Деятельность, направленная на обеспечение защищенного состояния объекта (в этом значении чаще используется термин «защита информации»)
|
Скачать 406.27 Kb.
|
|
http://ru.wikipedia.org/ http://www.mylect.ru/informatic/ http://dorlov.blogspot.com/2011/05/issp-10.html http://infosecmd.narod.ru/gl4.html Деятельность, направленная на обеспечение защищенного состояния объекта (в этом значении чаще используется термин «защита информации»). В то время как информационная безопасность — это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния. Информационная безопасность организации — целенаправленная деятельность ее органов и должностных лиц с использованием разрешенных сил и средств по достижению состояния защищённости информационной среды организации, обеспечивающее её нормальное функционирование и динамичное развитие. Кортеж защиты информации — это последовательность действий для достижения определённой цели. Информационная безопасность государства — состояние сохранности информационных ресурсов государства и защищенности законных прав личности и общества в информационной сфере. Программно-технические способы и средства обеспечения информационной безопасности В литературе предлагается следующая классификация средств защиты информации. Средства защиты от несанкционированного доступа (НСД): Средства авторизации; Несанкционированный доступ — доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации. Так же иногда несанкционированным доступом называют получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей. Несанкционированный доступ к информации (НСД) - Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. Средства авторизации; Средства авторизации ; применяемый по отношению к компьютерным процессам, данным и системным устройствам и предназначенный для предотвращения их нежелательного использования. В информационных технологиях посредством авторизации устанавливаются и реализуются права доступа к ресурсам и системам обработки данных. В финансовой сфере авторизация проводится при использовании банковских платежных, кредитных и иных карт. В бизнесе — выдача лицензии (напр. авторизированный автомобильный дилер). Мандатное управление доступом; Мандатное управление доступом (англ. Mandatory access control, MAC) — разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (допуска) субъектам на обращение к информации такого уровня конфиденциальности. Также иногда переводится как Принудительный контроль доступа. Это способ, сочетающий защиту и ограничение прав, применяемый по отношению к компьютерным процессам, данным и системным устройствам и предназначенный для предотвращения их нежелательного использования. Избирательное управление доступом; Управление доступом на основе ролей; Журналирование (так же называется Аудит). Системы анализа и моделирования информационных потоков (CASE-системы). Системы мониторинга сетей: Системы обнаружения и предотвращения вторжений (IDS/IPS). Система обнаружения вторжений (СОВ) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Соответствующий английский термин — Intrusion Detection System (IDS). Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем. Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей) Системы предотвращения утечек конфиденциальной информации (DLP-системы). Предотвращение утечек (англ. Data Leak Prevention, DLP) — технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек. DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется. Анализаторы протоколов. Антивирусные средства. Межсетевые экраны. Криптографические средства: Шифрование; Цифровая подпись. Системы резервного копирования. Системы бесперебойного питания: Источники бесперебойного питания; Резервирование нагрузки; Генераторы напряжения. Системы аутентификации: Аутентифика́ция (англ. Authentication) — проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности. Учитывая степень доверия и прочие свойства систем, проводимая проверка может быть односторонней или взаимной. Обычно она проводится с помощью криптографической обработки, позволяющей защитить передаваемые данные от злоумышленников. Пароль; Ключ доступа (физический или электронный); Сертификат; Биометрия. Средства предотвращения взлома корпусов и краж оборудования. Средства контроля доступа в помещения. Инструментальные средства анализа систем защиты: Мониторинговый программный продукт. Механизмы безопасности Согласно "Оранжевой книге", политика безопасности должна обязательно включать в себя следующие элементы: произвольное управление доступом; безопасность повторного использования объектов; метки безопасности; принудительное управление доступом. Произвольное управление доступом (называемое иногда дискреционным) - это метод разграничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту. Безопасность повторного использования объектов - важное дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения конфиденциальной информации из "мусора". Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т.п.), для дисковых блоков и магнитных носителей в целом. Метки безопасности состоят из двух частей - уровня секретности и списка категорий. Уровни секретности образуют упорядоченное множество, категории - неупорядоченное. Назначение последних - описать предметную область, к которой относятся данные. Для реализации принудительного управления доступом с субъектами и объектами ассоциируются метки безопасности. Метка субъекта описывает его благонадежность, метка объекта - степень конфиденциальности содержащейся в нем информации. Для реализации принудительного управления доступом с субъектами и объектами ассоциируются метки безопасности. Метка субъекта описывает его благонадежность, метка объекта - степень конфиденциальности содержащейся в нем информации. Принудительное (или мандатное) управление доступом (зависит от воли субъектов) основано на сопоставлении меток безопасности субъекта и объекта. После того, как зафиксированы метки безопасности субъектов и объектов, оказываются зафиксированными и права доступа. Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В частности, "конфиденциальный" субъект может записывать данные в секретные файлы, но не может - в несекретные. Если понимать политику безопасности как правила разграничения доступа, то механизм подотчетности является дополнением подобной политики. Цель подотчетности - в каждый момент времени знать, кто работает в системе и что делает. Средства подотчетности делятся на три категории: идентификация и аутентификация; предоставление доверенного пути; анализ регистрационной информации. Обычный способ идентификации - ввод имени пользователя при входе в систему. Стандартное средство проверки подлинности (аутентификации) пользователя - пароль. Доверенный путь связывает пользователя непосредственно с доверенной вычислительной базой, минуя другие, потенциально опасные компоненты ИС. Цель предоставления доверенного пути - дать пользователю возможность убедиться в подлинности обслуживающей его системы. "Оранжевая книга" предусматривает наличие средств выборочного протоколирования, как в отношении пользователей, так и в отношении событий. Классы безопасности "Оранжевая книга" Министерства обороны США открыла путь к ранжированию информационных систем по степени доверия безопасности. В "Оранжевой книге" определяется четыре уровня доверия - D, C, B и A: уровень C - произвольное управление доступом; уровень B - принудительное управление доступом; уровень A - верифицируемая безопасность. Уровень D предназначен для систем, признанных неудовлетворительными. По мере перехода от уровня C к A к системам предъявляются все более жесткие требования. Уровни C и B подразделяются на классы (C1, C2, B1, B2, B3) с постепенным возрастанием степени доверия. Всего имеется шесть классов безопасности - C1, C2, B1, B2, B3, A1. Чтобы в результате процедуры сертификации систему можно было отнести к некоторому классу, ее политика безопасности и уровень гарантированности должны удовлетворять заданным требованиям. Например, требования к ИС согласно классу C1: доверенная вычислительная база должна управлять доступом именованных пользователей к именованным объектам; пользователи должны идентифицировать себя, прежде чем выполнять какие-либо иные действия, контролируемые доверенной вычислительной базой. Для аутентификации должен использоваться какой-либо защитный механизм, например пароли. Аутентификационная информация должна быть защищена от несанкционированного доступа; доверенная вычислительная база должна поддерживать область для собственного выполнения, защищенную от внешних воздействий (в частности, от изменения команд и/или данных) и от попыток слежения за ходом работы; должны быть в наличии аппаратные и/или программные средства, позволяющие периодически проверять корректность функционирования аппаратных и микропрограммных компонентов доверенной вычислительной базы; защитные механизмы должны быть протестированы на предмет соответствия их поведения системной документации. Тестирование должно подтвердить, что у неавторизованного пользователя нет очевидных способов обойти или разрушить средства защиты доверенной вычислительной базы; должны быть описаны подход к безопасности, используемый производителем, и применение этого подхода при реализации доверенной вычислительной базы. Публикация "Оранжевой книги" стала событием в области информационной безопасности. Появился общепризнанный понятийный базис, без которого даже обсуждение проблем ИБ было бы затруднительным. Информационная безопасность распределенных систем. Рекомендации X.800 Сетевые сервисы безопасности Техническая спецификация X.800 появилась несколько позднее "Оранжевой книги", но весьма полно и глубоко трактует вопросы информационной безопасности распределенных систем. В ней можно выделить специфические сетевые функции (сервисы) безопасности, а также необходимые для их реализации защитные механизмы. Выделяют следующие сервисы безопасности и исполняемые ими роли: 1. Аутентификация. Данный сервис обеспечивает проверку подлинности партнеров по общению и проверку подлинности источника данных. Аутентификация партнеров по общению используется при установлении соединения и, быть может, периодически во время сеанса. Она служит для предотвращения таких угроз, как маскарад и повтор предыдущего сеанса связи. Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной). 2. Управление доступом. Обеспечивает защиту от несанкционированного использования ресурсов, доступных по сети. 3. Конфиденциальность данных. Обеспечивает защиту от несанкционированного получения информации. Отдельно стоит упомянуть конфиденциальность трафика (это защита информации, которую можно получить, анализируя сетевые потоки данных). 4. Целостность данных подразделяется на подвиды в зависимости от того, какой тип общения используют партнеры - с установлением соединения или без него, защищаются ли все данные или только отдельные поля, обеспечивается ли восстановление в случае нарушения целостности. 5. Неотказуемость (невозможность отказаться от совершенных действий) обеспечивает два вида услуг: неотказуемость с подтверждением подлинности источника данных и неотказуемость с подтверждением доставки. Побочным продуктом неотказуемости является аутентификация источника данных. Сетевые механизмы безопасности Для реализации сервисов (функций) безопасности могут использоваться следующие механизмы и их комбинации: 1. шифрование; 2. электронная цифровая подпись; 3. механизмы управления доступом. Могут располагаться на любой из участвующих в общении сторон или в промежуточной точке; 4. механизмы контроля целостности данных. В рекомендациях X.800 различаются два аспекта целостности: целостность отдельного сообщения или поля информации и целостность потока сообщений или полей информации. Для проверки целостности потока сообщений (то есть для защиты от кражи, переупорядочивания, дублирования и вставки сообщений) используются порядковые номера, временные штампы, криптографическое связывание или иные аналогичные приемы; 5. механизмы аутентификации. Согласно рекомендациям X.800, аутентификация может достигаться за счет использования паролей, личных карточек или иных устройств аналогичного назначения, криптографических методов, устройств измерения и анализа биометрических характеристик; 6. механизмы дополнения трафика (выработка и поддержание правил, задающих характеристики дополняющих сообщений - частоту отправки, размер и т.п.); 7. механизмы управления маршрутизацией. Маршруты могут выбираться статически или динамически. Оконечная система, зафиксировав неоднократные атаки на определенном маршруте, может отказаться от его использования. На выбор маршрута способна повлиять метка безопасности, ассоциированная с передаваемыми данными; 8. механизмы нотаризации. Служат для заверения таких коммуникационных характеристик, как целостность, время, личности отправителя и получателей. Заверение обеспечивается надежной третьей стороной, обладающей достаточной информацией. Обычно нотаризация опирается на механизм электронной подписи. Взлом, кибервойны, хакеры, вирусы, черви, троянские кони и еще много страшных слов… Мы все их слышим почти каждый день от наших коллег/друзей, читаем о них на новостных сайтах, смотрим репортажи по телевиденью. Для решения проблем с компьютерами мы зовем человека, именуемого «компьютерщиком», который за скромные деньги может установить «суперзащиту» (как правило, это обычный антивирус) или переустановить операционную систему, если совсем «ничего не помогает». Такова суровая действительность многих представителей малого бизнеса. Цель этой статьи – рассказать руководителям компаний, что представляет собой «информационная безопасность», зачем и как именно следует защищать компьютеры в ваших компаниях. Что такое «Информационная безопасность»? Информационная безопасность – это состояние информационных систем, полученное вследствие выполненных работ, направленных на обеспечение безопасности вашего бизнеса. Это состояние продолжается до того момента, пока ваши системы не будут скомпрометированы. Следует понимать, что не существует такого понятия, как «абсолютная безопасность», так как любые средства защиты можно обойти тем или иным способом. Зачем нужна безопасность? Прежде чем что-либо защищать, необходимо понимать, что именно мы будем защищать и от чего. Если в вашей компании есть несколько компьютеров, которые используются исключительно для чтения анекдотов, просмотра погоды на неделю и игры в косынку, тогда вам безопасность совершенно не нужна. Т.