Разработка или поиск готовых решений для предупреждения угроз системе информационной безопасности.
Исходя из определенных выше задач, будет строиться структура моей выпускной квалификационной работы.
1. Структура и особенности ОС Linux
- свободно распространяемая версия UNIX, первоначально была разработана Линусом Торвальдсом. Linux был создан с помощью многих UNIX-программистов и энтузиастов из Internet, тех, кто имеет достаточно навыков и способностей развивать систему. Ядро Linux не использует коды AT&T или какого-либо другого частного источника, и большинство программ Linux разработаны в рамках проекта GNU из Free Software Foundation в Cambridge, Massachusetts.поддерживает широкий спектр программных пакетов от TeX до X Windows, компиляторов GNU C/C++, протоколов TCP/IP. Это гибкая реализация ОС UNIX, свободно распространяемая под генеральной лицензией GNU. Относительно появления Linux версии 0.01 никогда не делалось никаких официальных заявлений. Исходные тексты 0.01 не давали даже нормального выполняемого кода: они фактически состояли лишь из набора заготовок для ядра и предполагали, что вы имеете доступ к Minix-машине, чтобы иметь возможность компилировать их и совершенствовать. 5-го октября 1991 года Линус объявил первую «официальную» версию Linux, версия 0.02. Вновь это рассматривалось как создание некой хакерской системы. Основное внимание - создание ядра. Никакие вопросы поддержки работы с пользователем, документирования, тиражирования и т.п. даже не обсуждались. И сегодня сообщество Linux-истов считает эти вопросы вторичными по сравнению с «настоящим программированием» - развитием ядра. После версии 0.03 Линус перешел в нумерации к версии 0.10, так как над проектом стало работать много народу. После нескольких последовавших пересмотров версий, Линус присвоил очередной версии номер 0.95, чтобы тем самым отразить свое мнение о том, что скоро возможна уже «официальная» версия. Это было в марте 1992 г. Примерно через полтора года - в декабре 1993 версия ядра все еще была Linux 0.99.pl14 - асимптотически приближаясь к 1.0.
Сегодня Linux - это полноценная ОС семейства UNIX, способная работать с X Windows, TCP/IP, Emacs, UUCP, mail и USENET. Практически все важнейшие программные пакеты были поставлены и на Linux, т.е. для Linux теперь доступны и коммерческие пакеты. Все большее разнообразие оборудования поддерживается по сравнению с первоначальным ядром. Многие тестировали Linux на IBM-486 и установили, что он вполне сравним с рабочими станциями Sun Microsystems и Digital Equipment Corporation.- это полная многозадачная многопользовательская операционная система (точно также как и другие версии UNIX). Linux достаточно хорошо совместим с рядом стандартов на уровне исходных текстов, включая IEEE POSIX.1, System V и BSD.
Другие специфические внутренние черты Linux включают контроль работ по стандарту POSIX (используемый оболочками, такими как csh и bash), псевдотерминалы (pty), поддержку национальных и стандартных клавиатур динамически загружаемыми драйверами клавиатур.
Ядро может само эмулировать команды 387-FPU, так что системы без сопроцессора могут выполнять программы, на него рассчитывающие (т.е. с плавающей точкой).поддерживает различные типы файловых систем для хранения данных. Некоторые файловые системы, такие как файловая система ext2fs, были созданы специально для Linux. Поддерживаются также другие типы файловых систем, такие как Minix-1 и Xenix. Реализована также файловая система MS-DOS, позволяющая прямо обращаться к файлам MS-DOS на жестком диске. Поддерживается также файловая система ISO 9660 CD-ROM для работы с дисками CD-ROM.обеспечивает полный набор протоколов TCP/IP для сетевой работы. Поддерживается весь спектр клиентов и услуг TCP/IP, таких как FTP, telnet, NNTP и SMTP.
Ядро Linux сразу создано с учетом специального защищенного режима для процессоров Intel 80386 и 80486. В частности, Linux использует парадигму описания памяти в защищенном режиме и другие новые свойства процессоров.
Для увеличения объема доступной памяти Linux осуществляет также разбиение диска на страницы: то есть на диске может быть выделено до 256 Мбайт «пространства для свопинга» (swap space). Когда системе нужно больше физической памяти, то она с помощью свопинга выводит неактивные страницы на диск. Это позволяет выполнять более объемные программы и обслуживать одновременно больше пользователей. Однако свопинг не исключает наращивания физической памяти, поскольку он снижает быстродействие, увеличивает время доступа. Ядро также поддерживает универсальный пул памяти для пользовательских программ и дискового кэша. При этом для кэша может использоваться вся память, и наоборот, кэш уменьшается при работе больших программ. Выполняемые программы используют динамически связываемые библиотеки, т.е. выполняемые программы могут совместно использовать библиотечную программу, представленную одним физическим файлом на диске. Это позволяет выполняемым файлам занимать меньше места на диске, особенно тем, которые многократно используют библиотечные функции. Есть также статические связываемые библиотеки для тех, кто желает пользоваться отладкой на уровне объектных кодов или иметь «полные» выполняемые программы, которые не нуждаются в разделяемых библиотеках. В Linux разделяемые библиотеки динамически связываются во время выполнения, позволяя программисту заменять библиотечные модули своими собственными. Linux на сегодняшний день - самая распространенная бесплатная операционная система с открытым исходным кодом.
При ее разработке из мира семейства UNIX старались взять все лучшее. Благодаря участию десятков тысяч разработчиков программного обеспечения и координации их действий через Интернет Linux и программное обеспечение для нее развивается очень динамично, ошибки и различные проблемы в программном обеспечении, как правило, исправляются в считанные часы после их обнаружения. Большую помощь в развитии и распространении Linux и сопутствующего, ему программного обеспечения оказали фонд Свободного программного обеспечения (Free Software Foundation, USA) и лицензия GNU (The GNU General Public License, Универсальная общественная лицензия GNU) для программного обеспечения. На сегодняшний день существует одно ядро Linux, разработку которого координируют его создатели Линус Торвальдс и Алан Кокс, и множество дистрибутивов (не менее 2-3 десятков), отличающихся как функциональным назначением, так и составом программного обеспечения, входящим в дистрибутив. Существуют дистрибутивы, занимающие десяток компакт-дисков, и дистрибутивы, умещающиеся на одной-двух дискетах.
Все, что справедливо для семейства UNIX - справедливо и для Linux. Широчайшая поддержка аппаратных платформ, малая требовательность к аппаратным ресурсам (процессор 486, 8 Мбайт оперативной памяти, HDD 120 Мбайт). Масштабируемость, поддержка мультипроцессорных систем, кластеризация, поддержка распределенных вычислений, десятки графических оболочек - и это далеко не все. Поддерживаются десятки файловых систем, родная файловая система Ext. И при всей мощи - достаточно дружественная операционная система, способная работать как на мощнейшем сервере, так и на стареньком «пентиуме» где-нибудь в офисе.
Пользователи с точки зрения системного администратора - все те, кто входит в систему в качестве пользователя, «юзера». С точки зрения системного программиста - все кто запускает компьютер. Для разработчика прикладного программного обеспечения - пользователи его программы. Для авторов книг - это люди, знающие только то, что у него есть только шнур питания и какая-то доска с кнопками и т.д. Если попытаться обобщить, основной пользователь - это человек, который не разбирается в устройстве компьютеров, не знает, как их настраивать, не обязан знать тонкости операционной системы и прочее. Пользователь решает на компьютере свои профессиональные задачи, зачастую не имеющие с компьютером ничего общего. На практике все это, конечно, не совсем так мрачно. Пользователь для успешной работы просто обязан знать, что такое файл, как настроить рабочий стол, установить программу, что такое вирусы и как с ними бороться и т.д.
Пользователей можно разделить на 3 группы - незнающий о компьютере ничего, знающий кое-что и знающий многое. Соответственно, по уровням пользователей можно разделить операционные системы на 3 категории. К первой категории можно отнести Mac OS и, в какой-то степени, Mac OS X, а также BeOS. Ко второй категории Windows 9x и более поздние, OS/2. К третьей - DOS, Windows 3.1.x, Windows SERVER, UNIX-семейство, BSD-семейство, Linux, QNX. Такое разбиение операционных систем не всегда соответствует официальному позиционированию фирм-разработчиков (например, Microsoft рекламировал Windows 9x как систему для домохозяек - включил и работай). Однако с точки зрения коллективного разума (по крайней мере, так считают авторы новостных конференций, посвященных сравнительному обзору операционных систем) данное разбиение операционных систем достаточно верно. Сейчас уже можно говорить, что Linux с ее графическими менеджерами окон KDE и GNOME постепенно переходит, если уже не перешла, ко второй категории, при этом, не теряя ни мощности, ни настраиваемости всего и вся. Семейство Windows постепенно сдвигается к группе пользователей, не знающих об операционной системе ничего, при этом, вызывая заметное раздражение знающих, или, как у них говорят - Advanced Users, своей уверенностью, что пользователь системе приносит только вред, и поэтому ничего настраивать не должен, а если очень хочет - пусть платит за поддержку или специальное программное обеспечение. В идеале же операционная система должна удовлетворять, по меньшей мере, семи достаточно противоречивым требованиям.
. Быть легкой в освоении и дружественной к пользователю (User Friendly).
. Быть очень мощной и универсальной (способной работать на любом оборудовании).
. В ней все должно настраиваться достаточно просто.
. Она должна быть очень надежна (в идеале - сверхнадежна).
. Занимать как можно меньше места.
. Разработчики моментально должны реагировать на проблемы, обнаруженные в процессе эксплуатации.
