The Web-site of design Company Chelyabenergoproekt in English   English
Проектные работы в проектной организации Челябэнергопроект Заказать проектные работы в письме к проектной организации Челябэнергопроект Карта сайта
Die Web-seite der Projektorganisation Tscheljabenergoprojekt in Deutsch   Deutsch




Création de site web société française Chelyabenergoproekt   Française

   Облако тегов на сайте проектной организации Челябэнергопроект
Проекты интеллектуального мастерства!
новости компании
30.12.2015 С Новым годом!
Администрация ...
21.12.2015 С Днём Энергетика!
Уважаемые друзья и коллеги! Поздравляю вас с нашим большим праздником – Днем Энергетика! ...



новости отрасли
объекты Ростехнадзора
  Облако тегов
проектирование монтаж ключ котел кран сертификат ГОСТ ремонт заказЧелябинск

Средства защиты информации при выполнении проектных работ
Сегодня мало кто представляет себе возможность компьютерной обработки информации без ее защиты. Но вот как защищать информацию при выполнении проектных работ, какие для этого использовать средства защиты, что же такое эффективное средство защиты информации при выполнении проектов «под ключ»?

Рассмотрим альтернативные области приложений средств защиты информации.

Говоря о построении, либо об использовании средства защиты информации, прежде всего, необходимо определиться с областью его практического применения (для чего оно создано, как следствие, чем определяется его потребительская стоимость), т.к. именно область практического использования и диктует те требования к любому системному средству, которые должны быть реализованы разработчиком, чтобы повысить потребительскую стоимость данного средства.

К сожалению, данный очевидный посыл не всегда учитывается и разработчиками, и потребителями средств защиты. Вместе с тем, достаточно просто показать, что требования к средствам защиты для различных областей их практического использования очень сильно различаются, а подчас, и противоречат друг другу, что не позволяет создать единого средства защиты «на все случаи жизни». Другими словами, нельзя говорить об эффективности абстрактного средства защиты, можно вести разговор об эффективности средства, созданного для конкретных приложений.

Действительно, когда речь заходит об информационных технологиях, можно выделить два их основных приложения – это личное использование компьютера (в домашних условиях) и корпоративное использование (в проектной организации). Разница требований, в том числе, и к средствам защиты, в данных приложениях огромна.

Когда речь идет о личном использовании компьютера в домашних условиях, мы сразу же начинаем задумываться о предоставляемых системным средством сервисах – это максимально возможное использование устройств, универсальность приложений, всевозможные игры, проигрыватели и т.д. и т.п.

Важнейшими же отличиями использования средства защиты в данных приложениях является следующее:
- по большому счету, отсутствие какой-либо конфиденциальности (по крайней мере, формализуемой) информации, требующей защиты. Информация является собственностью пользователя;
- отсутствие критичности конфиденциальности (по крайней мере, формализуемой) не только в части хищения обрабатываемой информации, но и в части ее несанкционированной модификации, либо уничтожения, не так критичны в этих приложениях и атаки на системные ресурсы, в большой мере, они связаны лишь с неудобством для пользователя;
- отсутствие квалификации пользователя в вопросах обеспечения информационной безопасности, да и естественное нежелание заниматься этими вопросами;
- отсутствие какого-либо внешнего администрирования системного средства, в том числе, в части настройки механизмов защиты – все задачи администрирования решаются непосредственно пользователем – собственно пользователь должен самостоятельно решать все вопросы, связанные с безопасностью, т.е. пользователь и есть администратор, именно он и защищает свою собственную информацию;
- отсутствие какого-либо недоверия к пользователю – пользователь сам обрабатывает собственную информацию (он же владелец компьютера, он же владелец информации – может не доверять лишь себе), вместе с тем, по этой же причине, недоверие со стороны пользователя к какому-либо проявлению внешнего администрирования;
- в большинстве своем, обработка информации пользователем осуществляется на одном компьютере, локально.

Если же мы начинаем говорить о корпоративных приложениях, особенно при оказании услуг – выполнении проектов «под ключ», то здесь, как условия использования системные средств, так и требования к средству защиты не то, чтобы были кардинально иные, они прямо противоположны. В частности, здесь уже нет необходимости в большой номенклатуре устройств, приложений, игрушки и прочее являются отвлекающим от служебной деятельности фактором, возможность их запуска в принципе желательно предотвратить, и т.д. и т.п.

Проектным организациям, выполняющим коммерческие проекты, в частности, проекты «под ключ», важно обезопасить себя в первую очередь от вирусов и хакерских атак, так как по статистике наибольшие убытки компании терпят именно в связи с кражей конфиденциальной и коммерческой информацией и DoS-атаками.

Перебои, возникающие в работе серверов, серьезно снижают эффективность работы компании в целом, приводя к утрате ценной информации, к отказам в сервисе, потере клиентов и срыву сделок.

Время и деньги теряются также на чтение спама сотрудниками компании. В 2003 году во многих компаниях доля спамерской корреспонденции во входящей почте составляла уже 60-70%! В потоке непрошеной рекламы нередко теряются важные деловые письма, что также приводит к серьезным финансовым потерям (еще большие потери возникают при использовании некорректно работающих средств фильтрации спама со значительным процентом ложных срабатываний).