к. неработоспособность или взлом ваших систем никаким образом не повлияет на ведение вашего бизнеса. Вы можете время от времени приглашать все того-же «компьютерщика» для установки бесплатного антивируса или переустановки операционной системы. Но если ваши сотрудники используют компьютеры для доступа к платежным online системам/системам управления банковским счетом, хранения базы ваших клиентов и другой ценной информации, злоумышленник может потенциально похитить важные данные и воспользоваться ими в личных целях или уничтожить их. В этом случае, для вас будет выгоднее потратить определенные средства на обеспечение безопасности, чтобы максимально защититься от злоумышленника и не дать ему возможность получить контроль над вашими счетами и своровать у вас деньги/информацию. Угрозы для бизнеса Прежде чем рассказывать о различных угрозах для гипотетической компании я попрошу читателя представить себе, что может произойти, если злоумышленник получит полный доступ ко всем компьютерам в вашей компании и сможет незаметно для вас выполнять те же действия с данными, которые хранятся на этих компьютерах, что и обычные сотрудники. Если вам стало страшно, тогда читаем дальше. Согласно исследованию компании Perimetrix , специализирующейся на расследованиях инцидентов безопасности, самыми опасными угрозами ИБ в 2009 году были: Утечка данных Халатность служащих Вирусы Хакеры Кража оборудования Спам Аппаратные и программные сбои Саботаж Правильным решением по борьбе с инцидентами безопасности является их предотвращение. Для того, чтобы иметь возможность предотвратить потенциальные утечки данных, защитится от вирусов и хакеров необходимо понимать, откуда исходят угрозы и что они из себя представляют. Источники угроз Условно все источники угроз можно разделить на следующие типы: атаки общей направленности и целенаправленные атаки. Атаки общей направленности Если ваши компьютеры подключены к сети Интернет, они постоянно подвергаются различным автоматизированным атакам. Цель этих атак – получить максимальный доступ к компьютерам компании, найти на них потенциально важные данные (пароли к различным сервисам в Интернет, социальным сетям, банковским счетам и пр.) и подключить компьютеры к своей бот-сети. Бот-сеть – это сеть, состоящая из зараженных компьютеров, контролируемых злоумышленниками. Зараженные системы могут использоваться для проведения атак на другие компании, рассылки спама и прочего. Этому типу атак подвергаются абсолютно все пользователи сети Интернет. Для защиты от этого типа атак в большинстве случаев помогают общие рекомендации, описанные ниже в этой статье. Источником утечек ценной информации могут стать также похищенные ноутбуки, телефоны, накопители информации, документы и прочее. Список основных угроз ИБ, которым ежедневно может подвергаться компания: Вредоносное ПО Это самая распространенная угроза. Вредоносные приложения проникают на компьютеры компании, используя существующие бреши безопасности в используемом программном обеспечении или используя недостаточную осведомленность сотрудников компании, которые устанавливают вредоносное ПО самостоятельно. Основные источники проникновения вредоносного ПО на компьютеры: Web сайты Многие пользователи считают, что вредоносное ПО может распространяться только через сайты порнографической направленности и другие сомнительные ресурсы. Это не так. Источником заражения компьютера может стать любой Web сайт. В последние годы злоумышленники используют уязвимости на вполне легитимных сайтах для распространения вредоносного ПО. В качестве примера можно привести инциденты, связанные с взломом сайта антивирусной компании Trend Micro, взломом сайта проекта Microsoft DreamSpark (http://www.securitylab.ru/news/387817.php). Использование браузера, отличного от Internet Explorer на компьютерах компании не повысит уровень защищенности от этой угрозы, т.к. большинство атак нацелены не на уязвимости в браузерах, а на уязвимости в используемых браузерами компонентах. Например, Java, Adobe Flash Player, Adobe Reader, различные мультимедийные плееры, которые устанавливают на систему плагины для отображения видео непосредственно в браузере. Flash накопители, сетевые папки Огромное количество вредоносного ПО распространяется через внешние накопители. Как правило, эти приложения используют функционал автозапуска и начинают свое проникновение на систему, как только пользователь откроет Flash накопитель у себя на компьютере. Точно таким же образом вредоносное ПО может попасть на компьютер через общедоступные сетевые папки. Уязвимости операционных систем, сетевых приложений Существует множество сетевых червей, которые используют уязвимости сетевых компонентов операционных систем для проникновения на системы пользователей. Для того, чтобы вредоносное ПО проникло на компьютер достаточно просто подключить этот компьютер к общедоступной сети. Социальная инженерия Рассылка писем, сообщений по ICQ и в социальных сетях, ссылки на сайтах, призывающие установить то или другое ПО, просмотреть видеоролик, для которого необходимо установить специальный проигрыватель – все это способы обманом заставить пользователя посетить потенциально опасный сайт или скачать и установить вредоносное ПО. Email рассылки вредоносного ПО Этот тип угроз уходит в прошлое, в настоящий момент очень редко email письма используются для распространения вредоносного кода, т.