0

Защита компьютерных сетей от несанкционированного доступа

Опубликовано автором admin

Судя по растущему количеству публикаций и компаний, профессионально занимающихся защитой информации в компьютерных системах, решению этой задачи придаётся большое значение. Одной из наиболее очевидных причин нарушения системы защиты является умышленный несанкционированный доступ (НСД) к конфиденциальной информации со стороны нелегальных пользователей и последующие нежелательные манипуляции с этой информацией.

Защита информации — это деятельность по предотвращению утечки, хищения, утраты, модификации (подделки), несанкционированных и непреднамеренных воздействий на защищаемую информацию. По сугубо техническим и неумышленным причинам, под это определение попадает также деятельность, связанная с повышением надёжности сервера из-за отказов или сбоев в работе винчестеров, недостатков в используемом программном обеспечении и другое.

Содержание

Пути несанкционированного доступа [ править | править код ]

  • косвенным — без физического доступа к элементам локальных сетей;
  • прямым — с физическим доступом к элементам локальных сетей.

В настоящее время существуют следующие пути несанкционированного получения информации (каналы утечки информации):

  • применение подслушивающих устройств;
  • дистанционное фотографирование;
  • перехват электромагнитных излучений;
  • хищение носителей информации и производственных отходов;
  • считывание данных в массивах других пользователей;
  • копирование носителей информации;
  • несанкционированное использование терминалов;
  • маскировка под зарегистрированного пользователя с помощью хищения паролей и других реквизитов разграничения доступа;
  • использование программных ловушек;
  • получение защищаемых данных с помощью серии разрешённых запросов;
  • использование недостатков языков программирования и операционных систем;
  • преднамеренное включение в библиотеки программ специальных блоков типа «троянских коней»;
  • незаконное подключение к аппаратуре или линиям связи вычислительной системы;
  • злоумышленный вывод из строя механизмов защиты.

Средства защиты информации [ править | править код ]

Для решения проблемы защиты информации основными средствами, используемыми для создания механизмов защиты принято считать:

Технические средства [ править | править код ]

Технические средства — электрические, электромеханические, электронные и др. типа устройства. Преимущества технических средств связаны с их надёжностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны — недостаточная гибкость, относительно большие объём и масса, высокая стоимость. Технические средства подразделяются на:

  • аппаратные — устройства, встраиваемые непосредственно в аппаратуру, или устройства, которые сопрягаются с аппаратурой локальных сетей по стандартному интерфейсу (схемы контроля информации по чётности, схемы защиты полей памяти по ключу, специальные регистры);
  • физические — реализуются в виде автономных устройств и систем (электронно-механическое оборудование охранной сигнализации и наблюдения. Замки на дверях, решётки на окнах).

Программные средства [ править | править код ]

Программные средства — программы, специально предназначенные для выполнения функций, связанных с защитой информации. А именно программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств — универсальность, гибкость, надёжность, простота установки, способность к модификации и развитию.

Недостатки — ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).

Смешанные аппаратно-программные средства [ править | править код ]

Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.

Организационные средства [ править | править код ]

Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учётом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки — высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.

В ходе развития концепции защиты информации специалисты пришли к выводу, что использование какого-либо одного из выше указанных способов защиты, не обеспечивает надёжного сохранения информации. Необходим комплексный подход к использованию и развитию всех средств и способов защиты информации.

Программные средства защиты информации [ править | править код ]

По степени распространения и доступности на первом месте стоят программные средства, поэтому далее они рассматриваются более подробно. Другие средства применяются в тех случаях, когда требуется обеспечить дополнительный уровень защиты информации.

Среди программных средств защиты информации в локальных сетях можно выделить и подробнее рассмотреть следующие:

  • средства архивации данных — средства, осуществляющие слияние нескольких файлов и даже каталогов в единый файл — архив, одновременно с сокращением общего объёма исходных файлов путём устранения избыточности, но без потерь информации, то есть с возможностью точного восстановления исходных файлов.;
  • антивирусные программы — программы разработанные для защиты информации от вирусов;
  • криптографические средства — включают способы обеспечения конфиденциальности информации, в том числе с помощью шифрования и аутентификации;
  • средства идентификации и аутентификации пользователей — аутентификацией (установлением подлинности) называется проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности. Другими словами, аутентификация заключается в проверке: является ли подключающийся субъект тем, за кого он себя выдаёт. А идентификация обеспечивает выполнение функций установления подлинности и определение полномочий субъекта при его допуске в систему, контролирования установленных полномочий в процессе сеанса работы, регистрации действий и др.
  • средства управления доступом — средства, имеющие целью ограничение и регистрацию входа-выхода объектов на заданной территории через «точки прохода»;
  • протоколирование и аудит — протоколирование обеспечивает сбор и накопление информации о событиях, происходящих в информационной системе. Аудит — это процесс анализа накопленной информации. Целью компьютерного аудита является контроль соответствия системы или сети требуемым правилам безопасности, принципам или индустриальным стандартам. Аудит обеспечивает анализ всего, что может относиться к проблемам безопасности, или всего, что может привести к проблемам защиты.

Встроенные [ править | править код ]

Встроенные средства защиты информации в сетевых ОС доступны, но не всегда, как уже отмечалось, могут полностью решить возникающие на практике проблемы. Например, сетевые ОС NetWare 3.x, 4.x позволяют осуществить надёжную «эшелонированную» защиту данных от аппаратных сбоев и повреждений. Система SFT (System Fault Tolerance — система устойчивости к отказам) компании Novell включает три основные уровня:

  • SFT Level I предусматривает, в частности, создание дополнительных копий FAT и Directory Entries Tables, немедленную верификацию каждого вновь записанного на файловый сервер блока данных, а также резервирование на каждом жёстком диске около 2 % от объёма диска. При обнаружении сбоя данные перенаправляются в зарезервированную область диска, а сбойный блок помечается как «плохой» и в дальнейшем не используется.
  • SFT Level II содержит дополнительные возможности создания «зеркальных» дисков, а также дублирования дисковых контроллеров, источников питания и интерфейсных кабелей.
  • SFT Level III позволяет применять в локальной сети дублированные серверы, один из которых является «главным», а второй, содержащий копию всей информации, вступает в работу в случае выхода «главного» сервера из строя.

Система контроля и ограничения прав доступа в сетях NetWare (защита от несанкционированного доступа) также содержит несколько уровней:

  • уровень начального доступа (включает имя и пароль пользователя, систему учётных ограничений — таких как явное разрешение или запрещение работы, допустимое время работы в сети, место на жёстком диске, занимаемое личными файлами данного пользователя, и т. д.);
  • уровень прав пользователей (ограничения на выполнение отдельных операций и/или на работу данного пользователя, как члена подразделения, в определённых частях файловой системы сети);
  • уровень атрибутов каталогов и файлов (ограничения на выполнение отдельных операций, в том числе удаления, редактирования или создания, идущие со стороны файловой системы и касающиеся всех пользователей, пытающихся работать с данными каталогами или файлами);
  • уровень консоли файл-сервера (блокирование клавиатуры файл-сервера на время отсутствия сетевого администратора до ввода им специального пароля).
Читайте также:  Как будет имя по китайски

Специализированные [ править | править код ]

Специализированные программные средства защиты информации от несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства сетевых ОС. Кроме программ шифрования и криптографических систем, существует много других доступных внешних средств защиты информации. Из наиболее часто упоминаемых решений следует отметить следующие две системы, позволяющие ограничить и контролировать информационные потоки.

  • Firewalls — брандмауэры (firewall — огненная стена). Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью. Более защищённая разновидность метода — это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.
  • Proxy-servers (proxy — доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью — маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод не даёт достаточной защиты против атак на более высоких уровнях — например, на уровне приложения (вирусы, код Java и JavaScript).