Важнейшими отличиями использования средств защиты в данных (корпоративных) приложениях является следующее:
- В данных приложениях априори присутствует конфиденциальная информация, требующая квалифицированной защиты. Данная информация не является собственностью пользователя и предоставлена ему во временное использование для выполнения своих служебных обязанностей, что обусловливает возможность ее хищения пользователем (т.н. инсайдерский взлом).
- Критичным является не только факт хищения обрабатываемой информации, но и возможность ее несанкционированной модификации, либо (возможно, случайного) уничтожения. Критичным в этих приложениях также становится вывод из строя системных средств на продолжительное время, причем это наиболее важно при выполнении проектов «под ключ», поскольку задержка в выполнении одной работы ведет к задержке выполнения всего проекта «под ключ», т.е. важнейшими объектами защиты становятся не только информационные, но и системные ресурсы.
- Отсутствие квалификации пользователя в вопросах обеспечения информационной безопасности, да и нежелание заниматься этими вопросами (у него иные обязанности, связанные с подготовкой проектно-конструкторской документации, выполнении проектных работ), и вместе с тем, наличие системного администратора по безопасности, основной служебной обязанностью которого является защита информации, т.е. именно для решения этой задачи он и принят на работу, который априори должен обладать высокой квалификацией, так как, в противном случае, о какой-либо эффективной защите конфиденциальной информации в современных условиях говорить не приходится.
- Все задачи администрирования средств защиты должны решаться непосредственно администратором, пользователь должен быть исключен из схемы администрирования во всех их проявлениях, так как только в этих условиях администратор может организовать защиту информации.
- Недоверие к пользователю – пользователь обрабатывает не собственную, а корпоративную, либо иную конфиденциальную информацию, которая потенциально является «товаром», как следствие, пользователь должен рассматриваться в качестве потенциального злоумышленника (в последнее время, даже появилось такое понятие, как инсайдер, а внутренняя ИТ-угроза – угроза хищения информации санкционированным пользователем, некоторыми потребителями и производителями средств защиты позиционируется, как одна из доминирующих угроз, что не лишено оснований).
- В большинстве своем, обработка конфиденциальной информации осуществляется в корпоративной сети, причем, не всегда в локальной – это обусловливает невозможность эффективного решения задачи администрирования безопасности локально на каждом компьютере – без соответствующего инструментария (АРМа администратора в сети).

Необходимо отметить, что сейчас больше чем когда-либо необходима продуманная комплексная защита корпоративного информационного пространства от посягательств со стороны злоумышленников – как извне, так и изнутри компании:
- В последние годы эксперты отмечают, что ущерб, причиняемый вирусами, все возрастает. По данным Computer Economics в 2002 году ущерб составил примерно $11 млрд., в 2003 году эта цифра достигла $12,5 млрд, а в начале 2004 года ущерб только от эпидемии MyDoom составил более $4 млрд.
- Ущерб от спама возрастает с каждым годом все заметней: с непрошеной корреспонденцией рассылается всё больше вирусов и троянских программ. Кроме того, ущерб от потери рабочего времени на разбор и чтение спама по разным оценкам составляет уже $50-200 в год в расчете на одного сотрудника, и эти цифры также продолжают расти.
- Зафиксированный объем потерь от компьютерных преступлений, совершаемых хакерами, и от кражи конфиденциальной информации сотрудниками компании исчисляется уже сотнями миллиардов долларов.

Естественно, одно и то же средство защиты не может одновременно удовлетворять обеим группам данных противоречивых условий использования, т.е. быть эффективным в альтернативных приложениях. Но тогда очевидно, что для альтернативных областей приложений, в основу построения средств защиты должны закладываться и альтернативные принципы.

При выборе средств защиты конфиденциальных данных проектной организации доминирующим являются вопросы безопасности в приложениях, а не простота интерфейса и частота пополнения база выявленных сигнатур. Действительно, когда же речь заходит о корпоративных приложениях, то уже «во главу угла» ставится задача эффективной защиты информации, которая должна решаться профессионально. Не случайно, что защита информации в данных приложениях регламентируется соответствующими нормативными документами, средства защиты предполагают их сертификацию, а автоматизированная система (АС) обработки информации – аттестацию, а все в совокупности – квалифицированный анализ достаточности и корректности реализации механизмов защиты.

Основу обеспечения информационной безопасности в данных приложениях уже составляют именно механизмы защиты, реализующие разграничительную политику доступа к ресурсам, а не простейшие механизмы контроля!

Важнейшим условием построения защиты в корпоративных приложениях является то, что собственно пользователь должен рассматриваться в качестве основного потенциального злоумышленника (инсайдера). Как отмечали, это обусловливается тем, что пользователь здесь обрабатывает не собственную информацию, а корпоративную, следовательно, может быть заинтересован в ее хищении. Как следствие, появляется необходимость исключения пользователя из схемы администрирования средства защиты. Здесь уже не допустимо задание каких-либо вопросов пользователю, ответы на которые определяют действия системы. Есть администратор безопасности, любой «диалог» средства защиты возможен только с администратором. С учетом же того, что, как правило, администратор безопасности должен отвечать за безопасность некого набора компьютеров в сети (число которых может определяться сотнями), возможность подобного «диалога» принципиально исключается.

Приведем известную укрупненную классификацию вирусных атак:
1. «Вредные программы» (трояны и т.п.). Отдельные программы, которые выполняют те или иные деструктивные/несанкционированные действия.
2. «Вирусы». Программы, обычно не имеющие собственного исполняемого модуля и «живущие» (как правило, заражение осуществляется по средством их присоединения к исполняемому файлу) внутри другого файлового объекта или части физического носителя.
3. «Макро-вирусы» (скриптовые вирусы) – программы, для исполнения которых требуется определенная среда выполнения (командный интерпретатор, виртуальная машина и т.п.). В эту же группу можем отнести и офисные приложения, позволяющие создавать и подключать макросы.
4. «Черви». Разновидность 1,2,3, использующая сетевые возможности для заражения.