к. большинство почтовых серверов оснащены фильтрами, блокирующими исполняемые файлы, да и почтовые приложения уже давно и успешно помогают пользователям справляться с подобной угрозой. Тем не менее, необходимо понимать, что файлы, отправленные неизвестным отправителем, являются опасными и их не следует запускать на системе. Спам Сложно представить пользователей, которые никогда не получали по электронной почте рекламных сообщений. Подобные сообщения называются спамом. Большое количество таких сообщений мешает сотрудникам компании качественно выполнять свою работу. Фишинг атаки Это атаки с использованием элементов социальной инженерии, с помощью которых злоумышленники могут заполучить доступ к банковским счетам жертвы, к паролям для доступа к почтовым учетным записям, социальным сетям и пр. Например, пользователю приходит письмо с уведомлением о том, что его счет в Webmoney был заблокирован и, чтобы разблокировать его, необходимо посетить ссылку в письме и изменить свои логин и пароль. Ссылка заведомо указывает на сайт, контролируемый атакующим, который может выглядеть в точности как настоящий сайт. После того, как пользователь вводит свои старые учетные данные, программное обеспечение может автоматически воспользоваться имя для получения доступа к кошелькам, и, например, осуществить денежные транзакции. Пример фишинг атаки: Рис.1 Фишинг атака с элементами социальной инженерии Внимание, не посещайте ссылку, указанную в письме! Это письмо было получено на почтовый ящик, защищенный спам-фильтром от Лаборатории Касперского. Как видно по результату, злоумышленникам удалось обойти спам-фильтр. При наведении курсора мыши на ссылку, присутствующую в письме, мы можем увидеть путь к сайту. Поскольку я никогда не был на этом сайте, моей учетной записи на нем также нет. При нажатии на ссылку мы попадем на скомпрометированный сайт, который запросит у нас учетные данные. После ввода учетных данных, эти данные будут сохранены злоумышленником, а нас перенаправят на сайт email.com. Это стандартный метод сбора учетных данных для проведения последующих атак. Целенаправленные атаки Это атаки, направленные непосредственно на системы или сотрудников вашей компании. В большинстве случаев целью подобных атак является доступ к данным и частичное или полное нарушение нормальной работы компании. Не зависимо от мотивов атакующего, успешные атаки приводят, как правило, к финансовым потерям компании. Защититься от подобных атак довольно сложно и зачастую они оканчиваются успехом для опытного хакера. Для целенаправленных атак характеры те же угрозы, что и для атак общей направленности, но в этом случае злоумышленник владеет некоторой информацией о компании, которая может увеличить вероятность успешного взлома. Существенную угрозу для безопасности бизнеса представляют также недобросовестные сотрудники. Согласно отчету E-Crime за 2007 год 37% успешных атак было осуществлено сотрудниками компаний (далее, инсайдеры). В исследовании за 2010 год 64% компаний опасались кражи важных данных инсайдерами или бывшими сотрудниками. Рейтинг угроз безопасности от инсайдеров в 2008 году (по данным компании Perimetrix (http://www.securitylab.ru/analytics/368176.php)): Утечка данных – 55% Искажение информации (включая несанкционированные бухгалтерские операции) – 54% Кража оборудования – 25% Саботаж – 21% Утрата информации – 19% Сбои в работе компьютерных систем – 12% Общие рекомендации по улучшению состояния безопасности Теперь, когда мы знаем, чего следует опасаться, мы может определиться с тем, как защищать свой бизнес. Рекомендации по защите от атак общей направленности Защита ОС Не зависимо от используемых операционных систем, на всех системах должны быть установленные все исправления безопасности. Не позволяйте сотрудникам компании работать с административными привилегиями на системе. Чем выше привилегии у пользователя ОС, тем больше вероятность проникновения вредоносного ПО на систему. Всегда используйте логин/пароль для локального входа в систему. Всегда используйте брендмауэр (встроенный или стороннего производителя). Для защиты от обычных вредоносных приложений используйте антивирус известного вам производителя. Не рекомендуется скачивать и устанавливать антивирусы неизвестных вам компаний. Для