Решение

  • Деление компьютеров на сегменты:
    Групповые политики безопасности назначаются на сегменты компьютерного парка (бухгалтерия, отдел продаж, разработчики и др.).
  • Приоритизация компьютеров в сети:
    Категорирование уровня важности отдельных защищаемых компьютеров и приоритизация инцидентов в системе.
  • Защита входа в систему:
    Парольная аутентификация пользователей или усиленная идентификация с использованием аппаратных идентификаторов. Блокировка компьютера при изъятии идентификатора для исключения доступа в момент отсутствия сотрудника на рабочем месте. Интеграция с модулем доверенной загрузки «Соболь».
  • Разграничение доступа к ресурсам:
    Механизм дискреционного разграничения доступа к ресурсам позволяет контролировать и управлять правами доступа пользователей и групп пользователей к объектам файловой системы (для ОС Windows и Linux).
    Мандатный контроль доступа для открытия файлов и папок в соответствии с уровнем конфиденциальности сессии пользователя. Позволяет обеспечить более гранулированное управление доступом к данным (для ОС Windows).
  • Разграничение доступа к устройствам:
    Пользователи могут подключать и работать только с зарегистрированными в системе устройствами и выполнять функции в соответствии с заданными к данному устройству правами доступа.
  • Контроль печати:
    Выделение только разрешенных принтеров для печати конфиденциальной информации и устранение возможных каналов утечки информации.
  • Контроль целостности:
    Контроль целостности ключевых компонентов средства защиты информации и объектов файловой системы. Настройка режимов реакции на нарушение целостности объектов.
    Контроль неизменности файлов и физических секторов жесткого диска до загрузки операционной системы. При нарушении целостности файла вход пользователя в систему блокируется.
    Механизм контроля целостности системного реестра Windows защищает рабочие станции от несанкционированных действий внутри операционной системы.
  • Удаление остаточной информации:
    Уничтожение содержимого файлов при их удалении пользователем. Очистка освобождаемых областей оперативной памяти компьютера и запоминающих устройств.
  • Шифрование конфиденциальных данных:
    Хранение конфиденциальных документов в зашифрованном по криптоалгоритму ГОСТ 28147-89 контейнере.
  • Теневое копирование файлов:
    Теневое копирование выводимой информации. Расследование инцидентов, связанных с утечками.
  • Доверенная информационная среда:
    Возможность ограничения запускаемых приложений. Защита от недоверенных и вредоносных программ.
  • Контроль действия приложений:
    Защита от внедрения вредоносного кода в разрешенные приложения.
  • Персональный межсетевой экран:
    Запрет непредусмотренных маршрутов движения сетевого трафика.
  • Авторизация сетевых соединений:
    Защита от подмены серверов и настройка правил межсетевого экрана для конкретных пользователей, блокировка сети при несанкционированном доступе к компьютеру.
  • Обнаружение и предотвращение сетевых вторжений:
    Защита от атак с недоверенных компьютеров и внешних источников.
  • Антивирусная защита:
    Надежная защита от любого типа вредоносных программ, включая вирусы, которые не осуществляют запуск и выполняются в обход замкнутой программной среды.
  • Аудит действий пользователей:
    Аудит действий субъектов с защищаемыми объектами файловой системы и сетевых соединений, аудит отчуждения информации. Возможность автоматического построения отчетов по результатам аудита.

Результат

  • Минимизация финансовых и репутационных рисков, связанных с утечкой конфиденциальной информации.
  • Настроены политики безопасности для сотрудников различных служб при работе с конфиденциальной информацией:

  • с финансовыми документами;
  • с базой данных клиентов;
  • с интеллектуальной собственностью организации;
  • с банковской тайной;
  • с персональными данными.

Сотрудники получают доступ только к своим рабочим данным, нивелирован риск финансовых и репутационных потерь из-за заражения компьютеров вредоносными программами или утечек конфиденциальной информации.

  • Сокращены расходы на администрирование и поддержку СЗИ за счет использования единой системы обеспечения безопасности на всех рабочих станциях организации.

    • Продукты

    Комплексное решение для защиты рабочих станций и серверов на уровне данных, приложений, сети, операционной системы и периферийного оборудования

    Secret Net Studio 8.5 предназначен для построения комплексной системы защиты. Решение позволяет обеспечить безопасность как самой инфраструктуры конечных точек организации, так и конфиденциальной информации, хранимой и обрабатываемой в системе.

    В версии 8.5 продукта впервые представлен механизм Доверенной среды, позволяющий осуществлять независимый от операционной системы контроль работы защитных механизмов и драйверов.

