Алгоритм проектирования системы защиты информации в корпоративной сети
Изучение и характеристика основных подходов к созданию систем защиты информации. Рассмотрение подзадач и ограничений организации защищенной корпоративной сети предприятия. Ознакомление с последствиями активной автоматизации и информатизации отраслей.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | статья |
Язык | русский |
Дата добавления | 18.08.2018 |
Размер файла | 249,2 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Электронный научно-практический журнал «МОЛОДЕЖНЫЙ НАУЧНЫЙ ВЕСТНИК» ИЮНЬ 2017 |
|
ТЕХНИЧЕСКИЕ НАУКИ |
Размещено на http://www.allbest.ru/
Электронный научно-практический журнал «МОЛОДЕЖНЫЙ НАУЧНЫЙ ВЕСТНИК» ИЮНЬ 2017 |
|
ТЕХНИЧЕСКИЕ НАУКИ |
ФГОУ ВО «Дальневосточный Федеральный Университет»
Алгоритм проектирования системы защиты информации в корпоративной сети
УДК 004.056
Калужин Е.А., Чижевский В.В.
E-mail: workout24@mail.ru
Аннотации
В данной работе поднимается вопрос организации системы защиты корпоративной сети. Проанализированы существующие методики и алгоритмы организации системы защиты, выявлены их недостатки. На основе проделанного анализа авторами предлагается алгоритм создания системы защиты корпоративной сети, который представлен в виде последовательного ряда шагов и накладываемых на них ограничений. Приводятся конкретные примеры реализации каждого шага.
Выделяются основные преимущества предложенной методики над существующими.
Ключевые слова: сетевые угрозы, защита информации, распределенная сеть, техническая модель, модель угроз.
Algorithm for the design of the information security system in the corporate network
Kaluzhin E.A., Chizhevskiy V.V.
In this paper, the issue of organization of a corporate network protection system is raised. The existing methods and algorithms for organizing the protection system are analyzed, their shortcomings are revealed. Based on the analysis done, the authors propose an algorithm for creating a corporate network protection system, which is presented in the form of a series of steps and constraints imposed on them. Specific examples of the implementation of each step are given. The main advantages of the proposed methodology over existing ones are highlighted.
Keywords: network threats, information security, distributed network, threat model.
Введение
Любое сетевое взаимодействие сопряжено с рядом угроз. В современных реалиях сетевые атаки и методы компрометации информации становятся все более изощренными. Злоумышленники, преследуя различные цели, используют уязвимости и слабости в системе защиты для деструктивного воздействия и компрометации информации. Последствиями такого воздействия может быть материальный ущерб, подрыв деловой репутации, простой в работе, потеря клиентов и т.д. Поэтому чрезвычайно важно организовать защиту сетевых ресурсов и снизить актуальные угрозы. Существуют различные подходы к проектированию системы защиты корпоративной сети.
Так, в работе [1] авторы рассматривают систему защиты информации как совокупность формальной и неформальной политики безопасности, а также организационных мер.
В другом исследовании [2] авторы рассматривают проблематику и тонкости проектирования системы защиты с помощью специализированных систем автоматического проектирования (САПР), которые без участия пользователя обрабатывают экспертные данные и выдают рекомендации, выделяются их преимущества и недостатки.
В работе [3] анализируются основные подходы к созданию систем защиты информации. Авторы отмечают, что только комплексный подход, охватывающий все аспекты защиты (организационные, технические, программно-аппаратные), способен принести результат.
Таким образом, на основе проанализированных работ, можно сделать вывод, что существует ряд различных методик и алгоритмов проектирования системы защиты информации, каждая из которых имеет свои преимущества и недостатки. Основным недостатком существующих алгоритмов является то, что они ориентированы на устранение угроз и снижение рисков, в то время как экономические и эргономические аспекты уходят на второй план.
Цель и задачи исследования
Целью данной работы является предложить усовершенствованный алгоритм проектирования системы защиты информации в корпоративных сетях, который будет удовлетворять основным принципам защиты информации. Для достижения цели были решены следующие задачи:
1. Анализ принципов построения системы защиты
2. Декомпозиция процесса проектирования на подпроцессы (шаги)
3. Формирования ряда ограничений при построении системы защиты
Принципы построения системы защиты. Под принципами построения системы защиты понимаются базовые утверждения и закономерности, которые лежат в основе и накладывают ограничения на создаваемую систему.
Кратко рассмотрим эти принципы:
Принцип полноты защищаемой информации заключается в том, что вся информация, которая представляет ценность для предприятия, подлежит защите.
Принцип обоснованности заключается в том, что экономические затраты на разработку, внедрение и сопровождение системы защиты должны быть меньше, чем потенциальный ущерб от реализации снижаемых угроз. Иными словами, система защиты должна окупиться и в конечном итоге быть экономически выгодной и нацелена на исключение только актуальных угроз.
В основе принципа комплексности лежит утверждение о том, что защищенность системы определяется по защищенности наиболее уязвимого компонента.
Согласно принципу законности, система защиты и все используемые элементы должны соответствовать требованиям нормативно-правовых актов.
