информационные
технологии : учебник / под ред. В.В. Трофимова. - М.: Издательство Юрайт,2011.
- 624 с. - (Основы наук).
Исаев А.Б.
Современные технические методы и средства защиты информации: Учеб. пособие. -
М.: РУДН, 2008. - 253 с.: ил.
Лукашин В. И.
Информационная безопасность. М-во общ. и проф. образования Рос. Федерации,
Моск. гос. ун-т экономики, статистики и информатики, Междунар. акад. наук высш.
шк.Учеб.-практ. Пособие. - М.: МЭСИ, 2008. - 230 с. - ISBN: 5-279-02606-9
Материалы сайта
«Википедия - свободная энциклопедия». [Электронный ресурс]. - Режим доступа:
http://ru.Wikipedia.org
Материалы сайта
«Защита информации и Информационная безопасность». [Электронный ресурс]. -
Режим доступа: http://www.zashita-informacii.ru
Материалы сайта «Интернет-Университет
Информационных технологий». [Электронный ресурс]. - Режим доступа: http://www.intuit.ru
Материалы сайта
«Консультант Плюс онлайн - некоммерческие интернет-версии системы».
[Электронный ресурс]. - Режим доступа: http://www.consultant.ru/online
Материалы сайта
«Лаборатория Касперскрго». [Электронный ресурс]. - Режим доступа:
http://www.kaspersky.ru/
Материалы сайта
«Пенсионный фонд Российской Федерации». [Электронный ресурс]. - Режим доступа:
http://www.pfrf.ru
Мельников В.П.
Информационная безопасность и защита информации. 5-е изд., стер. - М.:
Академия, 2011. - 336 с.
Основы
информационной безопасности. Учебное пособие для вузов / Е. Б. Белов, В. П.
Лось, Р. В. Мещеряков, А. А. Шелупанов. -М.: Горячая линия - Телеком, 2006. -
544 с.: ил.
Программно-аппаратная
защита информации: учеб. Пособие /С.К. Варлатая, М.В. Шаханова. - Владивосток:
Изд-во ДВГТУ, 2007.
Пятибратов А.П.,
Гудыно Л.П., Кириченко А.А. Вычислительные системы, сети и телекоммуникации. -
3 изд. Учебник для вузов. - М.: Финансы и статистика, 2010. - 680 с. -ISBN:
5-93455-094-2
Родичев Ю.А.
Компьютерные сети: архитектура, технологии, защита : учеб. Пособие для вузов. -
Самара : изд-во «Универс-групп», 2006. - 468с. - ISBN
5-467-00067-5
Романец Ю.В.,
Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях /
Под ред. В.Ф. Шаньгина. - 2-е изд., перераб. И доп.-М.: Радио и связь,
2001.-376 с.:ил.
Хорев П. Б. Методы и
средства защиты информации в компьютерных системах. - М.: Академия, 2006. - 430
с. - ISBN: 5-908916-87-8
Хорев П. Б.
Программно-аппаратная защита информации: учебное пособие - М.: ИД «Форум»,
2011. - 352 с.
Шаньгин В.Ф.
Информационная безопасность компьютерных систем и сетей: учеб. пособие. - М.:
ИД «Форум»: ИНФРА-М, 2008. - 416 с.: ил. - (Профессиональное образование).
Шаньгин В.Ф.
Комплексная защита информации в корпоративных системах: Учебное пособие. - М.:
ИД «Форум»: ИНФРА-М, 2010. - 592 с.: ил.
Ясенев В.Н.
Информационная безопасность в экономических системах: Учебное пособие - Н. Новгород:
Изд-во ННГУ, 2006 - 253 с. - ISBN: 5-85746-736-6
Список
сокращений
АИС - автоматизированная информационная система
АПО - антивирусное программное обеспечение
ГУ-УПФР - Государственное учреждение - Управление Пенсионного Фонда
Российской Федерации по Кстовскому району Нижегородской области
ИСПД - информационная система персональных данных
ЛВС - локальная вычислительная сеть
МЛ - магнитная лента
НМЛ - накопитель на магнитной ленте
ПО - программное обеспечение
ПТК СПУ - программно-технический комплекс «Система персонифицированного
учета»
ПФР - Пенсионный фонд Российской Федерации
СКЗИ - средства криптографической защиты информации
ФОМС - фонд обязательного медицинского страхования
ФСБ - федеральная служба безопасности
ФСС - фонд социального страхования
ЭЦП - электронная цифровая подпись