. Под нее должен быть широкий выбор программного обеспечения.
В нескольких словах рассмотрим эти семь пунктов.
Пункт первый. От того, как быстро человек освоится с операционной системой и насколько удобно ему в ней работать, напрямую зависит производительность труда.
Пункт второй. Существует мнение, что чем более универсальный инструмент, тем слабее он для какого-нибудь специфического применения, и с теоретической точки зрения это так. Но если посмотреть на универсальность с другой стороны, то теоретические принципы построения операционной среды, по большому счету, одинаковы, что для IBM-386, что для новейших мультипроцессорных систем. Специфику платформы (тип процессора, мультипроцессорность, кластеризацию и т.п.) всегда можно учесть при разработке специфического ядра операционной системы или драйверов. Некоторая потеря в производительности с лихвой окупается тем, что пользователю, поработавшему на мощнейшем сервере и перешедшему на офисный компьютер, графическую станцию или домашний ПК, не придется осваивать другую операционную систему - его операционная система может работать на любом компьютере. А способность работать на любом компьютере автоматически подразумевает, что операционная система должна занимать как можно меньше места и потреблять мало аппаратных ресурсов.
Пункт третий. Пользователь должен иметь возможность настроить операционную систему под свои нужды, не прибегая к стороннему (не входящему в поставку операционной системы) программному обеспечению.
Пункт четвертый. Надежность любой системы, от которой зависят бизнес процессы - это критерий, необходимость которого не подвергается никакому обсуждению.
Пункт пятый. Минимизирование запросов ОС к аппаратной части ПК позволяет использовать ОС без дополнительной доработки на большем количестве ПК.
Теперь оценим операционные системы на соответствие вышеперечисленным требованиям.- не удовлетворяет ни одному пункту, кроме п. 7.3.1х - удовлетворяет п. 1 с оговорками, частично п. 3 и п. 5, удовлетворяет п. 7.9х/2k/ME/XP/Vista/7/8 - удовлетворяет п. 1, частично п. 3, безусловно, п. 7.
Мас ОС - безусловно, удовлетворяет п. 1, п. 2 (с учетом одноплатформенности), частично п. 3, п. 4, п. 5, п. 6, п. 7.
Мас ОС X - безусловно, удовлетворяет п. 1, п. 2 (с учетом одноплатформенности и завышенных требований к аппаратному обеспечению), п. 3, п. 4, п. 6, пока не удовлетворяет п. 7.семейство - безусловно, удовлетворяет всем пунктам, кроме первого, да и то, в последнее время легкость освоения и дружественность у UNIX - разработчиков стоят на первом месте., OpenBSD, NetBSD - все сказанное о UNIX-семействе справедливо и для этих операционных систем.- безусловно, удовлетворяет всем пунктам, особенно п. 2, п. 3, п. 6, п. 7.
Попробуем выбрать операционную систему, исходя из вышеперечисленных пунктов. DOS и Windows 3.1х отпадают сразу, как морально и физически устаревшие продукты. OS/2 - очень неплохая операционная система, имеющая несколько недостатков: отсутствие перспектив (IBM отказалась от выпуска следующих версий), не очень большой выбор программного обеспечения, одноплатформенность. Mac OS, Mac OS X - также неплохие операционные среды, как с точки зрения пользователя, так и с точки зрения администратора. Но - это операционные системы только для компьютеров фирмы Apple. А в нашей стране этих компьютеров не наберется и одного процента от общего количества персональных ЭВМ.
Соответственно выбор предстоит делать из представителей семейства Linux и Windows. Попытаюсь максимально корректно сопоставить Windows-семейство и семейство UNIX. С чисто технологической стороны UNIX-семейство корректно сравнивать только с Windows SERVER, поскольку только Windows SERVER, как система истинно многозадачная и многопользовательская, поддерживающая мультипроцессорность и кластеризацию, корректно сопоставима с UNIX-подобными системами. Таким образом, корректно сравнивать можно только семейство UNIX и Windows SERVER
Во-первых, что очень выгодно отличает Linux от Windows - ее бесплатность. За Windows 7/8 по сегодняшним ценам придется уплатить около 150-200 долларов, а за Windows Server и того больше. Кроме того, для работы нужен и Microsoft Office, за стандартный вариант которого придется уплатить около 200-250 долларов, и, если надо еще что-то - продолжать платить и платить. Политика Microsoft очень проста и действенна - раз в полгода-год выходит новая версия программного продукта, который все вольно или невольно вынуждены покупать, потому что партнеры присылают вам файлы в формате Excel 2007, а ваш Excel 2003 отказывается их понимать. В результате за всю жизнь компьютера (3-5 лет) только на программное обеспечение придется потратить сумму, существенно превосходящую стоимость ПК.
С другой стороны, Linux обойдется в 5-15 долларов, за которые можно купить 2-3 компакт-диска, заполненных бесплатным, с открытым исходным кодом, программным обеспечением. Даже если скачивать дистрибутив Linux через Интернет - все равно не потратить больше 30 долларов. И что характерно - с этого дистрибутива можно сколько угодно раз инсталлировать Linux на абсолютно законных основаниях. Помимо Интернета, где находятся тысячи Web-сайтов, посвященных как Linux в целом, так и конкретному программному продукту для нее, существуют десятки групп новостей, а, помимо всего прочего, в дистрибутив входит более 15 тыс. страниц документации, описывающих все и вся. Есть правда одно неудобство - поскольку Linux разрабатывается и сопровождается людьми со всех стран мира, то и документация для него, в основном, на английском языке. Во-вторых, Linux способна функционировать на множестве аппаратных платформ и с минимальными требованиями к аппаратуре.
По поводу дружественности, легкости в освоении и инсталляции. На сегодняшний день установить Linux на абсолютно чистый диск сможет любой пользователь, для этого нужно только взять соответствующий дистрибутив. С легкостью освоения, несомненно, похуже. Для грамотной работы в Linux необходимо иметь представление об операционной системе. К сожалению, Windows приучила пользователя щелкать мышкой и не думать. По части настройки операционной системы. Microsoft внедрила в свою операционную систему непродуманную идею - системный реестр. В результате получился весьма объемный (зачастую в 4-5 Мбайт) файл двоичного формата, от целостности которого зависит жизнеспособность операционной системы. Очень часто (по меньшей мере, в 30-40% случаев) ошибки функционирования операционной системы связаны с повреждением файла реестра. Еще одна проблема настройки системы - очень много настроек Windows не описаны в документации. Есть, конечно, программное обеспечение, позволяющее тонко настроить Windows, но, как правило, оно не бесплатно. В Linux все более надежно и доступно. Практически все о настройке системы или программного обеспечения можно узнать из документации. Конфигурационные файлы обычно для каждой программы отдельные, и практически все имеют понятный текстовый формат с подробными комментариями. А настроить в Linux можно все, причем для каждого пользователя в системе отдельно.
В стандартный дистрибутив Linux входят сотни программ, с помощью которых можно решить 95% задач, решаемых с помощью компьютера. Исходный код всех программ под Linux открыт, при желании его можно модифицировать так, как нужно. На базе Linux достаточно легко создать очень надежные (99,99%) центры данных с поддержкой кластерных конфигураций и высокой степенью масштабирования. Корпоративная intranet-сеть «из коробки», элементарная установка интернет-сервисов и серверов, практически сразу настроенных для стандартного применения. Высокая степень безопасности и ограничения доступа к ресурсам и данным системы. Большое количество поддерживаемых Linux аппаратных платформ. Графический интерфейс с десятками оконных менеджеров, позволяющих создать эксклюзивную графическую среду, точно настроенную для нужд пользователя и аппаратных ресурсов. Относительно малые требования к аппаратным ресурсам. Огромнейшая библиотека документации, ежедневно улучшающаяся и дополняющаяся. Великолепная поддержка программного обеспечения, ответы практически на любой вопрос можно найти в Интернете, а на оставшиеся вопросы можно получить ответ у самих разработчиков. В Linux можно настроить все и вся. Простота конфигурации и подробное описание конфигурационных файлов выгодно отличают Linux от большинства коммерческих операционных систем. Можно инсталлировать Linux на одну дискету, и при этом она окажется, способна выполнять функции маршрутизатора или отправлять электронную почту. Постоянное обновление и улучшение как ядра Linux, так и большинства программных продуктов для Linux. Отсутствие зависимости от патентов и лицензий.
По данным обзора Summer 2004 Evans Data Linux Developers Survey, 93% разработчиков Linux сталкивались не более чем с двумя случаями компрометации компьютера с ОС Linux. 87% встретился только один подобный инцидент, а в практике 78% не было ситуаций, когда компьютер под управлением Linux сколько-нибудь серьезно пострадал от действий злоумышленников. В тех редких случаях, когда им удалось добиться успеха, основной причиной были ненадлежащим образом сконфигурированные настройки безопасности.
Однако для моей работы важнее тот приведенный в обзоре факт, что 92% респондентов никогда не сталкивались со случаями заражения ОС Linux вирусами, троянскими и другими вредоносными программами.
То обстоятельство, что вирусы, троянские и другие вредоносные программы редко могут (если вообще могут) заразить Linux-системы, частично можно объяснить следующими причинами:
·Linux имеет долгую историю использования тщательно проработанной многопользовательской архитектуры.
·По своей архитектуре Linux является в основном модульной системой.