Из этой классификации следует то, что угрозу вирусной атаки несет в себе процесс, по каким-то причинам реализующий то действие, от которого необходимо защититься. На основании всего сказанного, можем сделать вывод о том, что задача антивирусной защиты может решаться механизмами, реализующими разграничительную политику доступа к ресурсам. Действительно, разрешите запуск на защищаемом компьютере только санкционированных процессов (в том числе, системных) и предотвратите любую возможность модификации их исполняемых файлов – «забудете» обо всех троянах, шпионских и иных деструктивных программах. При этом задача решается в общем виде – вы разрешаете запускать только необходимые программы, запуск иных запрещается, вне зависимости от способа их занесения на компьютер – не требуется выявления каких-либо сигнатур, какого-либо контроля – сравнения с эталоном. Если вы по каким-то причинам не доверяете каким-либо санкционированным процессам (например, офисным приложениям, позволяющим запускать макросы), можно установить для них собственные разграничения (например, предотвратив этим возможность модификации системного диска и реестра ОС). Это опять же реализуется разграничительной политикой доступа к ресурсам, но уже не для учетных записей, а для процессов (именно процесс выступает в качестве субъекта доступа).

Видим, что получаем совсем иное решение задачи антивирусной защиты, позволяющее эффективно в общем виде противодействовать как известным, так и любым потенциально возможным вирусам. Невольно возникает вопрос – если существуют подобные технологии, то почему на них массово не перешли? А вот здесь и проявляется важнейший принцип – альтернативные области приложений средств защиты информации требуют альтернативных подходов к их построению. Представьте себе рядового пользователя, которому потребуется настроить замкнутость программной среды, разграничения для процессов, в том числе и для системных. Все это не сложно при наличии соответствующей квалификации, но будет ли этим заниматься обычный обладатель персонального компьютера, то ему нужно? А если попытается, то, что у него получится? Вот и использует он средства, реализованные на механизмах контроля – это лучше, чем ничего.

Рассмотрим методологическую основу формализации требований к средствам защиты информации.

Именно уязвимость системы защиты – это признак системы, а наличие (отсутствие) уязвимостей является характеристикой защищенности системы. Следовательно, именно обеспечение отсутствия уязвимостей защиты должно быть положено в основу формализации требований к средствам защиты информации.

Поскольку причиной уязвимости защиты может являться либо некорректность реализации механизма защиты, либо недостаточность набора механизмов защиты для условий использования защищаемого объекта информатизации, методологической основой формализации требований к средствам защиты информации следует считать определение требований к корректности реализации механизмов защиты и требований к достаточности (полноте набора) механизмов защиты для условий использования защищаемого объекта информатизации.

Формализованные требования, в том виде, как они сформулированы в нормативных документах (в общем виде), в полном объеме формулируют требования к корректности механизмов защиты.

Формализованные требования носят общий характер, не предполагают детализации, применительно к архитектурным особенностям конкретного системного средства, что делает возможным неоднозначное их толкование в каждом конкретном случае.

Применительно к конкретным областям приложений, имеет смысл определять уточняющие требования к корректности реализации механизмов защиты. Целью уточняющих требований является устранение неоднозначности интерпретации общих требований при построении средств защиты для альтернативных приложений.

Формализованные требования (как основные, так и уточняющие) должны быть обязательными для реализации разработчиком, вне зависимости от способа формализации требований к средству защиты, т.к. их невыполнение несет в себе уязвимость механизма защиты, т.е., по существу, делает практическое использование данного механизма во многом бесполезным.

Условием выполнения требований к полноте реализации разграничительной политики доступа к ресурсам в общем виде является возможность контроля доступа средствами защиты ко всем локальным и сетевым ресурсам, в том числе, к локальным и разделенным файловым объектам и устройствам, к портам, к устройствам, к локальным и сетевым принтерам, к реестру ОС, к удаленным компьютерам (функция персонального межсетевого экрана) и т.д.

Условием возможности использования средства защиты, не реализующего в общем виде формализованных требований к полноте разграничений, без применения, наряду с ним, еще дополнительных средств защиты, в части выполнения непокрытых требований, является отключение (либо не использование) в системе тех локальных и сетевых ресурсов, к которым средство защиты не обеспечивает контроль доступа – по сути, этим реализуется изменение условий использования средства защиты.

Никакие подмены технических возможностей контроля доступа к ресурсам средства защиты организационными мерами – недопустимы. Единственно возможная в этом случае организационная мера – это отключение ресурса, доступ к которому средством защиты не контролируется, причем она допустима, если подобная возможность технически реализуема (невозможно отключить реестр ОС, и т.д.).

Базовые требования (автономное использование компьютера) к набору механизмов контроля доступа к ресурсам (выполнение данных требований должно быть обязательным для системы защиты при любых условиях использования защищаемого компьютера):
- контроль доступа к файловым объектам на жестком диске;
- контроль доступа ко всем внешним накопителям и к файловым объектам на отчуждаемых носителях информации (дискета, Flash-устройство, CD-ROM диск и т.д.);
- контроль доступа к объектам реестра ОС;
- контроль доступа к устройствам (включая их иерархию – порты, подключаемые к портам устройства, носители), т.е. ко всем объектам, интерпретируемые ОС, как устройства.

