Главная» Как защитить информацию»Статьи по защите конфиденциальной информации

Статьи по защите конфиденциальной информации

Организационные меры защиты информации

Статьи по защите конфиденциальной информации

И так давайте продолжим, как мы с вами разобрали в статье организация системы защиты информации, организационные меры защиты информации являются нормативно правовой базой всей защиты.

В рамках этой статьи я хочу без большого количества пространных высказываний предложить пошаговую схему проведения организационных мероприятий по защите информации.

Я намерено опущу часть вопросов касающихся выбора помещений, расстановки кадров, утверждения штатов, определение кем и при помощи чего будет осуществляться физическая охрана объекта и целый ряд вопросов которые необходимо решить при создании того или иного предприятия, организации или учреждения.

Наверное, вы догадались почему, потому что очень редко нам приходится начинать работу с нуля, потому, как правило, мы начинаем работу в организации, в которой по той или иной причине в процессе функционирования появляется необходимость в организации защиты информации. И мы должны исходить из тех параметров, которые уже есть, помещения, их оборудование, в том числе программно техническое, сотрудники. Но это не значит, что у нас не должно быть стратегических задач по модернизации целью, которой будет повышение базовой защищенности.

К делу.

Организация системы защиты информации

Статьи по защите конфиденциальной информации

На дворе конец 2017 года и мне стало интересно, что сейчас пишут по вопросу организации системы защиты информации. И какого было мое удивление, что на основной массе интернет ресурсов изложено по сути все грамотно и правильно, но на мой взгляд упущена сама система. Для человека, который озадачился вопросом, как организовать систему защиты информации главное уяснить четкую структуру.

Эта структура на самом деле очень проста и я постараюсь в этой статье раскрыть ее. Как это получится оценивать только Вам. Сразу оговорюсь, что для зарегистрированных пользователей есть возможность комментировать статьи, задавать вопросы, ну и конечно без критики ни как. Как говориться «в споре рождается истина», поэтому всем с удовольствием по мере сил и возможности буду отвечать.

И так что же нам необходимо понимать, когда мы собираемся построить систему защиты чего бы то ни было, будь то организация защиты информации в информационных системах, в системах электронного документооборота, ГИС, ИСПДн и т.д.ФСБсюда

Безопасность Java

Статьи по защите конфиденциальной информации

В случае типичного приложения Java 2 Enterprise Edition (J2EE) основным клиентом обычно является браузер, использующий HTTP. Есть несколько способов аутентификации по этому протоколу и одно из преимуществ J2EE состоит в том, что веб-контейнер действительно осуществляет аутентификацию. Процесс происходит прозрачно для приложений. Аутентификация для веб-приложений J2EE чаще всего задается декларативно добавлением ограничивающего условия в дескриптор размещения веб-приложения.

Безопасность электронной почты

Статьи по защите конфиденциальной информации

Отправка сообщения от любого имени не представляет трудности. Злоумышленник может сделать это, изменив настройки своего пользовательского агента или непосредственно открыв SMTP-сеанс с транспортным агентом.

Любой пользователь, имеющий возможность прослушивания сети на пути почтового сообщения или обладающий правами суперпользователя на любом из серверов, через которые проходят сообщения, может беспрепятственно читать чужие письма.

Безопасность WWW

Статьи по защите конфиденциальной информации

WWW-браузер может запустить программный код, загруженный с какого-либо сервера. есть два, отличных с точки зрения пользователя, варианта загрузки программного кода.

Первый вариант – пользователь находит на каком-либо сайте ссылку на исполнимую программу и загружает ее. В этом случае имеет место осознанный выбор пользователя, который должен понимать, что загруженная программа может содержать любой вредоносный код.

Несанкционированный обмен данными

Туннелирование сквозь фильтрующий маршрутизатор

С целью обеспечения безопасности внутренней (корпоративной) сети на шлюзе могут использоваться фильтры, препятствующие прохождению определенных типов датаграмм. Датаграммы могут фильтроваться по IP-адресам отправителя или получателя, по протоколу (поле Protocol IP-датаграммы), по номеру порта TCP или UDP, по другим параметрам, а также по комбинации этих параметров.

Рассмотрим два приема, которые может использовать злоумышленник для проникновения через некоторые фильтры.

Несанкционированное подключение к сети

Статьи по защите конфиденциальной информации

Для незаконного подключения к сети злоумышленник, разумеется, должен иметь физическую возможность такого подключения. В крупных корпоративных сетях такая возможность часто имеется. Следующим шагом для злоумышленника является конфигурирование параметров стека TCP/IP его компьютера.