·Функционирование Linux не зависит от RPC-механизма, а сервисы обычно «по умолчанию» настроены, не использовать RPC-механизм.- это операционная система, сконструированная, в основном, по модульному принципу, от ядра до приложений. В Linux практически нет нерасторжимых связей между какими-либо компонентами. Не существует единственного процессора web-навигатора, используемого справочными системами или программами электронной почты. В самом деле, нетрудно сконфигурировать большинство программ электронной почты так, чтобы использовать встроенный web-навигатор для отображения HTML-сообщений либо запускать любой нужный web-навигатор для просмотра HTML-документов или перехода по ссылкам, приведенным в тексте сообщения. Следовательно, брешь в одном процессоре web-навигатора необязательно представляет опасность для каких-либо других приложений на данном компьютере, так как почти никакие другие приложения, кроме самого web-навигатора, не зависят от единственного процессора web-навигатора.
Не все в Linux является модульным. Две наиболее популярные графические среды, KDE и GNOME, в каком-то смысле монолитны по своей архитектуре. По крайней мере, монолитны настолько, что в принципе обновление одной части GNOME или KDE может нарушить работу других частей GNOME или KDE. Но и GNOME, и KDE не до такой степени монолитны, чтобы требовалось использование приложений, разработанных специально для GNOME или KDE. Приложения GNOME или любые другие приложения можно запускать под KDE, а KDE или любые другие приложения - под GNOME.
Ядро Linux поддерживает модульные драйверы, но в значительной мере является монолитным ядром, потому что сервисы в этом ядре взаимозависимы. Все отрицательные последствия монолитности минимизируются тем, что ядро Linux, насколько это возможно, разработано как наименьшая часть системы. Linux почти фанатично придерживается следующего принципа: «Если задача может быть выполнена вне ядра, она должна быть выполнена вне ядра». Это означает, что в Linux почти каждая полезная функция («полезная» означает «воспринимаемая конечным пользователем») не имеет доступа к уязвимым частям системы Linux.
Напротив, ошибки в драйверах графических адаптеров являются частой причиной «синего экрана смерти» в Windows. Это происходит из-за того, что Windows интегрирует графику в ядро, где подобная ошибка может вызвать отказ системы. Не считая нескольких известных исключений (например, коммерческий драйвер графики NVidia), Linux заставляет все графические драйверы функционировать вне ядра. Ошибка в графическом драйвере может вызвать сбой в графическом приложении, но не может вызвать отказ всей системы. В случае такой ошибки достаточно просто перезапустить графическое приложение. Никакой перезагрузки компьютера не требуется (таблица 1).
Таблица 1 - Сравнительная таблица ОС Windows и Linux
ОСLinux Ubuntu 12.04 LTSMS Windows 7ОсновноеРусский интерфейсдадаГод выхода этой версии20122009Занимает место на жестком4.2 Гб10 ГбОболочкаЕстьЕстьЗагрузка1.20 мин.±20 сек1.50 мин.±20 сек (со временем время загрузки увеличивается)ВыключениеМенее 1 мин.±20 сек1 мин.±20 сек (со временем время выключения увеличивается)Несколько пользователейдадаНесколько рабочих столовда (от 1 до 20)нетРаспространяетсяБесплатноПлатноЗагрузка ОЗУ200 Мб1 ГбМинимальные системные требованияМесто ПЗУ менее 100 Мб, ОЗУ 8 МбМесто ПЗУ 10 Гб, ОЗУ ≥ 1 Гб; Intel Pentium 43D рабочий столЕстьЕстьВыход следующей версии ОСЯдро раз в 3 месяца Графическая оболочка раз в 3 месяца Дистрибутив раз в 1 годРаз в 3 годаУстановкаПриблизительное время установки30 мин1 час (установка самой ОС без программ, драйверов и кодеков, а на полную установку понадобится не менее 3-4 часов)Графическая оболочка при установкеЕстьЕстьВозможность выбора размера установки ОСЕстьНетИнтернет/сетьПоддерживает интернетДаДаСтандартный браузерMozilla Firefox; Konqueror; Epiphanu.Internet Explorer v8.0Стандартный IM-агентЕсть (Kopete, Gaim)НетТаблица 1 - Сравнительная таблица ОС Windows и Linux (продолжение)ПочтаKontact; Evolutuon; KMail; KSig;Outlook ExpressПоддержка TCP/IP v6ЕстьЕстьСерверыЕсть (Почтовый, sql)НетВидеоСтандартный проигрывательLinDVD; xene; KMPlayer; kdetv; Видео проигрыватель.Windows Media PlayerСтандартная программа для работы над видеоKino; Kdenlive.Windows Movie MakerАудиоСтандартный проигрывательAmarokWindows Media PlayerСтандартная программа для работы над звукомGripнетЗвукозапись с микрофонададаГрафикаСтандартная программа для просмотра изображенийKuickshow, KView, GweniewПрограмма просмотра изображений и факсовСтандартная программа для работы над изображениемGIMPPaintПОЭкранная клавиатура и лупаЕстьЕстьКалькуляторЕстьЕстьКомандная строкаЕстьЕстьПроводникЕстьЕстьАрхиваторЕстьНетОфисСтандартная программа для работы с текстом, таблицами, презентациями и графиками.OpenOffice.orgБлокнот; WordPadАдресная книгаЕсть (KAddressBook, Evolution Contacts…)ЕстьИгрыСтандартные игры50 шт11 штТаблица 1 - Сравнительная таблица ОС Windows и Linux (продолжение)Дополнительные программы для игрНе нужныDirectXБезопасностьСтандартный антивирусНет необходимостиНетПароль на каждого пользователяЕстьЕстьПопулярность в миреПопулярность ОС3,7%73,3%Игры1%96%Программы20%71%Вирусыпочти нет99,9%Безопасность (защита от потери информации, без Антивируса)99,9%10%
Эта таблица дает наиболее полное представление о преимуществах и недостатках основных представителей семейств MS Windows и Linux generic. Из нее можно сделать вывод, что Linux выигрывает в надежности и быстродействии, но проигрывает в популяризации.
2. Информационная безопасность
2.1Регламентирующие документы
Невозможно рассматривать системы безопасности, неважно информационной безопасности или физической, не регламентируя, что и от чего мы собираемся защищать. Любая компания, задумывающаяся о создании системы информационной безопасности и защиты своих данных, должна начинать разработку подобных систем с создания документов, регламентирующих, какую информацию считать защищаемой, кто и как будет иметь доступ к этой информации.
Существует международный стандарт ISO/IEC 13335-1: 2004, переводом которого является ГОСТ Р ИСО/МЭК 13335-1-2006. Данный стандарт содержит рекомендации о методах и средствах обеспечения безопасности.
Данный стандарт представляет собой руководство по управлению безопасностью информационных и телекоммуникационных технологий (ИТТ), устанавливает концепцию и модели, лежащие в основе базового понимания безопасности ИТТ, и раскрывает общие вопросы управления, которые важны для успешного планирования, реализации и поддержки безопасности ИТТ.
Целью данного стандарта является формирование общих понятий и моделей управления безопасностью ИТТ. Приведенные в нем положения носят общий характер и применимы к различным методам управления и организациям. Настоящий стандарт разработан так, что позволяет приспосабливать его положения к потребностям организации и свойственному ей стилю управления. Рассматривая данный стандарт можно выделить из него основные принципы организации систем информационной безопасности.
Первым, что заинтересовало меня при ознакомлении с данным документом, стала фраза: «Невозможно разработать и поддерживать успешную программу по безопасности, если не идентифицированы активы организации». Это ставит перед нами первичную задачу. Подходя к созданию системы информационной безопасности, следует определить, с какими активами нам предстоит иметь дело. И снова выдержка из ГОСТа:
«Активы включают в себя (но не ограничиваются):- материальные активы (например, вычислительные средства, средства связи, здания);- информацию (данные) (например документы, базы данных);- программное обеспечение;- способность производить продукт или предоставлять услугу;
людей;- нематериальные ресурсы (например, престиж фирмы, репутацию).»
Итак, ГОСТ и здравый смысл ставят перед нами задачу по созданию списка активов системы информационной безопасности. Материальные активы достаточно просто подвергнуть инвентаризации, воспользовавшись бухгалтерскими и складскими отчетами. А вот выделить информационные активы системы информационной безопасности поможет лишь понятие коммерческая тайна.
Положения о коммерческой тайне достаточно распространенный на сегодня документ. Существуют готовые примеры и рекомендации по созданию подобных документов. В «приложении А» я выкладываю шаблон этого документа. В этом документе должны быть четко описаны следующие данные:
·Какую информацию можно считать коммерческой тайной
·Режим сохранности сведений
·Процедура присвоение информации статуса коммерческой тайны
·Процедура допуска работника к коммерческой тайне
·Ответственность работников по сохранению коммерческой тайны
Определив понятие коммерческой тайны и составив положение о ней, для организации достаточной информационной безопасности следует регламентировать действия связанные с информацией признанной коммерческой тайной.
Первичной внутренней угрозой нарушения конфиденциальности коммерческой тайны является несанкционированное копирование данной информации и ее вынос за пределы компании. Для обеспечения безопасности в этом направлении следует выделить пути копирования информации.
.Копирование на внешние носители информации
.Копирование на ресурсы глобальной сети Internet
Соответственно необходимо создать три регламента на работу вышеперечисленными информационными ресурсами.