Средство защиты, не реализующее базовые требования, не является достаточным для защиты конфиденциальной информации, обрабатываемой вычислительным средством.

Дополнительные требования:
- контроль доступа удаленных пользователей к разделенным на компьютере в сети файловым объектам, накопителям и устройствам;
- контроль доступа пользователей к удаленным разделенным на компьютерах сети файловым объектам, накопителям и устройствам;
- контроль доступа к удаленным хостам и сетевым устройствам (имеющим свой IP-адрес, например, к сетевым принтерам), соответственно, с удаленных хостов и сетевых устройств.

Средство защиты, не реализующее дополнительные к базовым требования, не является достаточным для защиты конфиденциальной информации, обрабатываемой вычислительным средством в составе сети (в частности, ЛВС).

Таким образом, сформулируем основные выводы:
1. Средство защиты информации может быть использовано как самодостаточное средство защиты (без использования, помимо него, дополнительных средств) только при условии выполнения в полном объеме всех требований к корректности реализации и к полноте набора (достаточности для области использования) механизмов защиты.
2. Сформулированные в рассматриваемых нормативных документах требования (в частности, уточняющие требования, сформулированные в работе) позиционируются нами, как обязательные для выполнения разработчиком средств защиты. Данные требования должны учитываться вне зависимости от способа формализации требований к средству защиты (при любом способе формализации требований, эти требования должны присутствовать), т.к. их даже частичное невыполнение несет в себе уязвимость средства защиты информации – формирует «канал» НСД к информации, как следствие, угрозу преодоления злоумышленником защиты информации.
3. В случае если какой-либо механизм не выполняет требований к корректности реализации, он не должен использоваться и учитываться в составе средства защиты информации, т.к. этот механизм несет в себе уязвимость, как следствие, угрозу быть преодоленным злоумышленником.
4. В случае если набор механизмов средства защиты не выполняет требований к полноте (достаточности для области использования), данное средство защиты не является самодостаточным для заданных условий его использования. При этом возможны два подхода к решению задачи защиты – либо изменять условия использования защищаемого вычислительного средства (если технически это возможно – использование организационных мер для решения этой задачи недопустимо), либо дополнять систему защиты другими средствами, с целью выполнения ими в совокупности формализованных требований к полноте набора механизмов защиты.
5. Базовыми и дополнительными к базовым требованиями к полноте набора механизмов защиты определяется возможность использования средства защиты в возможных альтернативных приложениях защищаемого вычислительного средства (автономный компьютер, компьютер в составе сети). Следовательно, любое из возможных условий использования вычислительного средства подпадает под данную совокупность требований к полноте набора механизмов защиты.

Рассмотрим простую и бесплатную защиту для рабочей станции: интернет-шлюз + Брандмауэр (файервол).

Если все персональные компьютеры защищены, возникает вопрос: а зачем ещё дополнительно защищать сеть с помощью шлюза? Проблема заключается в том, что все локальные компьютеры находятся в доверенной сети и уязвимым местом становится именно шлюз, который устанавливается на границе доверенной сети и сети интернет. Захватив шлюз через интернет, злоумышленник попадает в доверенную сеть организации, выполняющей проектные работы, и может захватить другие компьютеры локальной сети и получить доступ к важной проектно-конструкторской документации. Поэтому требования к современному шлюзу предъявляются очень высокие.

Интернет-шлюз стоит в одном ряду с другими готовыми решениями и должен соответствовать следующим главным критериям:
- универсальность (подходит для большинства проектных организаций);
- функциональность (обладает всеми необходимыми возможностями для решения задач);
- надёжность (безотказность работы в любых условиях);
- низкая стоимость владения (минимальные расходы на внедрение и сопровождение, простота в использовании и управлении).

Однако наиболее распространённые на сегодняшний день интернет-шлюзы не полностью удовлетворяют современным требованиям.

В последнее время на мировом рынке появились новые специализированные решения для предприятий, которые при небольшой цене имеют высокую безопасность, надёжность и низкую стоимость владения и могут эффективно применяться в организациях, выполняющих проектные работы. Есть подобные системы и на российском рынке.

Таким образом, брандмауэр необходим для контроля и ограничения сетевого трафика. В комплект Windows XP Service Pack 2 входит брандмауэр. Включить его можно в «Центре безопасности» на панели управления. Недостаток брандмауэра XP в том, что он блокирует только входящие сигналы. Если шпионский модуль уже работает на вашем компьютере, то вы не сможете отследить исходящие сигналы, посылаемые им с вашего ПК. Для полной безопасности необходим двусторонний брандмауэр. Оптимальный вариант, пожалуй, – бесплатная версия ZoneAlarm от Zone Labs. Правда, ZoneAlarm не поддерживает старые версии Windows (98, 2000). Если у вас старая ОС, нужно либо срочно установить Windows XP SP 2, либо раскошелиться на платный брандмауэр.

Рассмотрим шифрование данных.

Даже если никто кроме вас не пользуется вашим домашним ПК, важные данные, хранящиеся на жестком диске, все равно могут попасть не в те руки. На работе коллега может воспользоваться вашим компьютером, пока вы отсутствуете. В любом случае, важные данные лучше зашифровать. Большинство программ для шифрования данных стоят денег, и многие из них для большинства пользователей, пожалуй, сложноваты. Одним из хороших вариантов можно назвать бесплатное приложение Cryptainer LE. После установки программа создает на жестком диске виртуальный зашифрованный том. Файлы, скопированные на этот диск, кодируются автоматически, для работы с ними не требуется пароль (он вводится только при подключении виртуального диска). Программа также позволяет шифровать целые USB-флэшки.

