Организационно технические мероприятия по обеспечению надежности рабочей станции и защиты информации

Защита информации — это комплекс мероприятий, направленных на обеспечение информационной безопасности. На практике под этим понимается поддержание целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных.

Политика безопасности в организации. Обеспечение надежности рабочей станции предполагает создание препятствий для любого несанкционированного вмешательства в процесс ее работы, а также попыток хищения, модификации данных, выведения из строя или разрушения ее компонент.

Разработка политики безопасности также важна, как и определение диапазона требований или потребностей резервирования данных. Она определяет и устанавливает руководящие принципы, которых должен придерживаться персонал, получивший доступ к технологическим и информационным ресурсам организации.

Угрозы обычно возникают в виде перехвата или кражи информации, нарушения возможности доступа к ресурсам сети (нападения типа “отказ в обслуживании”), несанкционированный доступ к ресурсам или манипуляции данными.

При разработке политики безопасности необходимо учитывать доступность информации, механизмы идентификации пользователя, обеспечения целостности и конфиденциальности данных. Политика безопасности должна внедряться принудительно, как технически, так и организационно. Для начала нужно определить, что и от чего должно быть защищено. Обычно самым легким путем является разделение сети на три составляющие: основой комплекс, сеть удаленного доступа и выход в Интернет. Эти компоненты могут быть рассмотрены отдельно для разработки политики безопасности.

В политике безопасности рассматриваются три главных элемента: идентичность, целостность и аудит. Идентичность - это элемент, который включает как идентификацию, так и авторизацию.

Авторизация определяет список ресурсов, к которым вы имеете доступ. Идентификация определяет разрешение на допуск вообще в систему.

Механизмы идентификации необходимо внедрять очень осторожно. Обременительные или чрезмерно дублированные схемы авторизации следует избегать, так как даже самая продуманная система может быть расстроена, если она достаточно сложна. Примером этого может быть запись пароля на клочке бумаги и прикрепление его к монитору, что достаточно часто можно наблюдать в бухгалтериях предприятий и организаций.

Целостность – это элемент, который включает безопасность устройства сети (физический и логический доступ), безопасность подключения к Интернет и конфиденциальность данных. Безопасность физического доступа может выражаться в размещении оборудования в специально созданных для этого шкафах, которые имеют ограниченный доступ.

Для испытания эффективности инфраструктуры системы безопасности, ее проверка должна происходить достаточно часто. Система должна включать дополнительные проверки при установке новой системы, методы для определения возможных вредительских действий кого-либо из внутреннего персонала, возможного наличия особого класса проблем (атаки типа «отказ в обслуживании») и общее следование политике безопасности объекта.

Основные программно-технические средства. Программно-технические методы образуют последний и самый важный рубеж информационной защиты. Основную часть ущерба наносят действия легальных пользователей, по отношению к которым административные методы не могут дать решающего эффекта.

Идентификация и аутентификация. Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов.

Субъект может подтвердить свою подлинность, если предъявит, по крайней мере, одну из следующих сущностей: пароль, личный идентификационный номер, криптографический ключ, личную карточку, голос, отпечатки пальцев и т.п.

Наиболее распространенным средством аутентификации являются пароли. Система сравнивает введенный и ранее заданный для данного пользователя пароль; в случае совпадения подлинность пользователя считается доказанной. Другое средство, постепенно набирающее популярность, — секретные криптографические ключи пользователей.

Главное достоинство парольной аутентификации — простота и привычность. При правильном использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности. Тем не менее, по совокупности характеристик их следует признать самым слабым средством проверки подлинности.

Управление доступом. Средства управления доступом позволяют специфицировать и контролировать действия, которые пользователи и процессы могут выполнять над объектами (информацией и другими компьютерными ресурсами). Управление доступом — это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность.

Списки доступа (access list) — исключительно гибкое средство. С их помощью легко предоставить права с точностью до пользователя. Посредством списков несложно добавить права или явным образом запретить доступ. Списки являются лучшим средством произвольного управления доступом.

Протоколирование и аудит. Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе. У каждого сервиса свой набор возможных событий. События можно подразделить на внешние (вызванные действиями других сервисов), внутренние (вызванные действиями самого сервиса) и клиентские (вызванные действиями пользователей или администраторов).

Аудит – это анализ накопленной информации, проводимый оперативно, в реальном времени или периодически.

Реализация протоколирования и аудита преследует следующие главные цели: обеспечение подотчетности пользователей и администраторов, обеспечение возможности реконструкции последовательности событий, обнаружение попыток нарушений информационной безопасности и предоставление информации для выявления и анализа проблем.

Другой особенностью протоколирования и аудита является зависимость от других средств безопасности. Идентификация и аутентификация служит отправной точкой подотчетности пользователей, логическое управление доступом защищает конфиденциальность и целостность регистрационной информации.

Криптография. Криптографические методы позволяют надежно контролировать целостность информации. В отличие от традиционных методов контрольного суммирования, способных противостоять только случайным ошибкам, криптографическая контрольная сумма, вычисленная с применением секретного ключа, практически исключает все возможности незаметным образом изменить данные.

В последнее время получила распространение разновидность симметричного шифрования, основанная на использовании составных ключей. Идея состоит в том, что секретный ключ делится на две части, хранящиеся отдельно. Каждая часть сама по себе не позволяет выполнить дешифрование. То есть, необходимо получить половинки этого ключа и дальше действовать обычным для симметричного дешифрования образом. Составные ключи — пример следования принципу разделения обязанностей.

Экранирование. Экран представляет собой средство разграничения доступа клиентов из одного информационного множества к серверам из другого информационного множества. Экран контролирует все информационные потоки между двумя множествами систем.

В общем случае экран (полупроницаемая оболочка) представляется как последовательность фильтров. Каждый из них может задержать данные, а может и сразу “перебросить” их “на другую сторону”. Кроме того, допускается передача порции данных на следующий фильтр для продолжения анализа, или обработка данных от имени адресата и возврат результата отправителю.

В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и средств защиты компьютерных систем. Комплексное их использование предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонировано. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одной из наиболее укрепленных линий обороны призваны быть средства защиты, реализованные на уровне операционных систем в силу того, что это как раз та часть компьютерной системы, которая управляет использованием всех ее ресурсов. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж обороны.