Регламент использования внешних носителей информации не столь распространённый документ, как положение о коммерческой тайне. Готовых примеров подобных документов мне не встречалось. В моей работе частью моих должностных обязанностей является разработка и утверждение заказчиком документов, регламентирующих систему информационной безопасности. Наша компания, ТОО «it service24», предоставляет на рынке услуги по аутсорсингу ИТ инфраструктуры заказчиков. В этой компании я занимаю должность начальника ИТ отдела, которая подразумевает разработку регламентов и планов внедрения решений в области ИТ для заказчика наших услуг. Регламент использования внешних носителей информации разрабатывается аналогично положению о коммерческой тайне. Основные данные, которые следует отражать в регламенте использования внешних носителей информации:
·Перечень лиц имеющих право на использование внешних носителей информации;
·Процедура проверки выносимой информации:
·Организация системного журнала копирования информации с/на внешние носители;
·Организация ручной проверки внешних носителей информации ответственным лицом;
·Ответственность сотрудников за нарушение регламента;
Сотрудники, допущенные к использованию внешних носителей информации ознакамливаются с данным регламентом, после чего по приказу руководителя компании регламент вступает в силу.
Регламентация доступа к глобальной сети Internet - это процедура, достаточно часто встречающаяся в коммерческих организациях, но полноценные документы закрепляющих правила доступа к глобальной сети Internet в ходе своей работы я не встречал ни разу. Данный регламент разрабатывается аналогично регламенту использования внешних носителей по следующим пунктам:
·Перечень лиц имеющих право на доступ глобальной сети Internet
·Список протоколов для работы с глобальной сетью Internet
·Список ресурсов доступных конкретным пользователям
·Объем траффика доступный конкретным пользователям на конкретный срок
·Организация системного журнала использования ресурсов глобальной сети Internet
·Ответственность пользователей за нарушение регламента
2.2Направления утечки информации
Вышеперечисленные регламенты обеспечивают надёжность системы информационной безопасности от внутренних хищений, однако, это не единственные пути нарушения системы информационной безопасности. Следует выделить основные пути утечки информации:
·Внутренние хищения
·Утеря информации в связи с повреждением аппаратных носителей
·Внешние атаки
Относительно внутренних хищений информации кроме точного соблюдения регламентов, описанных в предыдущем пункте, никаких нововведений создать не представляется возможным.
Для предотвращения утери информации в связи с повреждением аппаратных носителей существуют два пути:
.Организация планово-предупредительного ремонта аппаратной части ПК
.Создание системы резервного копирования информации.
Система планово-предупредительного ремонта (ППР) представляет собой комплекс организационно-технических мероприятий предупредительного характера, проводимых в плановом порядке для обеспечения работоспособности парка машин в течение всего предусмотренного срока службы. Основных систем планового ремонта три:
. Система периодических ремонтов, которая предусматривает проведение мероприятий по техническому обслуживанию и плановых ремонтов каждой единицы оборудования после отработки ею определенного времени. Наибольший экономический эффект применение данной системы дает в условиях массового и крупносерийного производства и строгого учета наработки оборудования.
. Система после осмотровых ремонтов, при которой необходимый объем ремонтных работ по данному оборудованию определятся после его осмотра.
. Система стандартных ремонтов, которая предусматривает выполнение обусловленного объема ремонтных работ в определенные сроки.
Техническое обслуживание (ТО) оборудования представляет собой комплекс операций по поддержанию его работоспособности или исправности при использовании по назначению, при ожидании, хранении и транспортировании. Основные виды работ планового (регламентированного) и непланового технического обслуживания, а также их распределение между исполнителями заносятся в карту технического обслуживания, включающую:
ежесменную уборку, чистку оборудования системным администратором;
периодический (частичный), а также плановый (полный) осмотр оборудования системным администратором для выявления возможных сбоев в будущем;
своевременную (по графику) смазку движущихся элементов системы охлаждения;
осмотр оборудования системным администратором при участии пользователя с целью выявления объема работ очередного ремонта; - замену случайно отказавших деталей или восстановление их работоспособности.
Работы, связанные с электрооборудованием и электронными устройствами, а также профилактические испытания этих устройств выполняются с участием электриков и электронщиков.
Ремонт - это комплекс операций по восстановлению исправности или работоспособности и ресурсов оборудования либо его составных частей. По способу организации различают два вида ремонта:
. Плановый ремонт, предусмотренный системой ППР и выполняемый после определенной наработки оборудования или при достижении им установленного нормами технического состояния. Он проводится в соответствии с требованиями нормативно-технической документации.
. Неплановый ремонт, возможность которого также предусмотрена системой планово-предупредительного ремонта и который проводится при необходимости и с целью устранения последствий отказов или происшествий. К неплановому ремонту относится аварийный ремонт, вызванный дефектами конструкции или изготовления оборудования, дефектами предыдущего ремонта либо нарушением технических условий эксплуатации.
По составу и объему работ система ППР предусматривает два вида планового ремонта:
Текущий ремонт (TP), который выполняется для обеспечения или восстановления работоспособности оборудования на период до установленного нормативами следующего ремонта.
Он состоит в замене и (или) восстановлении отдельных частей оборудования, а также предполагает связанные с этим разборку, сборку ПК.
Капитальный ремонт (КР), который выполняется для восстановления исправности и полного или близкого к полному восстановлению ресурса оборудования с заменой или восстановлением любых его частей, включая базовые.
Он предполагает полную разборку ПК, определение дефектов деталей, их ремонт или замену. Периодичность проведения технического обслуживания и ремонтов оборудования определяется величиной и структурой ремонтного цикла.
Ремонтный цикл - время работы оборудования (в часах) от начала его эксплуатации до первого капитального ремонта или между двумя очередными капитальными ремонтами. Структура ремонтного цикла - это количество, периодичность и последовательность выполнения всех видов планового ремонта и технического обслуживания за ремонтный цикл.
Межремонтный период - время работы оборудования (в часах) между двумя последовательно выполняемыми плановыми ремонтами для каждого вида промышленного оборудования установлены нормы его продолжительности. Его структура характеризуется количеством, периодичностью и последовательностью выполнения всех видов технического обслуживания (ТО). Таким образом, межремонтный период состоит из ряда повторяющихся циклов технического обслуживания.
Цикл технического обслуживания - повторяющаяся совокупность операций различных видов планового ТО, выполняемых через установленную для каждого из видов наработку оборудования, называемую межоперационным периодом. Цикл ТО определяется структурой и продолжительностью. Структура цикла технического обслуживания - перечень планового ТО, входящих в состав цикла, с коэффициентом при каждом, указывающим количество операций данного вида в цикле.
Системы резервного копирования можно подразделить на три типа:
.Внутреннее резервное копирование, использование RAID технологий
.Ручное резервное копирование на съемные носители информации
.Облачные резервные хранилища
RAID технологии один из самых надежных, но при том и дорогостоящих вариантов создания системы резервного копирования информации. При создании систем резервного копирования главное учитывать баланс между отказоустойчивостью, производительностью системы, и ценой оборудования.
Таблица 2 - Сравнительная таблица уровней RAID
УровеньКоличество дисковЭффективная ёмкость*ОтказоустойчивостьПреимуществаНедостатки0от 2S * Nнетнаивысшая производительностьочень низкая надёжность12S1 дискнадёжностьдвойная стоимость дискового пространства1Eот 3S * N / 21 диск**высокая защищённость данных и неплохая производительностьдвойная стоимость дискового пространства10от 4, чётноеS * N / 21 диск***наивысшая производительность и высокая надёжностьдвойная стоимость дискового пространства5от 3 до 16S * (N - 1)1 дискэкономичность, высокая надёжность, неплохая производительностьпроизводительность ниже RAID 050от 6, чётноеS * (N - 2)1 диск***высокая надёжность и производительностьвысокая стоимость и сложность обслуживания5Eот 4S * (N - 2)1 дискэкономичность, высокая надёжность, скорость выше RAID 5производительность ниже RAID 0 и 1, резервный накопитель работает на холостом ходу и не проверяется5EEот 4S * (N - 2)1 дискбыстрое реконструирование данных после сбоя, экономичность, высокая надёжность, скорость выше RAID 5производительность ниже RAID 0 и 1, резервный накопитель работает на холостом ходу и не проверяется6от 4S * (N - 2)2 дискаэкономичность, наивысшая надёжностьпроизводительность ниже RAID 560от 8, чётноеS * (N - 2)2 дискавысокая надёжность, большой объем данныхвысокая стоимость и сложность организации61от 8, чётноеS * (N - 2) / 24 диска**очень высокая надёжностьвысокая стоимость и сложность организации* N - количество дисков в массиве, S - объём наименьшего диска.
** Информация не потеряется, если выйдут из строя все диски в пределах одного зеркала.
*** Информация не потеряется, если выйдут из строя два диска в пределах разных зеркал.
Для малых и средних сетей, коих большинство среди наших сегодняшних заказчиков, актуальным является вариант RAID 1 или RAID 10. Организация подобных массивов при сегодняшнем оборудовании доступна даже на пользовательских материнских платах «mid» сегмента. Средняя стоимость подобного оборудования начинается от 300 $. Создание массива RAID 1 наиболее эффективно в случае малых объемов резервируемой информации, то есть в тех случаях когда вся информация умещается на одном носителе и не требует поиска дорогостоящих носителей на 2, 4 и более терабайт. RAID 10 рекомендуется использовать в случае больших объемов информации, с целью использования расширяющих возможностей архитектуры RAID 0, либо если поставлена задача достигнуть наивысшей производительности при обращениях к HDD. Подобная необходимость возникает у заказчиков в случаях использования больших БД с большим количеством одновременных обращений, в таком случае стоит использовать малые по объему SSD носители и для достижения необходимого объема дискового пространства использовать возможности RAID 0.
