Опубликован: 17.10.2008 | Уровень: для всех | Доступ: платный | ВУЗ: Санкт-Петербургский государственный университет
Лекция 13:

Организация безопасности данных и информационной защиты

< Лекция 12 || Лекция 13: 12345 || Лекция 14 >
Аннотация: Данная лекция посвящена вопросам организации безопасности данных и информационной защиты. Рассматриваются возможные варианты атак и методы защиты информации
Ключевые слова: Internet, intranet, корпоративная сеть, сеть, доступ, платежное поручение, безотказность, internet-услуга, оператор связи, физическая безопасность, Хакер, гигабайт, привилегия доступа, конфиденциальная информация, модифицируемость, информационная среда, компьютерные вирусы, оперативная память, файл паролей, sniffer, доверенность, безопасная система, сетевой червь, файловый вирус, троянская программа, im-черви, полиморфизм, почтовые черви, email, WORM, сетевой сервис, текстовый процессор, подгруппа, DoS-атака, троянский конь, кража, отказ в обслуживании, denial, антивирусная защита, CD-RW, копирование файлов, архивирование, антивирус, файловый сервер, сервер приложений, угрозы безопасности, межсетевой экран, firewall, управление рисками, анализ рисков, сертификация, периодичность, анализ защищенности, автоматизированная система, криптографические средства, разграничение доступа, checkpointing, вычислительная система, internet security, scanner, ISS, преобразование данных, шифрование данных, открытый ключ, асимметричное шифрование, hash function, дайджест, хэш-функция, ЭЦП, симметричные алгоритмы, DES, data encryption standard, IDEA, encryption algorithm, RC2, RC5, casting, blowfish, асимметричные алгоритмы, RSA, криптосистема, эллиптические кривые, распределение ключей, MD4, message digest, MD5, SHA-1, hashing algorithm, PGP, privacy, алгоритм IDEA, секретный ключ, отождествление, контроль целостности, средства защиты информации, защита данных, материальные затраты, Безопасность информации, корпоративная информационная система, дифференцирование, АРМ, унификация, реализация требований, central office, region, branch, small office, классы сетей, фильтрация трафика, ASN.1, 3COM, контроль доступа, VPN, Appliances, t-commerce, отказоустойчивость, кластер, safe, suite, ACSE, виртуальные частные сети, virtual private network, encryption


Современное развитие информационных технологий и, в частности, технологий Internet/Intranet приводит к необходимости защиты информации, передаваемой в рамках распределенной корпоративной сети, которая использует сети открытого доступа. При работе на своих собственных закрытых физических каналах доступа эта проблема так остро не стоит, так как в эту сеть закрыт доступ посторонним. Однако выделенные каналы может себе позволить далеко не любая компания. Поэтому приходится довольствоваться тем, что есть в распоряжении компании. А есть чаще всего Internet. Поэтому нужно изобретать способы защиты конфиденциальных данных, передаваемых по фактически незащищенной сети.

Ключевые вопросы информационной безопасности

Рис. 13.1. Ключевые вопросы информационной безопасности

Рассматривая вопросы информационной защиты, можно выделить несколько вопросов, которые являются базовыми и в обязательном порядке должны прорабатываться высшим руководством компании при организации информационной защиты ( рис. 13.1) [Лукацкий А.В. Защитите свой бизнес. http://www.bezpeka.com/ru/lib/sec/gen.html].

Надо ли защищаться?

Ответов на этот вопрос может быть множество, в зависимости от структуры и целей компании. Для одних главной задачей является предотвращение утечки информации (маркетинговых планов, перспективных разработок и т. д.) конкурентам. Другие могут пренебречь конфиденциальностью своей информации и сосредоточить свое внимание на ее целостности (например, для банка важно в первую очередь обеспечить неизменность обрабатываемых платежных поручений). Для третьих компаний на первое место выходит задача обеспечения доступности и безотказной работы корпоративных информационных систем. Например, для провайдера Internet-услуг, компании, имеющей Web-сервер, или оператора связи первейшей задачей является именно обеспечение безотказной работы всех (или наиболее важных) узлов своей информационной системы. Расставить такого рода приоритеты можно только в результате анализа деятельности компании.