защиты от вирусов подойдет как платное, так и бесплатное антивирусное решение. У Microsoft также есть свой антивирус – Microsoft Security Essentials (http://www.microsoft.com/security_essentials/), который бесплатно доступен для SMB компаний. Также могу порекомендовать продукты от Лаборатории Касперского, Symantec, Trend Micro, Panda Software, Eset. Не предоставляйте пользователям доступ к документам, службам, которые им не требуются. Защита паролей Не используйте один и тот же логин/пароль для доступа к различным ресурсам. Для хранения паролей пользуйтесь менеджерами паролей – приложениями, которые умеют безопасно сохранять пароли для доступа к различным ресурсам. Не храните пароли в браузерах! Современные браузеры не обеспечивают надежную защиту учетных данных. Потому используйте специализированные менеджеры паролей для хранения этой информации. Защита приложений Всегда устанавливайте исправления безопасности. Большинство производителей программного обеспечения внедрили в свои продукты функционал автоматического обновления. Не забывайте устанавливать исправления. Для проверки наличия уязвимостей в программном обеспечении можно воспользоваться Secunia PSI или Secunia OSI . Чтобы оценить реальное состояние безопасности компьютеров от угроз, распространяемых через Web сайты, можно воспользоваться следующими online ресурсами: http://surfpatrol.ru/ http://www.mozilla.com/en-US/plugincheck/ Эти сайты позволяют обнаружить уязвимые компоненты на ваших системах и дать рекомендации по устранению уязвимостей. Проверка осуществляется путем анализа информации, отправляемой браузером. Изолируйте важные приложения Во всех современных операционных системах есть возможность запускать приложения от имени другого пользователя. Если по какой-то причине вы работаете на системе с привилегиями администратора или опытного пользователя, не обязательно запускать все приложения с этими привилегиями. Вы можете запускать, например, браузер с привилегиями гостевой учетной записи. Для доступа к банковским счетам или платежным online системам я рекомендую использовать отдельные компьютеры или виртуальную ОС с ограниченным доступом к сети на рабочем месте и к сети Интернет. Компания Microsoft выпустила Windows Virtual PC – это приложение, которое позволяет запустить внутри себя любую операционную систему, работая в основной ОС. Из этой системы вы можете, например, осуществлять платежи, управлять счетами. После окончания работы с банковским приложением, вы останавливаете работу Virtual PC. Если на основной системе присутствуют вредоносные приложения, они не смогут получить доступ к виртуальной системе и похитить потенциально важные данные. Кроме того, многие вредоносные приложения преднамеренно не запускаются в виртуальной среде. Это объясняется тем, что виртуальные системы используются аналитиками антивирусных компаний для изучения поведения вредоносного ПО. С точки зрения обеспечения безопасности личных данных, этот недостаток можно использовать в своих полезных целях. Защита информации Не следует пользоваться бесплатными почтовыми сервисами (mail.ru, yandex.ru,gmail.com и пр.) для обмена электронными сообщениями, содержащими конфиденциальные данные. Не следует использоваться социальные сети для хранения коммерческих данных. Не следует пересылать конфиденциальные данные по ICQ, Jabber и др. Например, QIP хранит всю историю переписок свои пользователей у себя на серверах. В случае компрометации ресурса, потенциально важные данные могут оказаться у ваших конкурентов. Не используйте общедоступные сети/Интернет кафе для доступа к корпоративным ресурсам. Если компания использует беспроводную сеть, доступ к ней должен быть защищен паролем. Если сотрудники компании пользуются ноутбуками, на которых содержится важная для компании информация, и выносят их за пределы офиса, необходимо шифровать данные, чтобы в случае кражи ноутбука, злоумышленники не могли получить доступ к этой информации. Одним из приложений, предназначенных для этих целей, является PGP Desktop . Необходимо постоянно напоминать сотрудникам компании, какая информация является конфиденциальной и какую информацию не следует распространять. Также у Microsoft есть комплексное решение по защите от угроз, ориентированное на небольшие компании – Microsoft Forefront Security Suite . Рекомендации по защите от целенаправленных атак После выполнения всех рекомендаций по защите от атак общей направленности, можно приступить к защите от целенаправленных атак. Следует понимать, что от подобных атак полностью защититься невозможно. Существует возможность лишь максимально увеличить расходы атакующего на проведение самой атаки и тем самым сделать эту атаку нерентабельной. Никто не будет тратить десятки тысяч долларов для того, чтобы получить информацию, которая этих денег не стоит. Утечка