2.3Методы защиты информации
В этом разделе мне хотелось бы конкретнее углубиться в практическую часть организации системы информационной безопасности на базе ОС Linux. В предыдущем разделе я упоминал о системном журнале, ведущем учет копирования информации на внешние носители. Подобную систему в своей работе я реализую при помощи демона syslogd. В Linux есть единый демон (аналог системных служб Windows), отвечающий за журналирование событий локальной системы и удаленных систем. Все события собираются из сокета /dev/log, порта UDP - 514, а так же от «помощника» - демона klogd, который присылает сообщения от ядра. Все собранные сообщения фильтруются демоном syslogd через правила в файле /etc/syslog.conf и в соответствии с правилами распределяются по соответствующим местам назначения. Файлы логов периодически «обрезаются».
Периодичность определяет файл logrotate.conf и команда logrotate, которая запускается системным планировщиком - cron.
Так же я упоминал о ведении журнала сетевой активности. В сетях под управлением ОС Windows подобные журналы ведут антивирусные программы. Так как в сетях под управлением ОС Linux антивирусные программы не являются необходимыми, нам следует поискать другие методы решения этой задачи. В качестве решения этой задачи, а так же задачи по ограничению доступа к определенным ресурсам сети Internet я предлагаю использовать Proxy-сервер Squid.
Squid является кэширующим прокси-сервером для HTTP, FTP и других протоколов. Прокси-сервер для HTTP - это программа, выполняющая HTTP-запросы от имени клиентской программы (будь то браузер или другое ПО). Proxy может быть кэширующим или не кэширующим. Кэширующий, соответственно, сохраняет все запросы в какое-либо хранилище для более быстрой отдачи клиентам, а не кэширующий - просто транслирует HTTP, ftp или другие запросы. Ранее, кэширование трафика позволяло добиться довольно значительной экономии трафика, но в настоящее время с ростом скоростей интернета это немного утеряло актуальность. Прокси-сервера можно выстраивать в иерархии для обработки запросов. При этом прокси-сервера взаимодействуют между собой по протоколу ICP.разработан и может работать на большинстве операционных систем (как UNIX, так и Windows). Лицензируется под лицензией GNU GPL. Способен обрабатывать и кэшировать HTTP, FTP, gopher, SSL и WAIS (убрано в 2.6) запросы, а так же DNS. Наиболее частые запросы хранит в оперативной памяти. На текущий момент существуют 2 стабильные версии squid: 2.7 и 3.1. Все зависимости при установке из пакетов у них одинаковые. Конфигурационный файл версии 2 совместим с версией 3, но в 3 версии добавлены новые параметры. Стоит так же заметить, что если устанавливать squid3, то он свои конфигурационные файлы будет держать в /etc/squid3, а так же логи по умолчанию в squid3 расположены в каталоге /var/log/squid3/, а не /var/log/squid/, как «любят считать» многие анализаторы логов.
Много раз упомянуто слово «кэширование». А что же это, собственно, такое - кэширование? Это способ хранения запрошенных из Интернет объектов на сервере, находящемся ближе к запрашивающему компьютеру, нежели исходный. Интернет-объект это файл, документ или ответ на обращение к какому-либо сервису, предоставляемому в Интернет (например, FTP, HTTP, или gopher). Клиент запрашивает интернет-объект из кэша прокси-сервера; если объект ещё не кэширован, то прокси-сервер получает объект (либо от узла сети указанного по запрошенному адресу URL, либо от родительского или соседнего кэша) и доставляет его клиенту.
Конфигурационный файл Squid расположен в /etc/squid3/squid.conf и состоит из более чем 5,5 тысяч строк и синтаксис его практически не отличается от конфигурационного файла любого другого сервиса. Давайте рассмотрим конфигурационный файл, который нам предлагается по умолчанию без комментариев и пустых строк:
gw ~ # grep - v ^# /etc/squid3/squid.conf | grep - v ^$manager proto cache_objectlocalhost src 127.0.0.1/32:1to_localhost dst 127.0.0.0/8 0.0.0.0/32:1SSL_ports port 443Safe_ports port 80 # httpSafe_ports port 21 # ftpSafe_ports port 443 # httpsSafe_ports port 70 # gopherSafe_ports port 210 # waisSafe_ports port 1025-65535 # unregistered portsSafe_ports port 280 # http-mgmtSafe_ports port 488 # gss-httpSafe_ports port 591 # filemakerSafe_ports port 777 # multiling httpCONNECT method CONNECT_access allow manager localhost_access deny manager_access deny! Safe_ports_access deny CONNECT! SSL_ports_access allow localhost_access deny all_port 3128_stoplist cgi-bin?_dir /var/spool/squid3_pattern ^ftp: 1440 20% 10080_pattern ^gopher: 1440 0% 1440_pattern - i (/cgi-bin/|\?) 0 0% 0_pattern. 0 20% 4320
Демон Squid управляется init-скриптом /etc/init.d/squid3. Прокси-сервер представляет собой процесс /usr/sbin/squid3. Демон поддерживает множество параметров, с которыми можно ознакомиться в man squid, но в Debian для управления демоном вполне достаточно init-скрипта.
Программа squid3 с ключом - k и дополнительным параметром позволяет удобно управлять демоном, не прерывая пользователей. Примеры:
k - послать команду работающему серверу:- посылка сигнала HUP - перечитать и использовать файл конфигурации- обрезать логи; сигнал USR1- корректно остановить squid; сигнал TERM- убить squid; сигнал INT- жестко убить squid; сигнал KILL- начать / закончить полную трассировку; сигнал USR2- проверить корректность работы squid (без сообщений - работает корректно); сигнал ZERO- проверить синтаксис squid.conf
Собственно, изменив squid.conf, выполнив squid3 - k parse, можно убедиться в корректности внесенных изменений, далее выполнив squi3 - k reconfigure можно практически не обрывая пользователей применить изменения. Очистку кэша (пересоздание) можно выполнить командой squid3 - z.
Параметры, с которыми был собран squid можно посмотреть командой squid3 - v. Например, в Debian squeezу squid собран с параметрами, приведенными ниже:
prefix=/usr - префикс для других ключей:
mandir=${prefix}/share/man - каталог хранения man-страниц
libexecdir=${prefix}/lib/squid3 - каталог с исполняемыми модулями (в том числе и хелперы)
sysconfdir=/etc/squid3 - каталог хранения конфигурации
with-logdir=/var/log/squid3 - каталог хранения журналов
Описание настроек squid3 начну с основных настроек, которые желательно произвести при настройке любой конфигурации прокси-сервера. Конфигурационный Squid расположен в /etc/squid3/squid.conf, это основной конфигурационный файл, в котором содержатся все настройки. Так же, я упоминал, что там более 5 тысяч строк. Синтаксис конфига squid3 классический: строки с # - это комментарии, возможно использование переменных. Конфигурационный файл разбит на разделы для удобства, но важно помнить, что разбор параметров производится «сверху вниз» в порядке очередности. Так же, с помощью параметра include можно подключать внешние конфигурационные файлы.
По умолчанию разрешение имени узла, на котором работает Squid, происходит при помощи gethostname(), в зависимости от установок DNS, он иногда не может однозначно определить имя, которое будет фигурировать в журналах и выводах об ошибках «Generated … by server.com (squid/3.0.STABLE2)». Для корректной записи имени хоста, необходимо это имя (FQDN??) занести в параметр:_hostname myproxy
По умолчанию, squid принимает подключения на всех интерфейсах. Если у нас сервер одним из сетевых интерфейсов «смотрит» в сеть Internet, то желательно ограничить подключения только на интерфейсе локальной сети (допустим, 10.0.0.10/24). За это отвечает параметр http_port:_port 10.0.0.10:3128
Как работают данные параметры можно увидеть в следующем листинге:
~ # # проверяем работу демона до настройки:
gw ~ # netstat - antp | grep squ0 0 0.0.0.0:3128 0.0.0.0:* LISTEN 25816/(squid)~ # # внесенные изменения:~ # grep ^http_port /etc/squid3/squid.conf
http_port 10.0.0.10:3128~ # # перечитываем измененный конфиг
gw ~ # /etc/init.d/squid3 reloadSquid HTTP Proxy 3.x configuration files.
done.~ # # проверяем работу с измененным конфигом:
gw ~ # netstat - antp | grep squ0 0 10.0.0.10:3128 0.0.0.0:* LISTEN 25816/(squid)
Как видно, теперь демон работает только на интерфейсе заданной сети. Стоит так же отметить, что новые версии squid (<3.1) поддерживают задание нескольких параметров http_port. При этом, у разных параметров могут быть указаны дополнительные ключи такие как intercept, tproxy, accel и др., например:
gw ~ # grep ^http_port /etc/squid3/squid.conf
http_port 10.0.0.10:3128_port 10.0.0.10:3129 tproxy
Данные параметры задают режим работы прокси-сервера. Например tproxy (старый синтаксис - transparent) задает режим прозрачного прокси. Данные режимы достойны отдельных статей и в будущем возможно будет рассмотрены.
Теперь необходимо настроить клиентский компьютер и пользоваться интернетом. Но по умолчанию, доступ разрешен только с localhost и при попытке доступа к веб пользователь получит ошибку «Доступ запрещен». В логе /var/log/squid3/access.log будет примерно такое сообщение:
1329649479.831 0 10.0.1.55 TCP_DENIED/403 3923 GET #"justify">Для того, чтобы клиенты локальной сети могли работать, необходимо настроить разрешения с помощью списков контроля доступа.
