Инструменты безопасности в сети

 

 

 

1.3 Администратор защиты

 

Администратор защиты (Security administrator) — это субъект  доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации.

Администратор защиты —  сотрудник, должностные обязанности  которого подразумевают обеспечение  штатной работы парка компьютерной техники, сети и программного обеспечения  в организации.

Администраторы защиты — это основные люди, которые противостоят атакам взломщиков и позволяют безопасно общаться внутри инфраструктуры компании, а также за ее пределами. По сути, администратор защиты — тоже в какой-то мере компьютерный взломщик, так как он должен знать все те приемы взлома и обхода защиты (например, брандмауэра), которые применяют взломщики. Однако в большинстве организаций, в обязанности администратора защиты входит не только слежение за сетевой безопасностью организации, а также и другие сопутствующие проблемы: борьба с вирусами, настройка пользовательского программного обеспечения и прочее. Занимается администратор безопасности, соответственно, проблемами информационной безопасности. Работает, как правило, в аутсорсинговой компании либо крупной компании, корпорации. Особенно хорошо разбирается протоколах шифрования и аутентификации и их практическом применении (VPN, RADIUS, SSL, IPsec, RAS), планировании PKI, системах контроля доступа (брандмауэры, прокси-сервера, смарт-карты, CheckPoint, SecurID), инцидентном анализе, резервном копировании. Занимается документированием политик безопасности, регламентов и положений об информационных ресурсах.

В круг типовых задач администратора защиты обычно входит:

• поддержание системы в рамках выбранной политики безопасности;
• обеспечение должного уровня конфиденциальности и целостности данных;
• подготовка и сохранение резервных копий данных, их периодическая проверка и уничтожение;
• создание и поддержание в актуальном состоянии пользовательских учётных записей;
• ответственность за информационную безопасность в компании;
• отслеживание информации об уязвимостях системы и своевременное принятие мер;
• периодическое практическое тестирование защищенности системы;
• документирование своей работы;
• устранение неполадок в системе.

 

Специфика работы администратора по безопасности

Чем занимается администратор по безопасности? Настраивает  механизмы защиты ОС и СУБД, конфигурирует  межсетевые экраны, средства обнаружения  атак, предоставляет пользователям  права на доступ к ресурсам сети и к базам данных, анализирует журналы регистрации ОС и средств защиты информации.

В крупной информационной системе функционирует большое  число компьютеров: рабочие станции, файловые серверы, серверы баз данных и приложений. Часто корпоративная  сеть является гетерогенной, а стало быть, в разных операционных системах и СУБД механизмы защиты настраиваются по-разному. Поэтому назначение прав доступа сотрудников к корпоративным ресурсам и контроль за их соблюдением в гетерогенных системах — задача трудоемкая и нетривиальная.

Для того чтобы  выявить попытки несанкционированных  действий, необходимо просмотреть все  журналы регистрации ОС, СУБД и  брандмауэров. В то же время в  силу различного именования пользователей  и различной степени подробности  регистрируемых событий в разных системах получить представление о реальных действиях сотрудника затруднительно.

 

Глава II Безопасное администрирование и средства защиты информации

2.1 Администрирование  средств безопасности

 

Администрирование средств безопасности включает в  себя распространение информации, необходимой для работы сервисов и механизмов безопасности, а также сбор и анализ информации об их функционировании. Примерами могут служить распространение криптографических ключей, установка значений параметров защиты, ведение регистрационного журнала и т.п.

 Концептуальной  основой администрирования является  информационная база управления  безопасностью. База может не  существовать как единое (распределенное) хранилище, но каждая из оконечных  систем должна располагать информацией, необходимой для реализации избранной политики безопасности.

 Согласно  рекомендациям X.800, усилия администратора  средств безопасности должны  распределяться по трем направлениям: администрирование информационной  системы в целом; администрирование  сервисов безопасности; администрирование механизмов безопасности.

 Среди действий, отметим обеспечение актуальности  политики безопасности, взаимодействие  с другими административными  службами, реагирование на происходящие  события, аудит и безопасное  восстановление.

 Администрирование  сервисов безопасности включает  в себя определение защищаемых  объектов, выработку правил подбора  механизмов безопасности (при наличии  альтернатив), комбинирование механизмов  для реализации сервисов, взаимодействие  с другими администраторами для обеспечения согласованной работы.

 Обязанности  администратора механизмов безопасности  определяются перечнем задействованных  механизмов. Типичный список таков: 

• управление ключами (генерация и распределение);
• управление шифрованием (установка и синхронизация криптопараметров);
• администрирование управления доступом (распределение информации, необходимой для управления – паролей, списков доступа и т.п.);
• управление аутентификацией (распределение информации, необходимой для аутентификации – паролей, ключей и т.п.);
• управление дополнением трафика (выработка и поддержание правил, задающих характеристики дополняющих сообщений – частоту отправки, размер и т.п.);
• управление маршрутизацией (выделение доверенных путей);
• управление нотаризацией (распространение информации о нотариальных службах, администрирование этих служб).

Т.о. администрирование  средств безопасности в распределенной ИС имеет много особенностей по сравнению  с централизованными системами.

Различают 4 уровня защиты информации:

• предотвращение — доступ к информации и технологии только для персонала, который имеет допуск от собственника информации;
• обнаружение — обеспечивается раннее обнаружение преступлений и злоупотреблений, даже если механизмы защиты были обойдены;
• ограничение — уменьшается размер потерь, если преступление все-таки произошло, несмотря на меры по его предотвращению и обнаружению;
• восстановление — обеспечивается эффективное восстановление информации при наличии документированных и проверенных планов по восстановлению.

