Клиент - сервер

-обробка реєстраційних журналів,

-установка системи захисту на ПЕОМ,

-зняття системи захисту з ПЕОМ,

       - реєстрації подій:

-входу користувача в систему, виходу користувача їх системи,

-порушення прав доступу до ресурсів, що захищаються,

-реакції на факти невстановлення справжності і порушення прав доступу,

тобто ініціалізація відповідних мір  на факти НСД і невстановлення

справжності;

-контролю цілісності і дієздатності систем захисту;

-забезпечення безпеки інформації при проведенні ремонтно- профілактичних робіт;

-забезпечення безпеки інформації в аварійних ситуаціях. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

8. Перелік детальних вимог до підсистем захисту інформаційних ресурсів 

Мережевий екран призначений для заборони чи дозволу користування певними сервісами зовнішньої мережі комп’ютерові чи їх групі, а також навпаки. Точніше зрозуміти призначення мережевих екранів нам допоможе нижче наведений розподіл за функціями та класифікація. Перш за все мережеві екрани поділяються на персональні та між мережні. Персональний мережевий екран призначений для захисту одного комп’ютера, в той час коли між мережні використовують для цілої робочої групи чи під мережі. Мережеві екрани бувають програмні, а також апаратні (тільки між мережні). Апаратні мережеві екрани підключають у вигляді окремого пристрою до мережі.

Функції мережевих екранів:

• Фільтрація пакетів. Це одна з трьох загальновідомих функцій мережевого екрану. У цьому випадку виконуються зовсім прості функції (фактично як у спеціалізованого маршрутизатора), які полягають у перегляді заголовка кожного пакету та перевірки ІР адреси та порта на правильність. Наприклад, пакет, який передається в Інтернет, але має локальну адресу призначення, блокується. Ця функція присутня у всіх сучасних мережевих екранах і відрізняється високою швидкодією та відсутністю необхідності діалогу з користувачем.
• Проксі сервер. Це друга загальновідома функція. Різниця між проксі сервером та фільтрацією пакетів полягає в тому, що проксі сервер вимагає, щоб всі сеанси зв’язку встановлювались через нього, а не напряму. Отримавши дані, проксі сервер відсилає їх далі від свого імені, а отримавши відповідь, пересилає її потрібному комп’ютеру внутрішньої мережі. Як можна здогадатись, продуктивність не є такою ж високою, як при фільтрації пакетів, але достатньою, оскільки відбувається тільки заміна заголовка пакета. Головною перевагою проксі сервера є те, що він приховує справжні адреси ваших комп’ютерів, замінюючи їх на свою. Це унеможливлює атаку на конкретний комп’ютер в підмережі.
• Проксі сервер програм. Це третя функція. Цей різновид проксі сервера відрізняється “розумінням” протоколів програм, що ведуть передачу даних. Хороший приклад такого сервера -поштовий сервер. Проксі сервер програм може проводити ідентифікацію користувачів, а не тільки покладатись на ІР адресу, в деяких випадках можливе виявлення передавання вірусів та іншого шкідливого коду. Це все звичайно потребує набагато більших обчислювальних потужностей, а також в більшості випадків вимагає значного перенастроювання робочих станцій, через що втрачається прозорість роботи мережевого екрану.
• Кешування даних. Це не є традиційною функцією мережевих екранів, але на даний час стає надзвичайно популярною властивістю. Ідея полягає у тому, що, оскільки всі дані проходять через мережевий екран, він може зберігати найбільш популярну інформацію і мри наступному звертанні за нею видати її зі свого кешу.
• Статистика та повідомлення. Важливою властивістю мережевого екрану є ведення історії всіх мережевих з’єднань, а також вивід повідомлень про атаки на мережу чи комп’ютер. Історія з’єднань допомагає правильно настроїти мережевий екран, щоб комп’ютер був одночасно захищений від нападів і відкритий для доступу авторизованим користувачам.
• Керування. Для персональних мережевих екранів основна характеристика — зручність їхнього налаштування. Керування міжмережними екранами здебільшого відбувається дистанційно (використовуючи НТМЬ інтерфейс чи інший), що потребує впевненості в надійності авторизації та каналу зв’язку.

Вимоги  до системи виявлення небезпечних подій та вторгнень

         Небезпечна подія  з безпекою інформації, чи інцидент у системі безпеки, чи вторгнення - це подія, внаслідок якої відбулася  чи могла відбутися втрата чи ушкодження інформаційних ресурсів підприємства, чи дія, яка порушує ухвалені на підприємстві правила безпеки. Небезпечна подія  завдає чи може завдати шкоди й  негативно позначитись на роботі комп’ютерів та інформаційно-обчислювальних мереж.