    • Доверенная среда – независимый от ОС контроль работы СЗИ и драйверов
    • Возможность использования антивирусного модуля по технологии «Лаборатории Касперского»
    • Блокировка вредоносных IP-адресов и фишинговых URL-адресов
    • Возможность развертывания через групповые политики Windows
    • Отчеты о настройках СЗИ, идентификаторах пользователей, установленном ПО

    Сертифицированное средство защиты информации от несанкционированного доступа для операционных систем семейства Linux

    Сертифицированный аппаратно-программный модуль доверенной загрузки (АПМДЗ)

    Четвертое поколение ПАК «Соболь» – новый шаг в развитии продукта. В новой версии значительно изменились функциональные возможности продукта, при этом сохранилась преемственность интерфейса.

    • Функционирование в среде UEFI дает возможность использовать для хранения и обработки конфиденциальных данных и гостайны современные компьютеры
    • Поддержка разметки диска в формате GPT позволяет работать с жесткими дисками объемом более 2 терабайт
    • Поддержка USB 3.0 обеспечивает работу с современными USB-идентификаторам
    • Поддержка Альт Линукс СПТ 7, Astra Linux Special Edition "Смоленск" 1.5 и VMware vSphere ESXi 6
    • Расширен список поддерживаемых идентификаторов: USB-ключи: JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ, JaCarta SF/ГОСТ, Rutoken ЭЦП и Rutoken Lite; Смарт-карты: JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ
    • Для оптимизации работы в крупных инфраструктурах увеличено количество поддерживаемых пользователей с 32 до 100 и расширены возможности журнала безопасности – количество записей возросло с 80 до 2000
    • Три формата исполнения: на платах PCI Express, Mini PCI Express Half и М.2
    • ПАК «Соболь» соответствует требованиям ФСТЭК России к средствам доверенной загрузки уровня платы расширения второго класса защиты. Может использоваться в автоматизированных системах до класса защищенности 1Б включительно, в ИСПДн до УЗ1 включительно и в ГИС до 1-го класса защищенности включительно
    • Сертификатом соответствия Министерства обороны России подтверждено соответствие ПАК «Соболь» требованиям руководящих документов по 2 уровню контроля отсутствия НДВ, требованиям к СДЗ уровня платы расширения 2 класса защиты и возможность использования в автоматизированных системах до класса защищенности 1Б включительно

    Продукт снят с продаж – подробнее

    Сертифицированное средство защиты информации от несанкционированного доступа для операционных систем семейства MS Windows

    Сертифицированное средство защиты платформ виртуализации, обеспечивающее контроль инфраструктуры, действий администраторов и фильтрацию сетевого трафика на уровне гипервизора

    vGate 4.1 предназначен для защиты от характерных для виртуальной инфраструктуры угроз и контроля привилегированных пользователей. Новая версия продукта включает в свой состав компонент, не имеющий аналогов на российском рынке – безагентный виртуальный межсетевой экран.

    • Компонент сетевой защиты vNetwork дает возможность создавать правила фильтрации как на уровне отдельной виртуальной машины, так и на уровне групп виртуальных машин. vNetwork позволяет быстро и просто разделить виртуальную инфраструктуру на множество логических сегментов, независимых от физической топологии сети. Это ограничит горизонтальное распространение атаки, при этом не нужно перенастраивать саму сеть.
    • В vGate 4.1 оптимизировано управление объектами виртуальной инфраструктуры:
    • политики безопасности можно назначать напрямую на объекты виртуальной инфраструктуры;
    • стало возможным добавлять объекты в группы и назначать политики безопасности и метки на группы;
    • виртуальные машины автоматически добавляются в группы на основе их имени.
    Читайте также:  Замена батарейки в компьютере пошагово
  • С помощью обновленного веб-интерфейса стало проще и удобнее управлять функциональными возможностями редакции Enterprise Plus.
  • Обновленный модуль мониторинга событий безопасности и создания отчетов обеспечивает отправку инцидентов безопасности во внешние системы с использованием протоколов syslog и SMTP.
  • Для обеспечения безопасности миграции виртуальных машин реализована возможность контроля операций Cross vCenter vMotion, а также расширено общее количество контролируемых операций в виртуальной инфраструктуре vSphere.
  • Новый агент для сервера управления VMware vCSA позволяет настраивать правила доступа. При недоступности сервера авторизации появилась возможность отключать агент и переводить компонент в аварийный режим. Агент поддерживает все сценарии развертывания на vCSA High Availability.
  • Новые наборы политик безопасности позволят в автоматизированном режиме настроить защиту финансовых операций по ГОСТ Р 57580.1-2017, а также объектов КИИ.
  • Начиная с версии 4.1 в vGate реализована поддержка современных моделей идентификаторов и смарт-карт Рутокен.

