„управление и защита на корпоративни информационни системи


Организационни мерки за физическа защита



страница5/14
Дата28.10.2018
Размер1.15 Mb.
#103013
ТипПрограма
1   2   3   4   5   6   7   8   9   ...   14

1.2.4. Организационни мерки за физическа защита


Сигурността на АИС и/или мрежите в дадена корпурация зависи от обкръжението, в което работят, следователно необходимо е да се предприемат мерки за защитата на сградите и прилежащите територии, поддържащи инфраструктурата и самите компютри.

В нашето законодателство съществува много добра нормативна база по отношение на физическата защита на класифицираната информация9.

Мерките за физическото управление на достъпа позволяват да се контролира и при необходимост да се ограничава влизането и излизането на служители и посетители. Може да се контролира цялата сграда на организацията, както и отделни помещения, например тези, в които са разположени комуникационната апаратура и сървърите (в закона са определени като зони за сигурност). По принцип средствата за физическа защита са известни отдавна. Това са: охрана, прегради, видео наблюдение, обемни детектори и др. Важно е да се разграничат компютрите и потока от посетители, или в краен случай да се направи така, че от прозорците и вратите да не се наблюдават екраните на мониторите и принтерите. При голяма централизирана система, в която много от данните са поверителни, сървърите трябва да са физически обезопасени от случайно или умишлено повреждане. Винаги се намират хора, желаещи да демонстрират своите технически способности, когато има проблеми със сървъра. Поради това най-добре е физически да се елиминира възможността случайни лица да имат достъп до сървъра. Най-простото решение е той да се заключи в отделна стая, в която влизането да е ограничено. Това е стъпка в правилна посока при гарантиране на сигурността на сървъра.

Опасността от пожари е твърде голяма и щетите, които нанасят, също така че противопожарната защита е много съществена част от физическата защита. Необходимо е помещенията, където се намират компютърните системи, да имат противопожарна сигнализация и автоматични средства за пожарогасене.

Към поддържащата инфраструктура могат да се отнесат системите за електро- водо- и топлоснабдяване и средствата за комуникация. Към тях трябва да има същите изисквания за достъпност и цялостност, както и към АИС и/или мрежата. За осигуряване на цялостност е необходимо да се защити оборудването от кражби и повреди.

Нерегламентираният достъп до данните може да се осъществи чрез наблюдаване на екрана на монитора, четене на пакети, предавани по локалната мрежа, анализ на излъчваните електромагнитни вълни и др. За съжаление някои от способите за прихващане на данни са леснодостъпни, борбата с тях е трудна и скъпа. Мобилните и преносими компютри, също са обект за нерегламентиран достъп, но според нашето законодателство за тях се изготвят специфични изисквания за физическа сигурност. Такива могат да бъдат например криптиране на данни на дисковете на лаптопите.


1.2.5. Организиране поддържането на работоспособност


През време на експлоатацията на АИС и/или мрежите се крият най-големите опасности за нейната сигурност. Неволните грешки на системния администратор и на потребителите могат да доведат до повреди на апаратурата, разрушаване на програмите и данните, в най- добрият случай се допускат слабости, които повишават рисковете от заплахи. Скъпите мерки за сигурност губят своя смисъл, ако са недобре документирани, в конфликт с други програмни продукти, а паролите на системния администратор не се сменят от момента на инсталация, т.е. за осигуряване на по-добра защита на информацията в АИС и мрежите е необходима ежедневна дейност по поддръжката.

Поддръжката на потребителите например се състои в консултиране и оказване на помощ при разрешаването на различни проблеми. Важно е в потока от въпроси на потребителите да се доловят проблеми, свързани с информационната сигурност. Практически полезно е администраторите да записват въпросите на потребителите, за да могат да извлекат най-често възникващите проблеми и да направят бележки със съвети за най-разпространените.