Фактически настройка доступа заключается в описании объекта доступа через параметр acl, а затем разрешении или запрете работы описанному объекту acl при помощи параметра «http_access». Простейший формат данных настроек имеет следующий вид:
acl имя_списка тип_отбора характеристики_типа_отбора
где acl - параметр описывающий список контроля доступа, имя которого задается значением имя_списка. Имя чувствительно к регистру букв. Тип_отбора задает тип, которому будет соответствовать заданная далее характеристика_типа_отбора. Данная характеристика может принимать такие часто используемые значения, как src (от source) - источник запроса, dst - адрес назначения, arp - МАС-адрес, srcdomain и dstdomain - доменное имя источника и назначения соответственно, port - порт, proto - протокол, time - время и многие другие. Соответственно, значение характиристики_типа_отбора будут формироваться в зависимости от типа_отбора.
Когда списки доступа сформированы, при помощи параметра http_access разрешаем или запрещаем доступ указанному ACL. Общий формат вызова такой:_access allow|deny [!] имя_списка где, http_access - параметр задающий последующее правило разрешения (allow) или запрещения (deny) доступ, указанному далее имени_списка. При этом, необязательный восклицательный знак инвертирует значение имени списка. То есть при восклицательном знаке значение имени_списка будет звучать как все, кроме тех, кто в принадлежит данному списку. Кроме того, можно задавать несколько списков через пробел, тогда доступ будет разрешен при условии принадлежности ко всем заданным спискам. При этом, все разрешающие правила необходимо указывать до запрещающего ВСЁ правила:_access deny all
Давайте рассмотрим простой пример. Предположим, у нас есть 2 сети 10.0.1.0/24 и 10.0.0.0/24, а так же хост 10.0.4.1, которым необходимо разрешить доступ к интернету. Для разрешения доступа необходимо создать описание нового списка доступа в секции «ACCESS CONTROL» файла squid.conf:
acl lan src 10.0.1.0/24 10.0.0.0/24lan src 10.0.4.1
Для большего удобства, можно задать эти правила в отдельном файле, указав путь к нему в место характеристики_типа_отбора. Вот:
~ # # создадим отдельный каталог для хранения списков доступа
gw ~ # mkdir /etc/squid3/acls/~ # # занесем наши подсети и хосты в отдельный файл
gw ~ # vim /etc/squid3/acls/lan.acl~ # cat /etc/squid3/acls/lan.acl
10.0.1.0/24
.0.0.0/24
.0.4.1~ # #
опишем созданный файл в конфигурационном файле (путь необходимо заключить в кавычки)
gw ~ # grep lan.acl /etc/squid3/squid.conflan src «/etc/squid3/acls/lan.acl»
Разрешим созданному списку доступа lan доступ в интернет и выполним команду для Squid перечитать конфигурационный файл:
gw ~ # grep lan /etc/squid3/squid.conf | grep acce_access allow lan~ # service squid3 reloadSquid HTTP Proxy 3.x configuration files.
done.
Для наших целей правильнее было бы использовать «прозрачный» прокси. Это режим работы прокси сервера, когда клиент не настраивается на работу через прокси и посылает запросы в сеть по протоколу HTTP, как если бы клиент браузер работал напрямую с веб-сервером. При этом, силами iptables исходящие запросы на HTTP направляются на порт, на котором запущен прокси. Прокси-сервер же, в свою очередь, преобразовывает HTTP запросы в запросы протокола прокси-сервера и посылает ответы клиенту, как веб сервер. То есть для клиента прозрачно происходит взаимодействие с прокси-сервером.
Данный метод поддерживает только HTTP протокол, и не поддерживает gopher, FTP или другое проксирование. А так же, Squid не умеет одновременно работать в прозрачном режиме и в режиме аутентификации.
Для настройки прозрачного режима, необходимо:
. Задать прозрачный режим в настройках прокси. Это делается в параметре http_port, например:_port ip:port transparent
. Направить запросы пользователей соответствующим правилом на нужный порт силами iptables:
- t nat - A PREROUTING - i имя_входящего_интерфейса - s подсеть_локльной_сети - p tcp - dport 80 - j REDIRECT - to-port порт_squid, пример:
iptables - t nat - A PREROUTING - i eth1 - s 10.0.0.0/24 - p tcp - dport 80 - j REDIRECT - to-port 3128
При правильном конфигурировании Squid, силами этого демона возможно реализовать полный контроль за действиями пользователей в глобальной сети Internet и иметь подробнейший журнал их запросов.
3. Расчет создания системы информационной безопасности
Для создания примера расчетов системы информационной безопасности предлагаю делать все расчеты относительно одного из последних выполненных мной проектов. Однако по условиям договора с заказчиком, наша компания обязана сохранять в тайне всю информацию касательно произведенных у заказчика работ. Так как во многом стойкость систем информационной безопасности зависит от соблюдения секретности информации относительно внедренных систем информационной безопасности. Опишем условия, в которых на данный момент находится IT инфраструктура ТОО «ВашМир» (таблица 3, таблица 4) (здесь и далее, это название вымышлено, однако данные взяты с конкретного заказа выполненного нашей компанией в первом квартале этого года).
Таблица 3 - Аппаратная часть ЛВС
НаименованиеКоличествоТех. характеристикиКомпьютер в сборе тип 18CPU - Intel DualCore E6600 ОЗУ - 2 Гб DDR II HDD - 250 Гб GPU - интегрирована в материнскую платуКомпьютер в сборе тип 24CPU - Intel Pentium 4 ОЗУ - 512 Мб DDR I HDD - 40 Гб GPU - интегрирована в материнскую платуНоутбук Dell1CPU - Intel Core i3 ОЗУ - 2 Гб DDR III HDD - 500 Гб GPU - Intel HD Graphics 3000Маршрутизатор D-link 2640U1WiFi - 802.11n 65 Мб/с
Таблица 4 - Программная часть ЛВС
Наименование ПОКоличество копийКоличество лицензийMS Windows XP SP3 pro40MS Windows 7 ultimate91MS Office 2007 pro130Mozilla Firefox13FreeWinrar1301c Бухгалтерия 8.211Mail.ru агент7FreeICQ4Free
ТОО «ВашМир» на сегодняшний день имеет положение о коммерческой тайне но никаких регламентирующих документов касательно безопасности информации не имеет.
Директор ТОО «ВашМир» изъявляет желание о разработке регламентирующей документации касательно безопасности информации, о переводе ЛВС ТОО «ВашМир» под управление ОС Linux, Обеспечение системы контроля доступа пользователей к сети Internet. Заказчик готов приобрести ПК для организации прокси-сервера.
Пользователи предприятия заявляют и их заявления поддержаны директором, о том что для работы им необходим im-агент от корпорации Mail.ru, офисный пакет программ, web-браузер и архиватор.
Исходя из задач поставленных руководством заказчика, строим следующий план работ:
.Создание и утверждение заказчиком регламента по использованию внешних носителей информации
.Создание и утверждение заказчиком регламента по использованию ресурсов сети Internet
.Утверждение конфигурации прокси-сервера
.Подготовка ПК заказчика к переходу на новую ОС
.Установка и настройка ОС на пользовательские ПК
.Закупка и установка прокси-сервера
.Проведение консультаций и тренингов для пользователей предприятия
Шаблон регламента по использованию внешних носителей информации:
Данный регламент устанавливает правила по использованию в работе внешних носителей информации сотрудниками _________________________.
Внешними носителями информации здесь и далее называют, подключаемые к ПК или другим устройствам ЛВС, устройства способные хранить информацию в электронном виде.
Любое использование внешних носителей информации не означенное в данном регламенте считается нарушением данного регламента.
Получение доступа к внешним носителям информации
Разрешение на использование внешних носителей информации является прерогативой руководства _________________________, а именно:
.Директор __________________________
.___________________________________
Для получения права на использование внешних носителей информации сотрудник должен написать заявление на имя директора компании, в котором он должен указать причины, по которым данные носители информации необходимы сотруднику в работе.
В случае утверждения заявления сотрудника им должно быть подписано приложение к трудовому договору о коммерческой тайне.
Правила использования внешних носителей информации
Внешние носители информации выделяются сотруднику компанией и должны быть сданы по окончании рабочего дня. Вынос внешних носителей информации за пределы компании запрещен.
Использование личных носителей информации запрещено даже сотрудникам имеющим доступ к использованию внешних носителей информации.
За руководством компании закреплено право на проверку использования внешних носителей информации без предварительного предупреждения сотрудника.
Ответственность за нарушение регламента
Нарушение данного регламента приравнивается к нарушению режима коммерческой тайны и влечет равноценную ему ответственность.
Приложения к регламенту
1.Таблица учета работы с внешними носителями информации
№ п/пНаименование устройстваФ.И.О. сотрудникаВремя получения устройстваВремя сдачи устройстваПодпись сотрудника
.Список сотрудников допущенных к использованию внешних носителей информации
Ф.И.О. сотрудникаДолжность сотрудникаС регламентом ознакомлен
Шаблон регламента по использованию ресурсов сети Internet:
Общие положения
Данный регламент устанавливает правила по использованию в работе ресурсов сети Internet сотрудниками _________________________.
Ресурсами сети Internet здесь и далее называют объединённую под одним адресом совокупность документов частного лица или организации, доступные средствами международной сети Internet.
Любое использование ресурсов сети Internet не означенное в данном регламенте считается нарушением данного регламента.
Получение доступа к ресурсам сети Internet
Разрешение на использование ресурсов сети Internet является прерогативой руководства _________________________, а именно:
.Директор __________________________
.___________________________________
Для получения права на использование ресурсов не указанных в списке разрешенных сотрудник должен написать заявление на имя директора компании, в котором он должен указать причины, по которым данные ресурсы необходимы сотруднику в работе.