Вчера контроль защиты информации был заботой технических администраторов. Сегодня контроль информации стал обязанностью каждого пользователя. Это требует от пользователя новых знаний и навыков. Так, например, хороший контроль над информацией требует понимания возможностей совершения компьютерных преступлений и злоупотреблений, чтобы можно было в дальнейшем предпринять контрмеры против них.

Люди совершают компьютерные преступления по разным причинам: из-за лично или финансовой выгоды, развлечений, мести, случайности, вандализма.

Но значительно больший  ущерб (около 60% всех потерь) наносят  не умышленные преступления, а ошибки людей. Предотвращение компьютерных потерь, как умышленных преступлений, так  и из-за неумышленных ошибок требует  знаний в области безопасности.

 

 

 

 

2.2 Признаки  компьютерных преступлений и  меры защиты от них

 

Для уменьшения ущерба от компьютерного преступления очень важно своевременно

его обнаружить. Для того, чтобы обнаружить компьютерное преступление или уязвимые места  в системе информационной безопасности следует обращать внимание на:

• несанкционированные попытки доступа к файлам данных;
• кражи частей компьютером;
• кражи программ;
• физическое разрушение оборудование;
• уничтожение данных или программ.

В то время как  признаки могут помочь выявить преступление или злоупотребление, меры защиты могут помочь предотвратить его.

Меры защиты - это меры, вводимые для обеспечения  безопасности информации; административные руководящие документы (приказы, положения, инструкции), аппаратные устройства или  дополнительные программы, основной целью которых является предотвращение преступления и злоупотреблений, не позволяющее им произойти. Меры защиты могут также выполнять функцию ограничения, уменьшая размер ущерба от преступления.

Некоторые технологии по защите информации могут быть встроены в сам компьютер, другие могут быть встроены в программы, некоторые же выполняются людьми и являются реализацией указаний руководства, содержащихся в соответствующих руководящих документах.

Принятие решения  о выборе уровня сложности технологий для защиты системы требует установления критичности информации и последующего определения адекватного уровня безопасности. Под критическими данными понимаются данные, которые требуют защиты из-за вероятности нанесения (риска) ущерба и его величины в том случае, если произойдет случайное или умышленное раскрытие, изменение или разрушение данных. Этот термин включает в себя данные, чье неправильное использование или раскрытие может отрицательно отразиться на способности организации решать свои задачи, на персональных данных и других данных, защита которых требуется указами Президента РФ, законами РФ и другими подзаконными документами.

Технологии  компьютерных преступлений и злоупотреблений

Чтобы предупреждать  и своевременно раскрывать компьютерные преступления, необходимо представлять способы и средства их совершения. Анализ зарубежных и отечественных отчетов о выявленных компьютерных преступлениях позволяет описать технологии их совершения. Лишь немногие включают разрушение компьютеров данных. Только в 3% мошенничеств и 8% злоупотреблений происходило специальное разрушение оборудования, уничтожение программ или данных. В большей часта случаев мошенничеств и злоупотреблений использовалась информация — ею манипулировали, ее создавали, ее использовали.

Освоение технологии, использовавшиеся при совершении компьютерных преступлений:

Мошенничества

1. Ввод неавторизованной информации (Авторизация – предоставление определенных полномочий лицу (группе лиц) на выполнение некоторых действий в системе обработки данных).
2. Манипуляция разрешенной для ввода информацией.
3. Манипуляции или неправильное использование файлов с информацией.
4. Создание неавторизованных файлов с информацией.
5. Обход внутренних мер защиты.

Злоупотребления

1. Кража компьютерного времени, программ, информации и оборудования.
2. Ввод неавторизованной информации.
3. Создание неавторизованных файлов с информацией.
4. Разработка компьютерных программ для неслужебного использования.
5. Манипулирование или неправильное использование возможностей по проведению работ на компьютерах.

 

Основными методами совершения преступления являются:

1. Надувательство  с данными является самым распространенным  методом при совершении компьютерных  преступлений, так как он не  требует технических знаний и  относительно безопасен. Информация  меняется в процессе ее ввода в компьютер или во время вывода. Например, при вводе документы могут быть заменены фальшивыми, вместо рабочих дискет подсунуты чужие, и данные могут быть сфальсифицированы.

2. Сканирование  является распространенным методом  получения информации, который может привести к преступлению. Служащие, читающие файлы других, могут обнаружить там персональную информацию о своих коллегах. Информация, позволяющая получить доступ к компьютерным файлам или изменить их, может быть найдена после просмотра мусорных корзин. Дискеты, оставленные на столе, могут быть прочитаны, скопированы или украдены. Существуют сканирующие программы, которые могут, просматривая лишь остаточную информацию, оставшуюся на компьютере или на носителе информации после выполнения сотрудником задания и удаления файлов, получать эту информацию в более полном виде.

3. Метод "троянский  конь" предполагает, что пользователь  не заметил изменения компьютерной  программы таким образом, что  та включает в себя дополнительные  функции. Программа, выполняющая полезные функции, пишется таким образом, что содержит дополнительные скрытые функции, которые будут использовать особенности механизмов защиты системы (возможности пользователя, запустившего программу, по доступу к файлам).