Рассмотрим защиту от мошенников (фишинг).

«Фишинг» – вид мошенничества, предполагающий рассылку электронных сообщений для получения секретных данных о ваших счетах в банке или личной информации. Работает схема просто: вы получаете письмо якобы из своего банка, в тексте вам просят перейти по ссылке для «подтверждения ранее указанных данных» и т.п. Перейдя по ссылке, вы оказываетесь на сайте точь-в-точь таком же, как у вашего банка. Защититься просто – не пользуйтесь ссылками, указанными в электронных письмах от вашего банка. Дополнительную защиту предлагают панели инструментов для браузеров – к примеру, Google Toolbar, Netcraft Toolbar и др. – они вовремя предупредят вас об опасности. Да, и все новые браузеры – Internet Explorer 7 и Firefox 2,0 – содержат встроенные средства защиты от «фишинга».

Нельзя без предварительной проверки специальными программами открывать файлы с неизвестными вам расширениями (или с известными расширениями исполняемых файлов – *.com, *.exe, *.bat), скачанные через интернет или полученные по электронной почте. Если вы получили по почте файлы от ваших знакомых, то предварительно спросите по телефону, высылали они их вам или нет. Это позволит избежать засорения компьютера программами-шпионами и «троянскими конями».

Рассмотрим использование прокси-серверов.

Самое главное – не использовать на компьютере реальный IP-адрес интернета, и тогда злоумышленник не сможет подключиться к вашему компьютеру. Поясним попутно, что IP-адрес (Internet Protocol Address – адрес интернет-протокола) – это уникальный идентификатор устройства (компьютера), подключённого к локальной сети или интернету, по которому его определяют внешние устройства с целью приёма от него информации или передачи её.

Владельцы web-ресурсов могут получить о вашем компьютере немало данных – узнать, какой операционной системой вы пользуетесь, название ПК, проследить за вашими перемещениями в сети, по IP адресу определить ваше примерное географическое положение и многое другое. Этих проблем можно и избежать, если заниматься интернет-серфингом анонимно – можно купить специальное программное обеспечение или, если деньги тратить не хочется, воспользоваться бесплатными анонимными прокси-серверами. Анонимный прокси-сервер служит буфером между вашим компьютером и сетью. В такой ситуации даже ваш IP-адрес будет в относительной безопасности, серверы, на которых работают интернет-сайты, «увидят» IP прокси-сервера, а не вашего компьютера. Подобный сервис предоставляет, например, система анонимного пользования сетью The Cloak. Нужно перейти по ссылке «surf!» в левом углу страницы и набрать URL того сайта, который собираетесь просмотреть. Также можно вручную настроить браузер на работу через прокси-сервер. Список подходящих серверов можно найти на AiS Alive Proxy List (см. врез слева от текста). Запишите IP адрес сервера и номер порта, который он использует. Например, цифры «24.236.148.15:80» означают IP-адрес 24.236.148.15, порт 80. Определившись с сервером, в Internet Explorer выберите Инструменты (Tools) -> Настройки интернета (Internet Options) -> Соединение (Connections) -> Настройки сети (LAN Settings). Выберите «использование прокси-сервера для локальной сети» (Use a proxy server for your LAN) и заполните поля «IP адрес» и «номер порта». Заблокируйте использование прокси-сервера для местных адресов (отдельный флажок Bypass proxy server for local addresses в том же окне), так как нет необходимости в анонимности в локальной сети. Затем дважды нажмите ОК для выхода. Если вы подключены к интернету не через локальную сеть, нужно настроить свойства того соединения, с помощью которого вы подключаетесь к интернету: установите галочку «использовать прокси-сервер для данного подключения», укажите IP и номер порта. В Firefox выберите Инструменты (Tools) -> Настройки (Options) -> Общие (General) -> Параметры соединения (Connection Settings), нажмите «Ручная настройка прокси» (Manual proxy configuration), введите информацию о сервере и дважды нажмите OK.

Рассмотрим защиту локальных файлов.

Устанавливайте пароли длиной не менее 12 букв и никогда не сообщайте свой пароль никому, даже системному администратору (у него должен быть свой пароль). Попросите системного администратора ограничить доступ к вашим файлам, кроме тех сотрудников, кому это необходимо по должностным инструкциям, и максимально ограничить доступ к файлам через сеть. Храните самые важные файлы на флэш-карте USB, пользоваться ею не сложнее, чем дискетой. Меняйте пароль как можно чаще: выберите для себя алгоритм смены пароля, например, 1-го числа каждого месяца. Не стоит полагаться на то, что ваши коллеги – добропорядочные граждане, ведь в помещение могут попасть и посторонние и начнут перебирать известные пароли: «1», «11» «12345», «пароль», «2006», «lena2006» и т. д. Обязательно блокируйте компьютер или выключайте его, если выходите из офиса. Попросите вашего администратора установить пароль в BIOS на включение компьютера и опломбируйте компьютер наклейкой с печатью.

Будьте внимательны к приходящим специалистам – это один из основных каналов утечки данных; записывайте их паспортные данные и берите расписку о неразглашении информации. Никогда не оставляйте на долгое время ключевую дискету системы «клиент-банк» в компьютере и не создавайте её копии на компьютере.