данных Утечка данных (преднамеренная и случайная) исходит, как правило, от сотрудников компании. Существуют средства противодействия утечкам информации или DLP (Data Leakage Prevention) системы. Ниже приведена обзорная таблица подобных решений от разных производителей. Приложение Производитель Стоимость Примечание McAfee Host DLP McAfee 5400$ стоимость 100 рабочих мест без интеграции Trend Micro DLP for Endpoint Trend Micro 4700$ стоимость 100 рабочих мест без интеграции Symantec DLP Symantec от 25000$ Дозор-Джет от 25$/почтовый ящик Check Point DLP Check Point от $3000 встраиваемое лезвие в устройства Check Point SearchInform SearchInform от 13000$ Стоимость для 100 хостов В случае корректно внедрения, эти приложения способны обнаружить и предотвратить утечку данных. В качестве обязательного превентивного средства является подписание соглашения о неразглашении конфиденциальной информации с сотрудниками компании. Разграничение доступа Корректное разграничение доступа пользователей к информационным ресурсам позволяют минимизировать потенциальный урон от атаки. Защита периметра сети Кроме стандартного набора антивируса и брендмауэра на каждой рабочей станции в сети должна присутствовать система обнаружения/предотвращения вторжения (IDS/IPS). Наличие подобной системы при условии ее корректного внедрения, позволит минимизировать риски, связанные с хакерскими атаками и усложнить процесс взлома. Резюмируя вышеизложенное, я бы хотел озвучить 2 самых главных правила информационной безопасности: Любую атаку можно отразить Любую защиту можно обойти Это две диаметрально противоположные аксиомы, которыми в настоящий момент руководствуется индустрия информационной безопасности. Атака целесообразна тогда, когда злоумышленнику будет выгодно потратить определенные средства на достижение своей цели. Чем выше стоимость взлома – тем ниже вероятность его успеха. Заключение В этой статье была сделана попытка кратко изложить суть проблемы информационной безопасности и дать общие рекомендации по защите от угроз ИБ. Аппаратные средства защиты информационных систем — средства защиты информации и информационных систем, реализованных на аппаратном уровне. Данные средства являются необходимой частью безопасности информационной системы, хотя разработчики аппаратуры обычно оставляют решение проблемы информационной безопасности программистам. Для описания системы введем понятия
Узел — ячейка данных произвольного объема вместе со cсылкой на нее из обрабатывающего устройства. Cсылка не только описывает данные, но и содержит все права доступа к ним. Система должна обеспечивать контроль над тем, чтобы в операциях, использующих ссылки, не были использованы данные других типов а в операциях с аргументами других типов ссылка не могла быть модифицирована. Контекст программы — множество всех данных доступных для вычислений в конкретном модуле. |
Добавить документ в свой блог или на сайт
Похожие:
 |
Нетрадиционные религии современности В религиоведении термин "секта"[1] используется в специфическом значении группы, принадлежащей к более широкому направлению, но имеющей... |
|
Реферат по физике Альтернативные средства отображения информации Термин автоэлектронная эмиссия отражает отсутствие энергетических затрат на возбуждение электронов, свойственных другим видам электронной... |
|
Задачи и приоритетные направления работы школы 3 > Задачи школы:... План работы по предупреждению правонарушений и преступлений, профилактике табакокурения и алкоголизма |
 |
Оценка экологического состояния Первостепенное значении в водных экосистемах принадлежит фитопланктону создающему энергетическую базу всех последующих звеньев трофической... |
|
Федеральное агентство железнодорожного транспорта Характеристика объекта исследования в динамике (за последние 2-3 года) и особенностей функционирования объекта |
|
Рабочая программа по кружковой работе «Весёлая мозаика» (для детей подготовительной группы) Художественный труд – это преобразующая творческая деятельность, направленная на создание реальных предметов, гармонично сочетающих... |
|
От “философии жизни” к “биофилософии”? Но с любопытной инверсией термина. Вместо “философия жизни” в литературе все чаще стали использовать термин “биофилософия”. Легко... |
|
Дипломного проекта «Дизайн-концепция спортивно оздоровительного центра»... Стилистическая и художественно-композиционная проработка проектируемого объекта, объемно-пространственного 23 |
|
Практическое пособие. Оглавление А. Личные мотивы выдачи информации.... Определение людей, которым с точки зрения объекта предельно нежелательно знать чернящие его данные. 82 |
|
Измерение релевантных издержек и поступлений для принятия решения Для обозначения определенных конкретных издержек и доходов, которые должны быть получены для проведения специального исследования,... |