Обычно, когда речь заходит о безопасности компании, ее руководство часто недооценивает важность информационной безопасности. Основной упор делается на физической безопасности (пропускной режим, охрана, системы видеонаблюдения и т. д.). Однако за последние годы ситуация существенно изменилась. Для того чтобы проникнуть в тайны компании, нет необходимости перелезать через заборы и обходить периметровые датчики, вторгаться в защищенные толстыми стенами помещения, вскрывать сейфы и т. п. Достаточно войти в информационную систему банка и перевести сотни тысяч долларов на нужные счета, подменить или уничтожить критически важные данные, вывести из строя какой-либо узел корпоративной сети.

Все это может привести к значительному ущербу, причем не только к прямому, который может выражаться в крупных суммах, но и к косвенному, не менее значимому. Выведение из строя того или иного узла сети или модуля КИС приводит к затратам на восстановление его работоспособности, которые заключаются в обновлении или замене программного обеспечения, расходовании дополнительной зарплаты обслуживающего персонала. Атака на Web-сервер компании и замена его содержимого на любое другое может привести к снижению доверия к фирме и, как следствие, к потере части клиентуры и снижению доходов.

От кого защищаться?

В абсолютном большинстве случаев ответ на этот вопрос - от внешних злоумышленников, хакеров. По мнению большинства российских предпринимателей, основная опасность исходит именно от них: проникают в компьютерные системы банков и военных организаций, перехватывают управление спутниками и т. д.

Такая опасность существует, и ее нельзя недооценивать. Но она слишком преувеличена. Статистика показывает: до 70-80% всех компьютерных преступлений связаны с внутренними нарушениями, которые осуществляются сотрудниками компании! Пусть случайному внешнему злоумышленнику (а большинство "взломов" совершают именно такие субъекты) удалось найти слабое место в системе информационной безопасности компании. Используя эту "дыру", он проникает в корпоративную сеть - к финансовым данным, стратегическим планам или перспективным проектам. Что он реально имеет? Не являясь специалистом в области, в которой работает компания, разобраться без посторонней помощи в гигабайтах информации попросту невозможно. Однако свой сотрудник может реально оценить стоимость той или иной информации, и он обладает привилегиями доступа, которые позволяют ему производить несанкционированные манипуляции.

В публикациях достаточно примеров, когда сотрудник компании, считая, что его на работе не ценят, совершает компьютерное преступление, приводящее к многомиллионным убыткам. Часты случаи, когда после увольнения бывший сотрудник компании в течение долгого времени пользуется корпоративным доступом в Internet. При увольнении этого сотрудника никто не подумал о необходимости отмены его пароля на доступ к данным и ресурсам, с которыми он работал в рамках своих служебных обязанностей. Если администрирование доступа поставлено плохо, то часто никто не замечает, что бывшие сотрудники пользуются доступом в Internet и могут наносить ущерб своей бывшей компании. Спохватываются лишь тогда, когда замечают резко возросшие счета за Internet-услуги и утечку конфиденциальной информации. Такой случай достаточно показателен, т. к. иллюстрирует очень распространенные практику и порядок увольнения в российских компаниях.

Однако самая большая опасность может исходить не просто от уволенных или обиженных рядовых сотрудников (например, операторов различных информационных подсистем), а от тех, кто облечен большими полномочиями и имеет доступ к широкому спектру самой различной информации. Обычно это сотрудники ИТ-отделов (аналитики, разработчики, системные администраторы), которые знают пароли ко всем системам, используемым в организации. Их квалификация, знания и опыт, используемые во вред, могут привести к очень большим проблемам. Кроме того, таких злоумышленников очень трудно обнаружить, поскольку они обладают достаточными знаниями о системе защиты ИС компании, чтобы обойти используемые защитные механизмы и при этом остаться "невидимыми".

Поэтому при построении системы защиты необходимо защищаться не только и не столько от внешних злоумышленников, но и от злоумышленников внутренних, т.е. выстраивать комплексную систему информационной безопасности.
< Лекция 12 || Лекция 13: 12345 || Лекция 14 >
Эльдар Дуйсенгажин
Эльдар Дуйсенгажин
Александр Медов
Александр Медов

Здравствуйте,при покупке печатной формы сертификата,будут ли выданы обе печатные сторны?

Анатолий Федоров
Анатолий Федоров
Россия, Москва, Московский государственный университет им. М. В. Ломоносова, 1989