Для защиты информации персонального компьютера используют как минимум четыре вида программ:
1. Антивирусы, такие как Kaspersky Antivirus, DrWeb, Norton Antivirus, Panda, NOD32.
2. Персональный межсетевой экран (другие названия – брандмауэр или файервол). Такие программы защищают от проникновения в ваш компьютер через сеть и блокируют вирусные эпидемии. Можно использовать встроенный в Windows брандмауэр, хотя рекомендуются более мощные – Agnitum Outpost, Symantec Personal Firewall.
3. Утилиты для обнаружения программ-шпионов и троянских программ. О таких утилитах часто забывают системные администраторы, из бесплатных можно рекомендовать Ad-aware компании Lavasoft.
4. Программы резервного копирования. Здесь выбор очень широкий, лучше проконсультироваться с системным администратором, чтобы вся важная информация со всех компьютеров дублировалась на резервный носитель. Вы можете и самостоятельно создавать резервные копии своих файлов на флэш-карту USB или перезаписываемый CD (CD-RW). Берегите свой труд и создавайте резервные копии как можно чаще, ведь восстанавливать утерянную бухгалтерию или важные файлы вам придётся вручную.

Рассмотрим защиту пользователей и сети организации, выполняющей проектные работы.

Современный интернет-шлюз в первую очередь должен обеспечить защиту пользователей и сети проектной организации от атак из сети интернет. Для решения этой задачи в Ideco ICS используется технология NAT (Network Address Translation – преобразование сетевых адресов). Эта технология скрывает пользователей от внешних злоумышленников, делая невидимыми из сети интернет. Другой важной функцией NAT является предоставление качественного доступа в интернет, причём все пользовательские программы работают без дополнительных настроек, что выгодно отличает NAT от технологии Proxy.

Но, помимо опасностей, которые подстерегают вас непосредственно в сети интернет, существуют также угрозы внутри самой организации, выполняющей проектные работы. Например, информация может быть перехвачена или передана в интернет от имени другого пользователя. Для предотвращения подобных угроз совместно с NAT используется технология VPN (Virtual Private Network – виртуальная частная сеть). По VPN каждому пользователю администратор назначает личный защищённый IP-адрес, который закреплён за ним постоянно. Сам компьютер проектной организации по умолчанию не имеет доступа в интернет, и только после ввода логина и пароля сотрудник организации, выполняющей проектные работы, получает персональный защищённый выход во Всемирную сеть. Кроме этого технология VPN позволяет подключать по защищённому каналу филиалы и мобильных сотрудников, работающих из дома или находящихся в командировке.

Интернет-шлюз Ideco ICS обеспечивает и антивирусную защиту. Вся отправляемая и принимаемая почта проверяется встроенным антивирусом. Таким образом, при получении и отправке почты можно быть уверенным, что она не содержит вирусов и вирусные эпидемии не поразят вашу локальную сеть через электронную почтовую систему.

Рассмотрим учёт трафика, планирование и ограничение расходов.

Но что делать, если безопасность уже была нарушена? В этом случае очень кстати окажется детализированная статистика. Она позволяет выяснять обстоятельства дела уже после того, как безопасность была нарушена недобросовестными сотрудниками. С помощью статистики всегда можно точно определить, кто, когда и куда передал данные. Помимо прочего это помогает экономить денежные ресурсы организации, выполняющей проектные работы. Получив отчёт о посещении интернета в мегабайтах и в рублях, легко в последующем спланировать расходы на интернет для пользователей и отделов и установить соответствующие ограничения. Часто программы без ведома пользователя скачивают очень большие объёмы данных, поэтому лимит необходимо устанавливать и для добросовестных пользователей, и для организации в целом, это позволит избежать больших расходов.

Современный интернет-шлюз позволяет контролировать расходы в реальном времени, предупреждать о перерасходе и блокировать доступ в интернет при превышении установленного лимита.

Рассмотрим фильтрацию трафика в соответствии с политикой организации, выполняющей проектные работы.

Важным пунктом в обеспечении информационной безопасности является файервол, работающий на шлюзе. Файервол шлюза позволяет запретить ненужные протоколы или ограничить доступ к определённым сайтам, а также запретить работу определённых приложений, например программы поддержки файлообменных сетей.

Опасность могут также представлять любые предоставленные для скачивания в интернете файлы. Такие файлы часто заражены вирусами и программами-шпионами. Файервол позволяет запретить скачивание файлов определённого типа, например с расширениями *.exe или *.avi.

Файервол в Ideco ICS имеет одну интересную особенность: он обеспечивает интеллектуальную обработку трафика с целью выделения приоритетов, что позволяет важным приложениям качественно работать при стопроцентной загрузке интернет-канала.

Разумеется, шлюз и сам должен быть максимально защищён. При его выборе стоит уделить внимание тому, на базе какой операционной системы он работает, ведь при взломе интернет-шлюза остальная защита просто теряет смысл. Одной из самых защищённых операционных систем на сегодня является Linux. Раньше использовать Linux могли только предприятия, в штате которых есть высококвалифицированные системные администраторы со специальными знаниями. Сегодня появляется всё больше готовых продуктов, основанных на Linux. Так, шлюз Ideco ICS работает на ОС Linux, но управляется через простой графический интерфейс, понятный обычному пользователю.

Рассмотрим комплексный подход к защите от вирусных угроз.

Такой подход к защите от вредоносного кода предусматривает согласованное применение правовых, организационных и программно-технических мер, перекрывающих в совокупности все основные каналы реализации вирусных угроз. В соответствии с этим подходом в организации должен быть реализован следующий комплекс мер:
- выявление и устранение уязвимостей, на основе которых реализуются вирусные угрозы. Это позволит исключить причины возможного возникновения вирусных атак;
- своевременное обнаружение и блокирование вирусных атак;
- выявление и ликвидация последствий вирусных угроз. Данный класс мер защиты направлен на минимизацию ущерба, нанесённого в результате реализации вирусных угроз.