В случае утверждения заявления сотрудника им должно быть подписано приложение к трудовому договору о коммерческой тайне.
Правила использования ресурсов сети Internet
Доступ к ресурсам сети Internet предоставляется сотрудникам компанией.
Использование ресурсов сети Internet разрешено в целях способствующих выполнению должностных обязанностей сотрудников и более ни в каких.
Руководство компании вправе ограничивать доступ сотрудника как к определённым ресурсам сети Internet, так и к группам ресурсов на свое усмотрение.
Руководство компании вправе ограничивать объем входящей и исходящей информации доступный сотруднику.
Перечень доступных сотрудникам ресурсов определяется руководством компании.
Ответственность за нарушение регламента
Нарушение данного регламента приравнивается к нарушению режима коммерческой тайны и влечет равноценную ему ответственность.
Приложения к регламенту
Перечень сотрудников имеющих доступ к ресурсам сети Internet
Ф.И.О. сотрудникаДолжностьС регламентом ознакомлен
Перечень ресурсов разрешенных с использованию
Доменное имяIP адрес ресурса
Объем траффика доступны сотрудникам
Ф.И.О. сотрудникаДолжностьВходящий трафикИсходящий трафик
Для реализации прокси-сервера будет использована платформа Linux Debian и сервер Squid. Системные требования:
Linux Debian:
CPU 1.5 GHz
ОЗУ: 1 GB;
GPU: 128 MB;
HDD: 10 GB;:: 800Mhz,
ОЗУ: 512 Mb
HDD: 20Gb
Исходя из этих системных требований и основываясь на возможности дальнейшего увеличения нагрузки на сервер, рекомендую следующую конфигурацию (таблица 5):
Таблица 5 - Спецификация закупаемого оборудования
НаименованиеКоличествоЦенаСуммаПроцессор Intel Celeron G460 1,8 GHz15700 тг5700 тгASROCK iH61, H61M, S1155, SB, VGA, LAN, 2xDDR3, 2PCI, PCI-Ex1, PCI-Ex16, mATX19900 тг9900 тгВентилятор для S1156 Deepcool THETA 20,11000 тг1000 тгDIMM DDR3 SDRAM 4Gb PC10600 1333Mhz ADATA AD3U1333C4G9-B14900 тг4900 тгHDD Samsung 500 Gb 7200 rpm, Serial ATA II-300, NCQ, 16Mb Cache, HD502HJ110400 тг10400 тгБлок питания ATX FSP ATX-400PNR, 400W, 12CM FAN15400 тг5400 тгКорпус MidiTower ATX Frontier SHIELD SI08A,13000 тг3000 тгМонитор LCD LG W1943S-PF 18.5''116200 тг16200 тгКлавиатура+Мышка A4Tech AC-1107, USB, Black11200 тг1200 тг
Приступим к процедуре перехода с Windows на Linux. Хорошей новостью является то, что открытые стандарты Linux подобны стандартам, которые лежат в основе администрирования Windows. Некоторые специальные термины отличаются и немного различаются инструменты, но основные понятия одни и те же.
И Linux, и Windows являются многопользовательскими операционными системами. Обе они могут использоваться многими разными пользователями и предоставить каждому пользователю отдельное окружение и ресурсы. Безопасность базируется на идентификации пользователей. Доступ к ресурсам также может контролироваться членством в группе, что позволяет не устанавливать права для каждой отдельной учетной записи пользователя и упрощает процесс управления правами для большого количества пользователей.
Пользователи и группы могут быть централизованы в едином репозитории, что позволяет различным серверам использовать одни и те же данные о пользователях и аутентификации.
Поддерживаются порты физических устройств, параллельных, последовательных и USB. Также поддерживаются различные контроллеры, например IDE и SCSI. В Linux возможна поддержка «из коробки» значительного количества стандартного оборудования.
И в Linux, и в Windows поддерживается несколько сетевых протоколов, например, TCP/IP, NetBIOS и IPX. Обе системы поддерживают ряд сетевых адаптеров. Обе обеспечивают возможность распределения ресурсов, таких как файлы и система печати, по сети. Обе обеспечивают возможность предоставления сетевых сервисов, таких как DHCP и DNS.
И в Linux, и в Windows имеются сервисы, приложения, которые запускаются в фоновом режиме и обеспечивают некоторые функции системы и компьютеров, обращающихся к этим сервисам удаленно. Управление каждой из этих программ может осуществляться индивидуально и их запуск может осуществляться автоматически при загрузке системы.
Несмотря на некоторое сходство технологий, существует ряд ключевых различий в приемах работы в Windows и Linux. С непривычки эти различия трудно уловить, но они являются ключевыми понятиями философии Linux.
Первая операционная система Windows появилась в мире бумаг. Одним из достоинств Windows было то, что все, что делалось с ее помощью, хорошо выглядело и могло быть легко напечатано. Это и определило дальнейшие пути развития Windows.
Ровно так же, развитие Linux определялось его источниками. Linux изначально был предназначен для существования в сети. Его возникновение было инспирировано операционной системой Unix, и поэтому он прост, можно сказать, лаконичен, в дизайне своих команд. Поскольку работа с простым текстом возможна по сети, текстовый формат всегда являлся базовым для конфигурационных файлов Linux и данных.
Тем, кто привык к графическому окружению, Linux на первый взгляд может показаться примитивным. Но разработка программ в Linux более сосредоточена на жизнеспособности приложений, чем на их внешнем виде. Linux имеет очень сложную организацию сети, создания скриптов и обеспечения безопасности, которые активны даже при наличии только текстового окружения. Для решения некоторых задач необходимы некоторые на вид странные действия, непонятные до тех пор, пока вы не поймете, что в Linux эти задачи предполагается решать по сети во взаимодействии с другими Linux-системами. Linux более приспособлен для автоматизации задач, даже выполнение очень сложных задач может быть запрограммировано с использованием эквивалента командных batch-файлов. Этому способствует ориентация Linux на текстовый формат.
В Linux существуют и графические средства управления, а также средства для выполнения офисных работ, таких как работа с электронной почтой, просмотр веб-ресурсов и обработка документов. Однако в Linux графические средства администрирования обычно являются front-end'ами для инструментов консоли (командной строки).
Конфигурационные файлы в Linux являются удобными для восприятия текстовыми файлами. Они похожи на файл INI в Windows. В этом состоит принципиальное отличие от подхода Windows Registry. Обычно конфигурационные файлы касаются отдельных приложений и хранятся отдельно от других конфигураций. Однако большинство конфигурационных файлов размещается в дереве каталогов в одном месте (/etc), так что и искать их надо здесь. Текстовый конфигурационный файл легко скопировать, проверить и отредактировать конфигурацию без использования специальных системных средств.
В Linux расширения имен файлов не используются для определения типов файлов. Вернее, для определения типа файла в Linux анализируется header содержимого. Вы все же можете использовать расширения для удобства восприятия, но для Linux они не имеют значения. С другой стороны, некоторые приложения, например, веб-сервер, могут использовать соглашения по наименованиям для идентификации типов файлов, но это касается отдельных приложений.
На самом деле Linux - это только ядро; оно обеспечивает многозадачную, многопользовательскую функциональность, управление оборудованием, распределение памяти и делает возможным запуск приложений.
В Linux все команды и опции чувствительны к регистру. Например, - R - не то же, что - r и имеет другое назначение. В консоли команды почти всегда вводятся строчными буквами.
Переход от администрирования Windows к Linux нетривиален. Значительная часть знаний о том, как работает компьютер с использованием ОС Wondiws, может быть успешно использована в Linux.
Все вышеперечисленное указывает на то, что принципиальной разницы в настройке и администрировании ЛВС под управлением Linux от ЛВС под управлением Windows не существует. Есть разница в подходах и командах, а протоколы, файловые системы и принципы работы неизменны.
Для пользовательских ПК будет использован дистрибутив Linux Ubuntu 13.04. В целях увеличения производительности будут изменены следующие пакеты:
1.Unity - удалить
2.CompizeFusion - удалить
3.Gnome2 - установить
4.XPGnome - установить
Для работы пользователей необходимы следующие программы
1.LibreOffice - аналог MS Office
2.Wine - средство реализации Windows API. Необходимо для работы 1С
3.Mozilla Firefox
4.Qutim - im-агент с поддержкой протоколов ICQ, mra
Установка ОС в среднем занимает от 30 до 50 минут на 1 ПК. После установки для более быстрой адаптации пользователей будут проведены настройки графического интерфейса. В качестве основы использован пакет XpGnome, в котором представлен набор визуальных компонентов и настроек. Изменения затрагивают: пиктограммы, GTK, Metacity, Splash, визуальную тему GDM, курсоры мыши, панель инструментов, фоновые рисунки, визуальные иконки на рабочем столе, оформления вывода списка файлов в Nautilus, тулбар. С экрана удаляются все панели GNOME, внизу добавляется меню Start, кнопка отображения рабочего стола, переключатель окон, область уведомлений, часы и апплет управления громкостью.
Для конфигурирования сервера буте использован Linux Debian 7.0. Графический интерфейс, как и у рабочих станций, будет переведен на Gnome 2. Squid будет установлен из репозитория Canonical.устанавливаем из репозитория следующим образом:apt-get install squid
Конфигурационные файлы для Squid находится в /etc/squid/squid.conf. Для того чтобы редактировать этот файл, набираем:
sudo nano /etc/squid/squid.conf
Ищем параметр http_port, и выставляем ему следующее значение:_port 3128 transparent
Ключевое слово здесь - это transparent, в результате его мы и получим «прозрачный» прокси. А 3128 - это порт для протокола http.