    • vGate 4.1 соответствует требованиям ФСТЭК России по 5 классу защищенности СВТ и 4 уровню контроля НДВ, может использоваться в АС до класса защищенности 1Г включительно, для защиты информации в ИСПДн до 1 уровня включительно и ГИС до 1 класса включительно.

    vGate-S 4.1 соответствует требованиям ФСТЭК России по 2 уровню контроля НДВ и может использоваться в автоматизированных системах до класса 1Б включительно.

    Терминальный клиент со встроенными средствами защиты информации

    План защиты от несанкционированного доступа к электронным базам данных и сетевым ресурсам.

    Общие положения

    От обеспечения безопасности информационной вычислительной системы организации во многом зависит бесперебойное, устойчивое и надежное функционирование бизнес-процессов в вычислительных системах организации в целом; в частности, репутация организации, доля на рынке, снижение издержек и т.п.

    Ко всем данным, с которыми работает информационная вычислительная система, в обязательном порядке предъявляется требование сохранности, аутентичности и целостности. Обеспечение этих требований является первостепенным в задачах обеспечения информационной безопасности. Несанкционированный доступ к информационным ресурсам, располагающимся в электронных базах данных и на сетевых ресурсах, как правило имеет целью нарушение этих требований. Как следствие, несанкционированный доступ может нанести организации существенный финансовый, юридический и репутационный ущерб. В связи с этим одной из важнейших задач обеспечения информационной безопасности является задача максимально возможного снижения угрозы несанкционированного доступа.

    Для решения этой задачи используется комплексный подход, предполагающий использование технических и программных решений, а также специальные организационные мероприятия.

    Классификация объектов защиты и угроз

    В качестве объектов защиты выступают массивы электронной информации (а значит и содержащие их хранилища информации), которая является:

    • коммерческой тайной;
    • персональными данными физических лиц;
    • секретной ключевой информацией систем криптографической защиты информации;
    • внутренней служебной информацией, публикация которой по тем или иным причинам нежелательна;
    • иной информацией, по тем или иным причинам не подлежащей свободному распространению.

    Информация по своему месторасположению по отношению к компьютеру лица, пытающегося получить к ней доступ, может:

    • Располагаться на компьютере пользователя, быть локальной (Local);
    • Располагаться в открытом для доступа сетевом каталоге другого компьютера (сервера) локальной вычислительной сети организации (Network);
    • Располагаться в базе данных одной из систем управления базами данных (СУБД) (Database);
    • Располагаться на сетевом ресурсе, доступ к которому осуществляется посредством соответствующего сетевого сервиса (например, web-сайт) (WWW).

    Классификация информационных угроз:

    • Несанкционированный доступ к ресурсам и данным системы; подбор пароля, взлом систем защиты и администрирования, маскарад (действия от чужого имени);
    • перехват и подмена трафика (подделка платежных поручений, атака типа «злоумышленник посередине»);
    • IP-спуфинг (подмена сетевых адресов);
    • отказ в обслуживании (DoS);
    • атака на уровне приложений;
    • сканирование сетей или сетевая разведка;
    • использование отношений доверия в сети;
    • выполнение сотрудником организации (инсайдером) поиска, копирования, анализа, консолидации и т.п. действий, выходящих за рамки его служебных обязанностей, с информацией, доступ к которой сотруднику разрешен.

    Причины, приводящие к появлению уязвимости от перечисленных угроз:

    • отсутствие гарантии конфиденциальности и целостности передаваемых данных;
    • недостаточный уровень проверки участников соединения;
    • недостаточная реализация или некорректная разработка политики безопасности;
    • отсутствие или недостаточный уровень защиты от несанкционированного доступа (антивирусы, контроль доступа, системы обнаружения атак);
    • существующие уязвимости используемых операционных систем, программного обеспечения, СУБД, веб-систем и сетевых протоколов;
    • непрофессиональное и слабое администрирование систем;
    • проблемы при построении межсетевых фильтров;
    • сбои в работе компонентов системы или их низкая производительность;
    • уязвимости при управлении ключами.