Поддръжката на програмното осигуряване е съществен елемент от осигуряването на цялостност на информацията. Ако потребителите имат право сами да си инсталират програмни средства, това крие опасност от заразяване с вируси. Големи опасности крие и включването към интернет. В ЗЗКИ категорично се забранява свързването с глобални мрежи на АИС и/или мрежи, в които се създава, съхранява, обработва и пренася класифицирана информация. Въпреки това трябва да се контролират самоволните действия на потребителите по програмните ресурси и да се осъществява контрол и за нерегламентирани промени в програмите и правата за достъп до тях. От практиката е доказано, че колкото е по-автоматизиран е един процес, толкова по-малко вероятни са грешките, така че може да се твърди, че автоматизацията е стълб на сигурността.

За възстановяване на програмите и данните след аварии е задължително да се архивира. И тук е добре процесът да се автоматизира, а копията да се съхраняват на безопасно място, защитено от пожари и други заплахи.

В поддържането на работоспособността и по време на работния процес се налага да се осигури физическа защита и отчет на дискети, ленти, разпечатани на хартия продукти и др. Те трябва да се защитят от нерегламентиран достъп, както и от вредни влияния на околната среда. Управлението на носителите на класифицирана информация обхваща целия им жизнен цикъл. В нормативната ни уредба тези въпроси са строго фиксирани. Магнитните носители на класифицирана информация се завеждат в секретното деловодство по специален ред, а при необходимост се унищожават физически. Колкото до отпечатването на материали, съдържащи класифицирана информация, най-практично и законосъобразно е с помощта на програмни средства да се определи принтер, на който да става това.

1.2.6. Планиране организацията на възстановителните работи


Нито една организация не е застрахована от сериозни аварии, предизвикани от природни бедствия, от нечии злонамерени замисли или от небрежност и некомпетентност. В същото време във всяка организация има информация и функции, които тя смята за особено важни Част от организацията по защитата на информацията е планиране на възстановителни работи, което дава възможност да се подготвим за авариите, като намалим загубите от тях и съхраним способността на функциониране на системата, макар и в минимален обем. Процесът на планиране може да се раздели на следните етапи:

  • Определяне на критически важните функции, установяване на приоритетите.

  • Идентификация на ресурсите, необходими за изпълнение на критически важни функции.

  • Определяне на списък на възможните аварии.

  • Разработка на стратегия на възстановителни работи.

  • Подготовка за реализация на изработената стратегия.

  • Проверка на стратегията.

При планирането на възстановителните работи, трябва да се има предвид, че пълно съхраняване на информацията невинаги е възможно. Необходимо е да се определят критично важните функции, да се изведат приоритетите, за да може по-бързо и с минимални загуби да се възобнови дейността след аварията. Критичните ресурси се отнасят обикновено до една от следните категории:

  • Персонал

  • Информационна структура

  • Физическа инфраструктура.

Стратегията трябва да предписва не толкова работа по временна схема, но и възвръщане към нормално функциониране. Подготовката за реализацията на дадена стратегия се състои в изработване на подробен план на действие в екстремни ситуации и осигуряване на резервни ресурси. Последното може да се постигне без голям разход на средства, ако се сключат споразумения с една или няколко организации за взаимна поддръжка в случай на авария. Важна част от подготовката за реализация на стратегията по възстановяване е обучението на персонала.

Това са основните организационни мерки за защита на класифицираната информация в автоматизирани информационни системи и мрежи.



1.2.7. Програмно-технически мерки за защита на кла-сифицираната информация

Основната част от загубите се нанасят от действията на легалните потребители, по отношение на които управленските и организационните мерки не дават решаващ ефект. Главните врагове са некомпетентността и неточността на персонала при изпълнение на служебните задължения, опитите за нерегламентиран достъп до системите и само програмно-техническите мерки са в състояние да им противостоят.

Биват програмни и програмно-технически. Към програмните методи могат се отнесат: идентификация и автентификация; управление на достъпа; протоколиране и одит; защита от вируси.


  • Идентификация и автентификация

Идентификацията позволява на субекта да назове себе си (да съобщи името си). Посредством автентификацията втората страна се убеждава, че субектът е действително онзи, за когото се представя. В качеството на синоним на термина автентификация понякога се използва термина "проверка на идентичност". Субектът може да потвърди своята идентичност, като демонстрира едно от следните качества: нещо, което той знае (парола, личен идентификационен номер, криптографски ключ и пр.); нещо, което притежава (лична карта или друго устройство с аналогично предназначение); нещо, което е част от самия него (глас, отпечатъци от пръсти, роговица и др.).