В этом же файле ищем параметр visible_hostname и выставляем ему следующее значение:_hostname (название прокси)
Где (название прокси) - можно заменить любым словом или словосочетанием.
Ищем дальше. Теперь ищем параметр acl our_networks, заменяем его такими строки:
acl our_networks src 192.168.3.0/255.255.255.0_access allow our_networks
Данными строками мы разрешили доступ к прокси для компьютеров из нашей сети 192.168.3.0.
Создаем директории кэша:- z
Перезапускаем сервис squid:
sudo /etc/init.d/squid restart
Добавим правило перенаправления портов в наш файервол.
sudo iptables - t nat - A PREROUTING - i eth1 - d! 192.168.3.0/255.255.255.0 - p tcp - m multiport - dport 80,8080 - j DNAT - to 192.168.3.1:3128
Теперь компьютеры смогут выходить в Интернет через «прозрачный» прокси, при этом нам нигде не надо прописывать настройки прокси вручную.
Осталось настроить автоматический запуск Squid Создается текстовый файл sudo nano /etc/init.d/natsquid и в файл помещается (дабы NAT заводился после загрузки):
#!/bin/sh- t nat - A POSTROUTING - o eth1 - j MASQUERADE- t nat - A PREROUTING - i eth1 - d! 192.168.3.0/255.255.255.0 - p tcp - m multiport - dport 80,8080 - j DNAT - to 192.168.3.1:3128
Файлу придается статус исполнимого: chmod +x /etc/init.d/natsquid.
Файл объявляется как выполняющийся при загрузке: update-rc.d natsquid start 51 S.
Осталось настроить права доступа к данным пользователей. Linux очень гибкая система позволяющая настраивать привилегии не «по шаблону» как привыкли windows администраторы, а очень тонко, благодаря возможности контролировать все вплоть до прав на чтение тех или иных папок.
С целью обеспечения удобной работы пользователей в готовой системе, каждому пользователю создается рабочее место, выносятся пусковые кнопки для всего ПО, которое необходимо пользователю в рабочих процессах, при этом блокируется доступ к любым другим программам и компонентам ОС. Блокировка или разрешение доступа выполняется при помощи, ранее упомянутого chmod.
Заключение
В итоге своей работы мне хотелось бы отметить, что разработанный в ней подход к организации системы информационной безопасности является универсальным и достаточно легко масштабируемым как на малые сети, так и на сложные сетевые архитектуры. При разработке данного подхода я старался как можно чаще ссылаться на утвержденные стандарты, но и не забывать, что с момента утверждения этих стандартов прошло уже 7 лет, что для сферы информационных технологий сравнимо с целой эпохой.
На сегодняшний день все больше малых сетей начинают пользоваться сложными информационными инструментами. Массивы электронной информации лишь растут и в мире, где информация с каждым днем становится одним из самых выгодных товаров, ее защита становится одной из самых актуальных тем. Достаточно мало специалистов получающих образование в направлении информатики и вычислительной техники связывает свою дальнейшую карьеру с информационной безопасностью. По окончании образования я надеюсь развиваться в этом направлении и подробнее разрабатывать тему, затронутую в данной работе.
Разумеется, очень многие вопросы не были мною затронуты, по причине ограничения максимального объема работы. Так, например, мне пришлось оставить без внимания наработки в сфере VPN и SSH туннелей, организации защищенных облачных систем и прочие менее значительные наработки.
В заключении хотелось бы сказать, что изложенные в этой работе подходы к организации систем информационной безопасности с успехом применяются компанией, в которой я работаю на сегодняшний день. Внедренные нами системы функционируют в десятках компаний в Павлодаре. Эти системы уже сейчас демонстрируют высокие показатели надежности, и мы планируем улучшать эти показатели в дальнейшем.
В разработке систем информационной безопасности мы стараемся исходить из фактических реалий бизнес-процессов заказчика, чтобы избежать построения системы ИБ, направленной на достижение целей ИТ-подразделения. Иначе бизнес-подразделения теряют возможности эффективного ведения бизнеса. Мероприятия по обеспечению информационной безопасности становятся обузой и часто не принимаются сотрудниками бизнес-подразделений, поскольку они теряют возможности эффективного сбора и обмена информацией, что задерживает компанию в своем развитии. Для решения данных вопросов, построение системы информационной безопасности нужно начинать с анализа целей и требований бизнеса. Для этого необходимо привлечение сотрудников бизнес-подразделений для обеспечения минимально необходимого воздействия на деятельность бизнес-подразделений при построении системы информационной безопасности. «Безопасность - это не просто один из компонентов ИТ», отметил Крис Апгар, отвечающий в компании Providence Health Plans за информационную безопасность - Это культура и процесс, процедура и установка». В результате для поддержки системы информационной безопасности в компании необходимо выделение роли ответственного за информационную безопасность и определение комитета по информационной безопасности во главе с руководителем компании.
Как правило, выполнение всех мероприятий по информационной безопасности требует достаточно больших ресурсов, но очень часто не учитывается направленность данных мероприятий на конкретный результат, то есть минимизацию наиболее вероятных рисков. В результате организация защищается от всех рисков, несмотря на стоимость мероприятий по защите и возможных убытков. При данном подходе, как правило, излишние мероприятия в той или иной степени негативно отражаются на деятельности организации. Прежде чем вкладывать деньги в безопасность, необходимо оценить получаемые в результате экономические выгоды. Для уменьшения стоимости системы информационной безопасности, необходимо в первую очередь выполнять только те мероприятия, которые направлены на минимизацию наиболее вероятных и опасных рисков. Данный подход позволяет направить финансовые ресурсы, именно, на повышение уровня информационной безопасности, и четко отслеживать эффективность данных вложений.
Для оценки эффективности вложений необходимо просчитывать возможные финансовые убытки хотя бы экспертным путем, поскольку более эффективных по цене / качеству методов расчета не существует.
Вполне возможно, что определенные группы рисков проще страховать, чем минимизировать. Оценка стоимости мероприятий, ущерба и страховки поможет принять верное решение. Очевидно, что в результате объем инвестиций должен быть меньше, чем потери от фактических рисков.
Эти подходы для нас основа, на которой мы строим понимание того, что мы будем предлагать каждому конкретному заказчику. Люди все чаще интересуются организацией систем информационной безопасности, но мы стараемся направить их интерес в русло создания удобных и надежных систем, используя накопленный нами опыт и рекомендации наших коллег по всему миру.
Для того чтобы не оставаться голословным в «приложение Б» я вкладываю скан-копии актов выполненных работ, из которых видно, что деятельность нашей фирмы и мои наработки лично находят свое место на рынке ИТ услуг Павлодара.
А для решения проблем по адаптации пользователей к новой графической среде и командной оболочке придется провести обучающие курсы. Для обучения пользователей будут проводиться занятия три раза в неделю в течении месяца. В качестве учебной литературы будет, например, использоваться: В. Белунцов «Самоучитель пользователя Linux»; Денис Колисниченко «Ubuntu Linux». Рекомендуется проведение занятий в формате СРСП и лекций.
Список использованных источников
информация безопасность утечка защита
1ГОСТ Р ИСО/МЭК 13335-1-2006
ГОСТ Р ИСО/МЭК ТО 13335-3-2007
ГОСТ Р ИСО/МЭК ТО 13335-4-2007
ГОСТ Р ИСО/МЭК ТО 13335-5-2006
ГОСТ Р ИСО/МЭК 17799-2005
ГОСТ Р ИСО/МЭК 15408-1-2008
ГОСТ Р ИСО/МЭК 15408-2-2008
ГОСТ Р ИСО/МЭК 15408-3-2008
ISO/IEC 13335-1: 2004
Крюков Д.А. Самоучитель Slackware/MOPSLinux для пользователя, 2005, ISBN 5-94157-776-1, 978-5-94157-776-7
Комягин В.Б. Резников Ф.А. Операционная система Ubuntu Linux 11.04ISBN: 978-5-89392-511-1
Мельников В.П. Информационная безопасность и защита информации ISBN: 978-5-7695-9222-5
Иванов М.А. Стохастические методы и средства защиты информации в компьютерных системах и сетях Михайлов Д.М., Чугунков И.В. ISBN: 978-5-91136-068-9
Шаньгин В.Ф. Защита информации в компьютерных системах и сетях 2011 г. ISBN: 978-5-94074-637-9, 978-5-94074-833-5
Малюк А.А. Теория защиты информации, 2012, ISBN: 978-5-9912-0246-6
Галатенко В.А. «Стандарты информационной безопасности». 2011 г. ISBN: 5-9556-0053-1, 978-5-9556-0053-6
Проскурин В.Г. Защита программ и данных, 2012, ISBN: 978-5-7695-9288-1
А.С. Першаков Защита и безопасность в сетях Linux. Для профессионалов ISBN: 5-318-00057-6
http://www.sbcinfo.ru/articles/doc/gtc_doc/contents.htm
http://snoopy.falkor.gen.nz/~rae/des.html Описание алгоритма DES
http://markova-ne.narod.ru/infbezop.html Вопросы ИБ и СМИ
http://www.ctta.ru/ Некоторые проблемы ИБ
http://st.ess.ru/steganos.htm Вопросы стеганографии
http://www.infosecurity.ru/_site/problems.shtml Суть проблемы Информационной Безопасности
http://www.jetinfo.ru/2004/11/3/article3.11.2004.html Федеральный стандарт США FIPS 140-2
www.projectmanagement.ru
www.promo.ru
www.rusdoc.ru
www.web-support.ru