       Небезпечні  події можуть бути внутрішніми чи викликатись зовнішніми загрозами. Практика засвідчує, що доля інцидентів, спричинених внутрішніми чинниками, є більша аніж зовнішніми. Втрати підприємства можуть бути значними в обох випадках. Улагоджування подій має охоплювати як внутрішні події, так і ті, котрі  спричинено зовнішніми загрозами.

       Базові  служби захисту - системи ідентифікування, системи розмежуовування доступу, мережні екрани - виконують вже відомі нам функції, але їх недостатньо для відстежуванпя всіх подій у мережному середовищі, оскільки існують канали проникнення, які цими засобами не перекриваються. Зловмисник може викрасти паролі. Міжмережний екран не контролює активність всередині локальної мережі. Атаки може бути ініційовано правочинними користувачами. Системи виявлення атак чи небезпечних подій, чи вторгнень, що є теж саме, застосовуються для постійного спостерігання за мережею й перекривання каналів проникнення.

Система виявлення подій відіграє важливу  роль у здійсненні політики безпеки  підприємства й підвищує гарантії того, що мережа є безпечна. Системи виявлення  вторгнень активно розвиваються і постійно випробують нові технології.

Система виявлення небезпечних подій  виконує такі функції:

І дозволяє службі безпеки інформації оцінювати  ефективність компонентів системи  безпеки. Відсутність виявлених  вторгнень за наявності надійної та ефективної системи виявлення  подій є свідченням стосовно надійності захисту, особливо міжмережних екранів;

• являється  пусковим механізмом, що призводить у  дію заплановані у відповідь  заходи захисту.

Вибір засобів виявлення вторгнень  до інформаційно- обчислювальних систем залежить від типу захищуваної мережі, цінності захищуваних інформаційних ресурсів, величини оцінки ризику, використовуваної системи для захисту периметра системи, рівня захисту, відповідно до політики безпеки підприємства, обгрунтування витрат на захист, можливих використовуваних ресурсів.

Методи  й засоби, що їх може бути використано  для виявлення вторгнення до інформаційно-обчислювальних систем, перебувають у стадії інтенсивного розвинення. У цьому посібнику  наводяться, здебільшого, технічні засоби виявлення небезпечних подій, але  певні з них потребують супровадження організаційними заходами.

Виявлення й розслідування небезпечних  подій здійснюється співробітниками  служби захисту інформації, котра  створюється на підприємстві згідно з рекомендаціями НД ТЗІ 1.4-001-2000 [16]. В службі захисту інформації створюється  спеціальна група для розслідування  подій, яка збирає інформацію з підозрами  на події й використовує певні  заходи й засоби для запобігання  певним подіям.

Системи виявлення вторгнень стежать  не лише за формальними параметрами, але й за поводженням різних компонентів  мережі, незважаючи на їхній статус і джерело. Вони здатні не лише виявляти атаки в момент їхнього здійснення, але і вчасно реагувати на них  чи шляхом сповіщання відповідальних осіб, чи відбиваючи атаку самостійно.

Ідеальна  система виявлення вторгнень  повинна, окрім майже миттєвого  виявлення атаки, надавати адміністраторові повну інформацію про те, що саме в даний момент відбувається з  системою, до яких об’єктів зловмисник намагається здобути чи вже здобув доступ, час початку атаки, її метод, активність тощо, а також усі можливі  дані про атакуючий хост, розпочинаючи з ІР-адреси і закінчуючи версією програмного забезпечення на машині зловмисника.

Багато  систем виявлення атак протоколюють будь-які підозрілі дії. Це надає  можливість збирати докази на випадок  притягнення зловмисника до суду. 

Система виявлення вторгнень має задовольняти наборові таких

       вимог:

      В контроль і невразливість до перевантаження. Система має опрацьовувати великі обсяги даних, не знижуючи пропускної здатності. Навіть якщо зловмисник спробує  перевантажити мережу сторонніми пакетами для виведення системи з ладу, система виявлення вторгнень  повинна залишатися в працездатному  стані, нехай і втрачаючи частину  трафіка. Система повинна нормально працювати з розрахунку максимально можливого трафіка;.