Надеждната идентификация и автентификация е затруднена по ред причини. Първо, компютърната система се основава на информация във вида, в който е била получена. Второ, почти всички автентификационни същности могат да се узнаят, откраднат или подправят. Трето, има противоречие между надеждната автентификация и удобството на потребителя. И четвърто, колкото по-надеждно е едно средство за защита, толкова е по-скъпо. Най-често разпространеното средство за автентификация са паролите. Системата сравнява въведените и по-рано зададени от потребителя пароли и в случай на съвпадение идентичността на потребителя се счита за доказана. Друго средство, което постепенно набира популярност, са секретните криптографски ключове. Главното достойнство на паролната автентификация е простотата и привичността. При правилно използване паролите могат да осигурят приемливо за много организации ниво на защита. Надеждността на паролата се основава на способността да се помни и пази в тайна. За да се запомня лесно, паролата често се прави елементарна (името на близък, название на коли и отбори и т.н.), което, разбира се, е грешно, защото не е трудно да се отгатне. Паролите могат да бъдат разбрани по много начини: могат да бъдат видени, чрез използване на специални прибори, често се съобщават на колеги, да бъдат разшифровани чрез програмни средства, да бъдат прихванати по електронен път и др.

На практика единственият изход е използването на криптографията за криптиране на паролите. Приложими са следните мерки за повишаване на надеждността: налагане на технически ограничения - паролите да не са кратки, да съдържат букви, цифри и други знаци; управление на сроковете на действие на паролите, тяхната периодична смяна; ограничаване на достъпа до файла с паролите; ограничаване броя на несполучливите опити за вход в системата; обучение на потребителите; използване на програмни генератори на пароли.

Както е известно, едно от най-мощните средства в ръцете на злонамерени лица е изменението на програмата за автентификация, при което паролата не само се проверява, но и се запомня за последващ нерегламентиран достъп.

Устройствата за контрол, базирани на биометрични характеристики, са скъпи и сложни, затова се използват само в специфични организации с високи изисквания за сигурност. Администрирането на идентификацията и автентификацията е много важна и трудна задача. Необходимо е постоянно да се поддържа конфиденциалност, цялостност и достъпност. Най-лесният начин за това е като се централизира процесът на администриране, което позволява да се реализира концепцията за единен вход. Веднъж преминал проверката за идентичност, потребителят има достъп до всички ресурси на мрежата (в пределите на неговите правомощия).


  • Управление на достъпа

Средствата за управление на достъпа позволяват да се характеризират и контролират действия, които субектите (потребители и процеси) могат да изпълняват над обектите (информации и други ресурси). Тук става дума за логическо управление на достъпа, което се реализира с програмни средства.

Пример: Нека имаме съвкупност от субекти и набор от обекти. Задачата на логическото управление на достъпа се състои в това за всеки субект и обект да се определи списък от допустими операции и да се контролира установеният ред. Контролът за правата на достъп се създава от различни компоненти на програмната среда: операционна система, допълнителни средства за сигурност, управление на база от данни, посредническо-програмно осигуряване и т.н. При вземане на решение за предоставяне на достъп обикновено се анализира следната информация: идентификатор на субекта (потребителя), мрежови адрес на компютър и др.; атрибути на субекта - белега за сигурност, групата на потребителя; място на действието; време на действието; вътрешни ограничения на програмата.

Голяма част от операционните системи и системите за управление на бази от данни реализират произволно управление на достъпа. Основното му достойнство е гъвкавостта. Всеки субект може независимо да задава права за достъп, което е особено лесно, ако се използва списък за управление на достъп. Този подход има редица недостатъци. Децентрализацията на управлението на достъпа води до това, че надеждни трябва да бъдат много потребители, а не само системните оператори и администратори. Разсеяността и некомпетентността на притежателя на класифицирана информация може да доведе до откриването й от всички потребители.