    Основные виды атак на финансовые сообщения и финансовые транзакции, проистекающие от соответствующих информационных угроз;

    • раскрытие содержимого документа;
    • представление документа от имени (другого) участника (маскарадинг);
    • несанкционированная модификация содержимого документа;
    • повтор переданной информации:
    • блокирование передачи документа.

    Архитектура системы информационной безопасности, покрывающая основные классы угроз, должна содержать следующие обязательные компоненты:

    • подсистему аутентификации и авторизации пользователей;
    • антивирусную подсистему;
    • подсистему межсетевого экранирования;
    • подсистему криптографической защиты информации;
    • подсистему физической защиты;
    • подсистему защиты внутренних сетевых ресурсов;
    • подсистему защиты Web-pecypcoв и рекомендуемые компоненты:
    • подсистему обнаружения и предотвращения вторжений;
    • подсистему контроля содержимого Интернет-графика;
    • подсистему протоколирования, отчета и мониторинга средств защиты;
    • подсистему протоколирования действий пользователей и администраторов;
    • подсистему защиты рабочих станций;
    • подсистему управления информационной безопасности.

      Защита от НСД и других угроз извне ЛВС организации

      Вследствие достаточно надежной защиты периметра локальной вычислительной сети средствами брандмауэра прямые атаки на информационные ресурсы, находящиеся внутри защищаемого периметра, со стороны лиц, находящихся вне этого периметра, малоэффективны, а поэтому маловероятны.

      Гораздо более вероятную опасность представляют так называемые DoS-атаки, вызывающие «отказ в обслуживании» со стороны информационных сервисов организации, таких, как интернет сайт организации, электронная почта или со стороны технических сервисов, таких как VPN, RDP и т.п.

      Методы обнаружения DoS атак:

      • сигнатурные — основанные на качественном анализе трафика;
      • статистические — основанные на количественном анализе трафика;
      • гибридные — сочетающие в себе достоинства двух предыдущих методов;
      • реакционные — основанные на получении информации о необычно медленной реакции информационной системы, недоступности ее сервисов.

      План действий при DoS атаке:

      1. При получении информации о необычно медленной реакции информационной системы или иных обоснованных подозрений о происходящей DoS атаке необходимо проинформировать начальника управления автоматизации и администратора информационной безопасности.
      2. Отделу телекоммуникаций необходимо прекратить (физически или логически) внешний доступ к атакуемому сетевому сервису.
      3. При этом необходимо собрать как можно больше информации о характере атаки, ее интенсивности, источниках, возможных целях. Для этого использовать информацию из системных журналов соответствующих систем.
      4. На основе полученной информации об источнике атаки применять как пассивные защитные меры (фильтрация адресов, протоколов, портов, уклонение, т.е. увод непосредственной цели атаки (доменного имени или IP- адреса) от других ресурсов сети), так и активные — воздействие на источники, организатора или центр управления атакой, как технического, так и организационно-правового характера

      В качестве превентивных мероприятий следует использовать:

      • Предотвращение. Профилактика причин, побуждающих тех или иных лиц организовывать DoS-атаки. Очень часто атаки являются следствиями личной обиды, политических, религиозных разногласий, провоцирующего поведения жертвы и т. п.
      • Фильтрация и блэкхолинг. Эффективность этих методов снижается по мере приближения к цели атаки и повышается по мере приближения к её источнику.
      • Устранение уязвимостей. Не работает против атак типа флуд, для которых «уязвимостью» является конечность тех или иных ресурсов.
      • Наращивание ресурсов.
      • Рассредоточение. Построение распределённых и продублированных систем, которые не прекратят обслуживать пользователей даже если некоторые их элементы станут недоступны из-за атаки.

      Другой опасностью, проникающей в локальную вычислительную сеть извне, но действующей внутри периметра защиты, являются компьютерные вирусы. Ввиду их скрытного действия и существенных возможностей по несанкционированному доступу и даже уничтожению информации, меры профилактической защиты от вирусных атак являются важной компонентой информационной безопасности.