Важно понимать, что эффективная реализация вышеперечисленных мер в организации, выполняющей проектные работы, возможна только при наличии нормативно-методического, технологического и кадрового обеспечения антивирусной безопасности.

Нормативно-методическое обеспечение антивирусной безопасности предполагает создание сбалансированной правовой базы в области защиты от вирусных угроз. Для этого в компании должен быть разработан комплекс внутренних нормативных документов и процедур, обеспечивающих процесс эксплуатации системы антивирусной безопасности. Состав таких документов во многом зависит от размеров самой организации, уровня сложности АИС, количества объектов защиты и т. д. Так, например, для крупных организаций основополагающим нормативным документом в области защиты от вредоносного кода должна быть концепция или политика антивирусной безопасности. Для небольших компаний достаточно разработать соответствующие инструкции и регламенты работы пользователей, а также включить требования к обеспечению антивирусной защиты в состав политики информационной безопасности организации.

В рамках кадрового обеспечения антивирусной безопасности в компании должен быть организован процесс обучения сотрудников противодействию вирусным угрозам. Программа обучения должна быть направлена на минимизацию рисков, связанных с ошибочными действиями пользователей, приводящих к реализации вирусных атак. Примерами таких действий являются: запуск приложений с непроверенных внешних носителей, использование нестойких к угадыванию паролей доступа, закачка ActiveX-объектов с сайтов, не включённых в список доверенных, и др. В процессе обучения должны рассматриваться как теоретические, так и практические аспекты антивирусной защиты. При этом программа обучения может составляться в зависимости от должностных обязанностей сотрудника, а также от того, к каким информационным ресурсам он имеет доступ.

Технологическое обеспечение направлено на создание комплексной системы антивирусной защиты (КСАЗ), которая помимо антивирусов дополнительно должна включать в себя такие подсистемы, как защита от спама, обнаружение и предотвращение атак, выявление уязвимостей, сетевое экранирование и подсистема управления.

Подсистема выявления компьютерных вирусов является базовым элементом КСАЗ и предназначена для обнаружения различных типов компьютерных вирусов на уровне рабочих станций пользователей, серверов, а также сетевых шлюзов. Для обнаружения вирусов подсистема должна использовать как сигнатурные, так и эвристические методы анализа. В случае обнаружения вируса подсистема обеспечивает возможность оповещения пользователя и администратора безопасности, а также удаления выявленных вирусов из инфицированных файлов. Для эффективной защиты от вирусов подсистема должна базироваться на антивирусных ядрах различных производителей. Это позволит существенно повысить вероятность обнаружения вируса за счёт того, что каждый файл или почтовое сообщение будет проверяться различными средствами. Ещё одним преимуществом использования многоядерных антивирусов является более высокая надёжность работы КСАЗ. В случае если в одном из сканирующих ядер КСАЗ произойдёт сбой, то оно всегда может быть заменено другим активным антивирусным ядром. Примером программного продукта, который может использоваться для реализации КСАЗ, является система Antigen компании Microsoft (www.antigen.ru), предназначенная для антивирусной защиты серверов Exchange, SharePoint, SMTP-шлюзов и другого прикладного ПО. Данный продукт может включать в себя до восьми антивирусных ядер различных производителей.



Подсистема сетевого экранирования предназначена для защиты рабочих станций пользователей от возможных сетевых вирусных атак посредством фильтрации потенциально опасных пакетов данных. Подсистема должна обеспечивать возможность фильтрации на канальном, сетевом, транспортном и прикладном уровнях стека TCP/IP. Как правило, данная подсистема реализуется на основе межсетевых и персональных сетевых экранов. При этом межсетевой экран устанавливается в точке подключения АИС к сети интернет, а персональные экраны размещаются на рабочих станциях пользователей.

Подсистема выявления и предотвращения атак предназначена для обнаружения несанкционированной вирусной активности посредством анализа пакетов данных, циркулирующих в АИС, а также событий, регистрируемых на серверах и рабочих станциях пользователей. Подсистема дополняет функции межсетевых и персональных экранов за счёт возможности более детального контекстного анализа содержимого передаваемых пакетов данных. Эта подсистема включает в себя следующие компоненты:
- сетевые и хостовые сенсоры, предназначенные для сбора необходимой информации о функционировании АИС. Сетевые сенсоры реализуются в виде отдельных программно-аппаратных блоков и предназначены для сбора информации обо всех пакетах данных, передаваемых в рамках того сетевого сегмента, где установлен сенсор. Данный тип сенсоров должен присутствовать во всех ключевых сегментах АИС, где расположены защищаемые узлы системы. Хостовые сенсоры устанавливаются на рабочие станции и серверы АИС и собирают информацию обо всех событиях, происходящих на этих узлах системы. Хостовые сенсоры могут собирать информацию не только о пакетах данных, но и о других операциях, которые выполняются приложениями, запущенными на узле АИС;
- модуль выявления атак, выполняющий обработку данных, собранных сенсорами, с целью обнаружения информационных атак нарушителя. Данный модуль подсистемы должен реализовывать сигнатурные и поведенческие методы анализа информации;
- модуль реагирования на обнаруженные атаки. Модуль должен предусматривать возможность как пассивного, так и активного реагирования. Пассивное реагирование предполагает оповещение администратора о выявленной атаке, в то время как активное – блокирование попытки реализации вирусной атаки;
- модуль хранения данных, в котором содержится вся конфигурационная информация, а также результаты работы подсистемы.