Следва да се подчертае важността на управлението на достъпа, което трябва да бъде заложено в съществуващата политика за сигурност, а също и квалифицираното системно администриране.


  • Протоколиране и одит

Под протоколиране се разбира информация за събития, които се случват в информационната система на организацията. Във всеки програмен продукт има набор от възможни събития, но в най-честия случай могат да се подразделят на вътрешни (предизвикани от действията на самия продукт), външни (предизвикани от действия на други продукти) и клиентски (предизвикани от действията на потребителите и администраторите).

Одит - това е анализ на събраната информация, провеждан оперативно, в реално време или периодично. Целите на протоколирането и одита са:

  • осигуряване на отчетността на потребителите и администраторите;

  • възможност за реконструкция на последователността на събитията;

  • регистриране на опитите за нарушение на информационната сигурност;

  • предоставяне на информация за проявленията и анализа на проблемите.

Протоколирането трябва да се ръководи от здрав разум: какви събития да се регистрират и с каква степен на детайлизация? Необходимо е да се обърне внимание на постигането на целите, от една страна, а от друга разходите за ресурси да не са над разумните граници. Твърде детайлното протоколиране не само снижава производителността, но и затруднява одита.

Друга особеност на протоколирането и одита е зависимостта от други средства за сигурност. Идентификацията и автентификацията са отправна точка за отчетността за потребителите. Осигуряването на отчетност е важно като средство за предупреждение. Ако потребителите знаят, че техните действия са фиксирани, те ще се въздържат от незаконни операции. Очевидно е, че ако се подозира един потребител в опити за нерегламентиран достъп, могат да се регистрират неговите действия особено детайлно, стигайки до всяко натискане на клавиш. Това само по себе си защитава цялостта на информацията.

Реконструкцията на последователността на събитията позволява да се открият слабостите на защитата на системата, да се намери виновникът, да се оцени мащабът на причинената вреда и да се върне към нормална работа. Анализът на проблемите може да помогне да се подобри такъв параметър на защитата като достъпност. Протоколирането и одитът могат да се превърнат в безсмислена формалност, но могат да бъдат и ефективен инструмент за поддържане режима на информационна сигурност.


  • Защита от вируси

За защита от вируси се използват специални антивирусни програми. По принцип е невъзможно да се създаде програма, защитаваща от всички възможни вируси. Антивирусните програми правят следното: предотвратяват активирането на вирусите, премахват ги; възстановяват до известна степен причинените от вирусите щети; държат вирусите под контрол след тяхното активиране.

Един от най-добрите начини за предпазване от вируси е предотвратяването на нерегламентиран достъп. За целта администраторът трябва да вземе всички предпазни мерки. Политиката за въвеждане на антивирусна защита на клиентските компютри и мрежовите сървъри е част от политиката за сигурност.



Програмно-техническите мерки включват: криптографиране на данните; екраниране; използване на терминали; използване на непрекъсваемо електрозахранване.

Програмно-технически способи на защита. Едно от най-мощните средства за защита на поверителността и цялостността на информацията е криптографията. В много отношения тя заема централно място сред програмно-техническите мерки за сигурност. Например при преносимите компютри, където физическата защита е много трудна, само криптографията позволява да се гарантира конфиденциалност на информацията, даже в случай на кражба. Има три подхода за криптиране на данните – програмен, технически и програмно-технически. При първия начин криптирането на данните се извършва от специална помощна програма. Данните, изпратени по мрежата, са "разбъркани" по някакъв алгоритъм. Така, дори и някой да се закачи към кабела и да открадне данни, тяхното разчитане е изключително сложно и практически трудно осъществимо. Когато данните стигнат до получателя, помощна програма декодира криптираните данни и ги превръща отново в разбираема информация. Модерните методи за криптиране автоматизират и двата процеса - криптиране и декриптиране.