      Читайте также:  Извлеките легендарное свойство с помощью куба канаи

      К основным способам защиты от вирусных атак относятся программные (антивирусные мониторы и антивирусные сканеры) и организационные (выполнение сотрудниками организации требований информационной безопасности; прививание пользователям культуры работы с электронной почтой, в интернет и т.п.).

      План превентивных антивирусных мероприятий:

      1. На каждом компьютере банка должно быть установлено антивирусное программное обеспечение, имеющее в своем составе как антивирусный монитор, так и антивирусный сканер. Рекомендуется использовать только программное обеспечение ведущих производителей антивирусов.
      2. База данных вирусных сигнатур должна обновляться не реже одного раза в день. Рекомендуется более частое обновление с использованием централизованного распространения базы сигнатур.
      3. Антивирусный монитор должен быть постоянно включен.
      4. На компьютерах тех сотрудников, которые не работают в интернет и не ведут переписку по электронной почте со сторонними организациями, полное сканирование всех локальных дисков на предмет выявления и удаления («лечения») вирусов должно проводиться не реже одного раза в месяц.
      5. На компьютерах тех сотрудников, которые работают в интернет и/или ведут переписку по электронной почте со сторонними организациями, полное сканирование всех локальных дисков на предмет выявления и удаления («лечения») вирусов должно проводиться не реже одного раза в неделю.
      6. Рекомендуется при сканировании (особенно при подозрении о наличии вирусов) помимо основного сканера использовать антивирусные сканеры (например, бесплатно распространяемые) других производителей. Практика показывает, что использование одного антивирусного продукта не всегда эффективно — часть вирусов может быть пропущена при сканировании.
      7. При приеме на работу в организацию сотрудники должны быть проинструктированы администратором информационной безопасности о мерах по обеспечению информационной безопасности и необходимости строгого выполнения соответствующих требований.
      8. Регулярно (не реже одного раза в год) администратор информационной безопасности должны проводиться краткие повторные инструктажи сотрудников с доведением до них информации о новых опасных особенностях вирусов, троянских программ и другого вредоносного программного обеспечения.
      9. После проведения повторного инструктажа не реже одного раза в год должна проводиться аттестация сотрудников организации по теме «Информационная безопасность».

        Защита от несанкционированного доступа изнутри ЛВС организации

        Защита информационных ресурсов от несанкционированного доступа со стороны легальных пользователей сети — гораздо более трудная задача. Это обусловлено тем, что пользователи локальной вычислительной сети уже зарегистрированы в системе и наделены теми или иными полномочиями при доступе к информации.

        Для обеспечения высокого уровня информационной безопасности локальной вычислительной сети рекомендуется проводить следующие процедуры при организации работы персонала организации:

        • фиксировать в трудовых договорах обязанности персонала по соблюдению конфиденциальности, в том числе лиц, работающих по совместительству;
        • по возможности распределять основные функции между сотрудниками так, чтобы ни одна существенная операция не могла быть выполнена одним человеком от начала до конца;
        • обеспечивать строгий режим пропуска и порядка в служебных помещениях, устанавливать жесткий порядок пользования средствами связи и передачи информации;
        • регулярно (не реже одного раза в год) проводить оценку всей имеющейся информации и выделять из нее конфиденциальную в целях ее защиты;
        • иметь нормативные правовые документы по вопросам защиты информации;
        • постоянно повышать квалификацию сотрудников, знакомить их с новейшими методами обеспечения информационной безопасности;
        • рекомендуется создать базу данных для фиксирования попыток несанкционированного доступа к конфиденциальной информации;
        • проводить служебные расследования в каждом случае нарушения политики безопасности.

        План мероприятий по снижению угрозы несанкционированного доступа от легальных пользователей локальной вычислительной сети:

        1. Сотрудникам категорически запрещается передавать свои имя и пароль другим лицам.
        2. Рекомендуется, чтобы пользователи локальной вычислительной сети были объединены в логические группы, отражающие функциональные обязанности этих пользователей. Принцип — все пользователи, входящие в некую группу, имеют права доступа к информации, соответствующие этой группе, и в этой части функциональные обязанности пользователей совпадают.
        3. Рекомендуется разрешать доступ к информационным ресурсам только группам. При этом вид доступа (чтение содержимого каталога, чтение файла, модификация файла и т.п.) должен строго соответствовать функциям сотрудника при работе с соответствующим массивом информации. Кроме этого, должен применяться принцип возможной минимизации доступа: если без ущерба для функциональности возможно не предоставлять один из видов доступа, то его не следует предоставлять.
        4. При изменении должностных обязанностей сотрудника, переводе его на другую работу, руководитель соответствующего подразделения должен немедленно уведомить администратора о необходимости изменить (исключить) членство сотрудника в логических группах доступа.
        5. При проектировании и разработке пользовательских интерфейсов программных продуктов, используемых в организации, настоятельно рекомендуется избегать (кроме особых случаев) подходов, при которых, во время работы пользователя с программой, её интерфейс позволяет просматривать большие объемы информации и/или сохранять её на электронные носители, передавать по электронной почте или в интернет.
        6. При проектировании приложений, использующих доступ к серверным базам данных, рекомендуется использовать механизм ролей и разграничения доступа пользователей к компонентам СУБД, применяя принцип минимально возможных прав. При этом не рекомендуется давать пользователям СУБД непосредственный доступ к её таблицам. Доступ пользователей к данным, хранящимся в таблицах, должен осуществляться преимущественно посредством хранимых процедур и представлений (view). Эти процедуры и представления, в свою очередь, должны представлять пользователю только необходимый для его работы набор записей, содержащих только необходимые поля.
        7. При организации структуры каталогов для хранения таблиц не серверных СУБД необходимо использовать подход, аналогичный организации доступа к сетевым каталогам файловых серверов. При этом для хранения различных файлов-таблиц рекомендуется создавать подкаталоги, объединяющие эти таблицы по функциональному назначению и позволяющие использовать механизм разграничения доступа логических групп ЛВС к этим каталогам.

        План мероприятий по снижению риска несанкционированного доступа со стороны лиц, подключившихся к локальной вычислительной сети организации нелегально:

        1. Не устанавливать точки подключения к локальной вычислительной сети организации (розетки) в местах, где возможно неконтролируемое подключение к ним со стороны посторонних лиц.
        2. Администратор информационной безопасности проводить регулярное (ежедневное) сканирование локальной вычислительной сети организации с целью выявления несанкционированных подключений к ней.
        3. При необходимости предоставления доступа в интернет и/или к другим ресурсам сотрудникам сторонних организаций, необходимо создание отделом технического обеспечения виртуальных сетей (VLAN), максимально ограничивающих возможности этих сотрудников по доступу в локальной вычислительной сети организации и/или сканированию сетевого трафика организации.
        4. При конфигурировании VPN сети организации рекомендуется ограничивать доступ из дочерних подразделений сети (соответствующих сетям филиалов и дополнительных офисов), разрешая его только к необходимым для работы ресурсам (серверам, протоколам, портам) центральной локальной вычислительной сети организации.
        5. Не использовать беспроводные сети, кроме случаев организации малых временных сетей, не имеющих выхода в основную локальную вычислительную сеть организации. При этом в обязательном порядке необходимо применять имеющиеся в протоколе беспроводной связи средства защиты. В частности, групповой пароль для подключения к концентратору должен быть нетривиальным по набору символов, его длина должна быть достаточной для обеспечения криптостойкости (не менее 10 символов). В случаях длительного использования беспроводных сетей следует менять групповой пароль не реже 1 раза в месяц.
        6. Все стандартные пароли доступа к серверам, настройкам оборудования и т.п. еще до осуществления настроек соответствующих систем, серверов или оборудования в обязательном порядке должны быть изменены на нетривиальные, отвечающие требованиям парольной защиты.
        7. Рекомендуется использовать аутентификацию пользователей при доступе их к интернету и электронной почте.

        Отделу технического обеспечения отключать в кроссировочных шкафах соединения с неиспользуемыми розетками локальной вычислительной сети, установленными в помещениях организации.

        Скачать ZIP файл (25405)

        Пригодились документы — поставь «лайк» или поддержи сайт материально :

        Post Views: 2

        Похожие записи:

        1. В каком классе проходят умножение двузначных чисел
        2. В одноклассниках не работает поиск людей
        3. Видеорегистратор mio какой выбрать
        4. Заключение на списание оргтехники

        admin

        More Posts

        Добавить комментарий

        Ваш e-mail не будет опубликован. Обязательные поля помечены *