• робота в режимі реального часу. Аналізування і сповіщання про атаку повинні відбуватися в момент її здійснення, а ще краще — до атаки, у момент збирання інформації. Цінність інформації про вже проведену атаку є мінімальна;
• масштабованість та адаптованість. Система повинна підтримувати можливість збільшення потужностей і розширення функцій, наприклад, для виявлення нових видів атак та обслуговування більш широкого каналу зв’язку;
• живучість. Професійно проведені атаки обов’язково включають дії, спрямовані проти існуючої інфраструктури безпеки. Система виявлення вторгнень має бути стійка до зловмисних впливів, розпізнавати їх і інформувати персонал про різновид атаки.

      Важливі вважаються десять ключових засобів  контролю, які є обов’язковими вимогами чи основними структурними елементами інформаційної безпеки. Ключовими є такі засоби контролю:

• документ про політику інформаційної безпеки;
• розподіл обов’язків щодо забезпечування інформаційної безпеки;
• навчання й підготовка персоналу до підтримування режиму інформаційної безпеки;
• повідомлення про випадки порушування захисту чи інциденти в системі безпеки;
• засоби захисту від вірусів;
• процес планування безперебійної роботи підприємства;
• контроль за копіюванням програмного забезпечення, захищуваного законом про авторське право;
• захист документації підприємства;
• захист даних;
• відповідність політиці безпеки.

безпеки; 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

    9. Структурна схема захисту інформаційних ресурсів ОІД

    Захист  від НСД в системі клієнт-сервер може здійснюватися в різних складових  інформаційної системи:

    - прикладне й системне ПЗ;

    - апаратна частина серверів і робочих станцій;

    - комунікаційне устаткування й канали зв'язку;

    - периметр інформаційної системи. 

                  Рис 5.Схема обьекту після впровадження систем захисту

 

Для захисту  інформації на різних рівнях пропоную впровадження нових систем захисту  та оновлення того що є в наявності.

      Для захисту інформації на рівні прикладного  й системного ПЗ пропоную використовувати:

      - системи розмежування доступу  до інформації;

      - системи ідентифікації й аутентифікації;

      - системи аудита й моніторингу;

      - системи антивірусного захисту.

      Для захисту інформації на рівні апаратного забезпечення використовуються:

      - апаратні ключі;

      - системи сигналізації;

      - засоби блокування пристроїв  і інтерфейсів вводу-виводу інформації.

      Також пропоную використовувати наступні засоби мереженого захисту інформації:

      -міжмережеві екрани (Firewall) — для блокування атак із зовнішнього середовища (Cisco PIX Firewall, Symantec Enterprise FirewallTM, Contivity Secure Gateway і Alteon Switched Firewall від компанії Nortel Networks). Вони управляють проходженням мереженого трафіка відповідно до правил (policies) безпеки. Як правило, міжмережеві екрани встановлюються на вході мережі й розділяють внутрішні (частки) і зовнішні (загального доступу) мережі; 

      -системи виявлення вторгнень (IDS - Intrusion Detection System) — для виявлення спроб несанкціонованого доступу як ззовні, так і усередині мережі, захисту від атак типу "відмова в обслуговуванні" (Cisco Secure IDS, Intruder Alert і NetProwler під компанії Symantec). Використовуючи спеціальні механізми, системи виявлення вторгнень здатні запобігати шкідливим діям, що дозволяє значно знизити час простою в результаті атаки й витрати на підтримку працездатності мережі;

      -Засоби створення віртуальних приватних мереж (VPN - Virtual Private Network) — для організації захищених каналів передачі даних через незахищене середовище (Symantec Enterprise VPN, Cisco IOS VPN, Cisco VPN concentrator). Віртуальні приватні мережі забезпечують прозоре для користувача з'єднання локальних мереж, зберігаючи при цьому конфіденційність і цілісність інформації шляхом її дінамічного шифрування;

      -засоби аналізу захищеності - для аналізу захищеності корпоративної мережі й виявлення можливих каналів реалізації погроз інформації (Symantec Enterprise Security Manager, Symantec NetRecon). їхнє застосування дозволяє запобігти можливим атакам на корпоративну мережу, оптимізувати витрати на захист інформації й контролювати поточний стан захищеності мережі.

Для захисту  периметра інформаційної системи  створити: -системи охоронної й пожежної сигналізації;

      -системи цифрового відеоспостереження;

      -системи контролю й керування доступом (СККД).

      Захист  інформації від її витоку технічними каналами зв'язку забезпечується наступними засобами й заходами:

      -використанням екранованого кабелю й прокладкою проводів і кабелів в екранованих конструкціях;

      -установкою на лініях зв'язку високочастотних фільтрів;

      -побудовою екранованих приміщень ("капсул");