При техническите (хардуерни) системи за криптиране се използва специална електронна апаратура. Много важна част от една компютърна мрежа са кабелите. Всеки кабел действа като антена и излъчва в ефира сигнал, макар и с много малко ниво. Това обаче е напълно достатъчно сигналът да бъде уловен с подходящо електронно подслушвателно устройство. Информацията може да бъде открадната и директно от самия кабел с помощта на съответно оборудване. Затова до кабелите, по които се предава поверителна информация, достъп трябва да имат само оторизирани лица. Това може да се осъществи при подходящо планиране, като кабелите се прокарат по добре защитени трасета.

За подобряване на сигурността на компютърната мрежа е важно какви кабели се използват. Най-сигурни са кабелите с оптични нишки, тъй като в тях информацията се пренася под формата на модулирани светлинни импулси. Това е относително сигурен начин за пренасяне на данни, защото по кабела не се пренасят електрически импулси, т.е. те не могат да бъдат подслушвани, за да се откраднат данни, което е възможно при всички видове медни кабели.

При програмно-техническия подход се обхващат съществените предимства на единия и другия начини, описани по-горе.



Екраниране. В известен смисъл всеки ресурс се пази от защитна стена. В тази стена има врати, през които потребителите могат да преминат, за да ползват ресурса. Някои врати позволяват на потребителя да прави повече неща с ресурса, отколкото други. Администраторът определя кои потребители през кои врати могат да минават. Някои врати позволяват пълен достъп или пълен контрол над ресурса, докато други предоставят достъп например само за четене. Всеки отделен ресурс или файл съдържа в себе си списък с потребителите или групите и асоциираните с тях позволения (врати).

Използване на терминали. Терминалите (или компютри без дискове) нямат флопи- и хард дискове. От гледна точка на сигурността тези компютри са идеални, защото потребителят не може да свали файлове и да ги вземе със себе си. Те не се нуждаят от диск за първоначално зареждане, могат да комуникират със сървъра и да влизат в системата благодарение на специален чип за първоначално зареждане, инсталиран на мрежовата адаптерна карта. При включването на такъв компютър, чипът изпраща съобщение на сървъра, че желае да зареди. Сървърът отговаря, сваляйки зареждащ софтуер в RАМ паметта на този компютър, и автоматично показва на екрана прозореца за влизане в системата като част от процеса на зареждане. След като потребителят влезе, компютърът е свързан към мрежата.

Използване на непрекъсваемо електрозахранване. В случай на бедствие, предизвикано от проблеми в електрозахранването, необходимото време за възстановяване на данните от архива може да доведе до сериозно намаляване на продуктивността. Има начин за подсигуряване срещу загуба на данни чрез използване на непрекъсваемо електрозахранване (UPS). Стандартните UPS устройства осигуряват два критично важни компонента за мрежата: източник за захранване на сървъра за определено време; безопасно изключване на системата.

При прекъсване на електрозахранването UPS системата предупреждава потребителите да прекратят работата по текущите задачи. След това изчакваопределено време, зададено предварително, и изключва системата.

Съвременните корпоративни комуникационни инфраструктури стават все по-сложни. Управлението на мрежата трябва да предоставя допълнителни възможности както за осигуряване на точна и надеждна информация, така и за нейната физическа и техническа защита. Една част от техническата защита е защитата от “ПЕМИ”, криптогравската сигурност и биометричната защита които са разгледани в следващите глави от материала.


Каталог: files -> files
files -> Р е п у б л и к а б ъ л г а р и я
files -> Дебелината на армираната изравнителна циментова замазка /позиция 3/ е 4 см
files -> „Европейско законодателство и практики в помощ на добри управленски решения, която се състоя на 24 септември 2009 г в София
files -> В сила oт 16. 03. 2011 Разяснение на нап здравни Вноски при Неплатен Отпуск ззо
files -> В сила oт 23. 05. 2008 Указание нои прилагане на ксо и нпос ксо
files -> 1. По пътя към паметник „1300 години България
files -> Георги Димитров – Kreston BulMar
files -> В сила oт 13. 05. 2005 Писмо мтсп обезщетение Неизползван Отпуск кт


Сподели с приятели:
1   2   3   4   5   6   7   8   9   ...   14




©obuch.info 2024
отнасят до администрацията

    Начална страница