Прослушивание сети (сегмента сети) даст злоумышленнику много полезной информации. В частности, он может определить, какие IP-адреса имеют узлы сети, и с помощью ICMP Echo-запросов (программа ping) определить, какие адреса не используются (или компьютеры выключены). После этого злоумышленник может присвоить себе неиспользуемый адрес.

Отказ в обслуживании

Статьи по защите конфиденциальной информации

Атаки типа «отказ в обслуживании» (DoS, denial of service), по-видимому, являются наиболее распространенными и простыми в исполнении. Целью атаки является приведение атакуемого узла или сети в такое состояние, когда передача данных другому узлу (или передача данных вообще) становится невозможна или крайне затруднена. Вследствие этого пользователи сетевых приложений, работающих на атакуемом узле, не могут быть обслужены — отсюда название этого типа атак. Атаки DoS используются как в комплексе с другими, так и сами по себе.

Генерация пакетов

Статьи по защите конфиденциальной информации

Под генерацией пакетов понимается создание и отправка специально сконструированных датаграмм или кадров, позволяющих злоумышленнику выполнить ту или иную атаку. Особо выделим здесь фальсификацию пакетов, то есть создание IP-датаграмм или кадров уровня доступа к сети, направленных якобы от другого узла (spoofing).

Сканирование сети

Статьи по защите конфиденциальной информации

Сканирование сети имеет своей целью выявление подключенных к сети компьютеров и определение работающих на них сетевых сервисов (открытых портов TCP или UDP). Первая задача выполняется посылкой ICMP-сообщений Echo с помощью программы ping с последовательным перебором адресов узлов в сети. Стоит попробовать отправить Echo-сообщение по широковещательному адресу — на него ответят все компьютеры, поддерживающие обработку таких сообщений.

Прослушивание сети

Статьи по защите конфиденциальной информации

Прослушивание сети Ethernet (а подавляющее большинство локальных сетей используют именно эту технологию) является тривиальной задачей: для этого нужно просто перевести интерфейс в режим прослушивания (promiscuous mode).

Ограничить область прослушивания в сети Ethernet можно разбиением сети на сегменты с помощью коммутаторов.

Перехват данных

Статьи по защите конфиденциальной информации

Простейшей формой перехвата данных является прослушивание сети. В этом случае злоумышленник может получить массу полезной информации: имена пользователей и пароли (многие приложения передают их в открытом виде), адреса компьютеров в сети, в том числе адреса серверов и запущенные на них приложения, адрес маршрутизатора, собственно передаваемые данные, которые могут быть конфиденциальными (например, тексты электронных писем) и т. п.

Имперсонация

Статьи по защите конфиденциальной информации

Предположим, что узел А обменивается IP-датаграммами с узлом В, при этом узлы идентифицируют друг друга по IP-адресам, указываемым в датаграммах. Предположим далее, что узел В имеет особые привилегии при взаимодействии с А: то есть А предоставляет В некоторый сервис, недоступный для других хостов Интернета. Злоумышленник на узле Х, желающий получить такой сервис, должен имитировать узел В — такие действия называются имперсонацией узла В узлом Х.

Безопасность базовых протоколов TCP/IP

Статьи по защите конфиденциальной информации

 Злоумышленник ставит перед собой определенную цель, как-то:

перехват (и, возможно, модификация) данных, передаваемых через сеть от одного узла другому;

имперсонация (обезличивание, spoofing) (узел злоумышленника выдает себя за другой узел, чтобы воспользоваться какими-либо привилегиями имитируемого узла);

несанкционированное подключение к сети;

МЭ с адаптивной проверкой пакетов (или МЭ с запоминанием состояния пакетов)

МЭ с адаптивной проверкой пакетов (или МЭ с запоминанием состояния пакетов)

МЭ с адаптивной проверкой пакетов пропускают и блокируют пакеты в соответствии с почти таким же набором правил, как и у пакетного фильтра. Они осуществляют контроль не только на базе IP-адресов и портов, но также и по значениям SYN (флаг синхронизации, создает сеанс TCP), ASK (флаг распознавания, подтверждает успешное принятие предыдущего пакета), порядковых номеров и других данных, содержащимся в заголовке TCP. Такие МЭ отслеживают состояние каждого сеанса и могут динамически открывать и закрывать порты в соответствии с требованиями различных сеансов. Они также способны анализировать данные определенных типов пакетов. Пример – протокол FTP, применительно к которому производится анализ команд для определения правильности направления их передачи.

1
2
3