Подсистема выявления уязвимостей должна обеспечивать возможность обнаружения технологических и эксплуатационных уязвимостей АИС посредством проведения сетевого сканирования. В качестве объектов сканирования могут выступать рабочие станции пользователей, серверы, а также коммуникационное оборудование. Для проведения сканирования могут использоваться как пассивные, так и активные методы сбора информации. По результатам работы подсистема должна генерировать детальный отчёт, включающий в себя информацию об обнаруженных уязвимостях, а также рекомендации по их устранению. Совместно с подсистемой выявления уязвимостей в АИС может использоваться система управления модулями обновлений общесистемного и прикладного ПО, установленного в АИС. Совместное использование этих систем позволит автоматизировать процесс устранения выявленных уязвимостей путём установки необходимых обновлений на узлы АИС (service pack, hotfix, patch и др.).

Подсистема защиты от спама направлена на блокирование почтовых сообщений рекламного характера. Для этого подсистема должна поддерживать возможность работы со списками RBL (Real-Time Black Lists), а также реализовывать собственные сигнатурные или поведенческие методы выявления спама. Подсистема устанавливается таким образом, чтобы все входящие почтовые сообщения, поступающие из интернета, вначале проходили через её контекстный фильтр, а затем попадали на корпоративный почтовый сервер.

Подсистема управления антивирусной безопасностью предназначена для выполнения следующих функций:
- удалённой установки и деинсталляции антивирусных средств на серверах и рабочих станциях пользователей;
- удалённого управления параметрами работы подсистем защиты, входящих в состав КСАЗ;
- централизованного сбора и анализа информации, поступающей от других подсистем. Данная функция позволяет автоматизировать процесс обработки поступающих данных, а также повысить оперативность принятия решений по реагированию на выявленные инциденты, связанные с нарушением антивирусной безопасности.

Внедрение комплексной системы антивирусной защиты, представляет собой довольно сложный многоступенчатый процесс, который включает в себя следующие этапы:
- аудит информационной безопасности АИС, который направлен на сбор исходной информации, необходимой для разработки плана внедрения КСАЗ;
- формирование требований к КСАЗ, предназначенной для защиты АИС. На данном этапе формируется техническое задание на внедрение КСАЗ;
- разработка технико-рабочего проекта по внедрению КСАЗ, содержащего описание проектных решений, схем установки, параметров настройки КСАЗ и других служебных данных;
- обучение персонала организации, ответственного за администрирование КСАЗ;
- пусконаладочные работы, связанные с развёртыванием КСАЗ;
- техническое сопровождение КСАЗ, в рамках которого решаются вопросы, связанные с обслуживанием системы в процессе её эксплуатации.

Состав этапов и их длительность зависят от размерности защищаемой АИС, а также от масштабов внедрения КСАЗ. Работы, связанные с установкой и эксплуатацией системы обнаружения атак, могут проводиться как собственными силами проектной организации, так и с привлечением внешних организаций, специализирующихся на предоставлении услуг в области информационной безопасности. При этом некоторые этапы могут объединяться или проводиться одновременно. Так, например, разработка технико-рабочего проекта и обучение персонала организации, выполняющей проектные работы, могут осуществляться параллельно.

В заключение

В данной статье мы попытались обосновать, что требования к средствам защиты и к подходам к их реализации полностью определяются приложением (областью практического использования) средств защиты. Критерии эффективности средств защиты, предназначенных для личного и корпоративного использования в рамках выполнения проектов «под ключ», принципиально отличаются, как следствие, необходимыми являются и те, и другие решения. Однако принципиально неверным будет вести разговор об эффективности средства защиты, не применительно к условиям его практического использования. Также потребитель должен понимать, что средство защиты может быть либо простым (в эксплуатации и администрировании), либо обеспечивать эффективную защиту. Иного не дано – слишком различны требования к реализации. Для каждого из этих средств есть своя «ниша» – область их практического использования. Выбирая же между простотой и эффективностью защиты, пользователь должен четко понимать, в чем состоят достоинства и недостатки средств защиты для альтернативных приложений.


Источники:
1. Щеглов, А. Ю. – Защита компьютерной информации от несанкционированного доступа. – М.: Наука и техника, 2004. – 384 с.
2. Корпоративные решения [http://www.kaspersky.ru/corporatesolutions]
3. Лебедев, П. Защита для компьютера: просто и бесплатно [http://www.gazeta.ru/techzone/2006/11/02_a_1003191.shtml]
4. Ларионова, Н. Враг не пройдёт. – 2006 [http://www.buhcomp.ru/htm/new_namb/arhive_2006/06/statyi/statya_2.shtml]
5. Сердюк, В. Комплексный подход к противодействию вирусным атакам – гарантия эффективной защиты компании // Бухгалтер и компьютер. – 2007. – №3 [http://www.buhcomp.ru/htm/new_namb/arhive_2007/03/statyi/statya_3.shtml]

Автор: Челябэнергопроект
Дата: 23.03.2010

Комментарии специалистов Челябэнергопроект:
Нет
Статьи

смета проектных работ
©Челябэнергопроект – проектные работыinfo@chepr.ru, 2007-2013
DRA.RU - проектирование сайта под ключ; системный администратор ООО «Челябэнергопроект»
Главная|О компании|Стратегия|
Компетенция / услуги|Контакты
Сертификат качества