Предлагаемый алгоритм
На основе рассмотренных принципов можно сделать вывод, что система защиты должна быть:
1. Экономически выгодной
2. Законной
3. Эргономичной
А сам процесс проектирования, для удовлетворения принципу комплексности, должен основываться на всестороннем анализе предприятия, актуальных угроз и возможных нарушителей. Таким образом, на основе всего вышесказанного, предлагаемый алгоритм можно представить в виде структурной схемы (Рисунок 1).
Рисунок 1 - Подзадачи и ограничения организации защищенной сети предприятия
Подзадачи, указанные на данном рисунке решаются в определенном порядке: сверху вниз, однако в некоторых случаях возможно распараллеливание подзадач. Ограничения позволяют выстроить экономически выгодную, удобную пользователю и не противоречащую законодательству систему защиты. Рассмотрим представленные подзадачи и ограничения более детально.
Анализ актуальных угроз является основополагающей процедурой. Разрабатываемая система защиты должна удовлетворять принципу обоснованности [4] т.е. исключать и существенным образом снижать только актуальные угрозы. Анализ актуальных угроз включает в себя следующие шаги:
1. Сбор информации о целях, специфики, особенностях, информационных потоках, имеющихся средствах защиты предприятия
2. Комплексный анализ информационных активов предприятия
3. Категорировании информации, подлежащей защите
4. Разработка модели угроз
Финальным шагом анализа актуальных угроз является разработка модели угроз - документа, отражающего все возможные угрозы предприятия. Определение актуальности угрозы является слабоформализумой задачей, поэтому, как правило, принятие решение об актуальности угрозы происходит при помощи метода экспертных оценок. На практике данный метод реализуется в виде комиссии, где эксперты, на основе личного опыта в проблемной области принимают решения.
В настоящее время происходит активная автоматизация и информатизация многих отраслей, как следствие создаются новые технологии и появляются новые угрозы. Одним из источников информации о сетевых угрозах является ФСТЭК России. Например, методический документ, который носит рекомендательный характер [5] предлагает собственную методику определения угроз безопасности в информационных системах. Постоянно обновляемый банк угроз, разработанный ФСТЭК [6] позволяет отслеживать современные угрозы. Также основными источниками информации в области новых угроз и уязвимостей являются крупные производители средств защиты информации, такие как SearchInform, Infowatch, КодБезопасности и т.д.
Процедуру анализа нарушителей можно определить как составляющую анализа угроз. Это связано с тем, что опорная информация для анализа нарушителей идентична анализу угроз. Т.е. для анализа возможных нарушителей необходимо четко определить специфику предприятия, циркулирующую информацию и задачи, решаемые предприятием. Согласно методике [5] ФСТЭК нарушитель может быть внешним и внутренним (сотрудник предприятия). В зависимости от средств и умений нарушители классифицируются по потенциалу. Более подробное описание классификации нарушителей указано в методике ФСТЭК.
После определения потенциала нарушителя картинка актуальных угроз становятся более четкой. Между возможными нарушителями и актуальными угрозами предприятия прослеживается явная взаимосвязь. Более умелый злоумышленник, обладающий широким набором средств способен реализовать более сложные угрозы. информатизация корпоративный сеть
Выбор средств защиты является основным шагом в проектировании системы защиты сети. С одной стороны, выбранные средства защиты должны снижать актуальные угрозы безопасности, с другой стороны удовлетворять законодательству РФ, а с третьей быть экономически выгодными[7]. Выбор методов защиты (как программных, так и программно-аппаратных) основывается на разработанной модели угроз. В качестве примера приведен фрагмент модели угроз и предполагаемых средств защиты (Рисунок 2).
Рисунок 2 - Фрагмент модели угроз
После определения необходимых методов защиты (например, СЗИ от НСД, сетевое экранирование и т.д.) необходимо произвести комплексный анализ рынка и выбрать средства с учетом экономических ограничений. Т.е. затраты на покупку, установку и сопровождение средств защиты не должны превышать возможный материальный ущерб от реализации угроз [6]. При выборе аналогичные средства сравниваются по различным критериям и совместимости с уже имеющимися средствами. Пример сравнительного анализа СЗИ от НСД представлен на Рисунке 3.
При установке и настройке выбранных средств защиты чрезвычайно важно произвести все настройки таким образом, чтобы не мешать пользователям выполнять их должностные обязанности. Ведь как показывает практика, зачастую, средства защиты, в основном, такие как СЗИ от НСД и DLP-системы существенно снижают скорость и продуктивность работы сотрудников [8]. Также при настройке средств защиты необходимо следовать принципу полноты защищаемой информации, который основан на том, что безопасность всей системы определяется по защищенности наиболее уязвимого элемента.
Рисунок 3 - Пример сравнительного анализа СЗИ от НСД
После установки и настройки элементов защиты необходим постоянный мониторинг и анализ защищенности, который включает себя актуализацию модели угроз, поиск и нейтрализацию новых уязвимостей. Данный шаг реализует принцип цикличности, который заключается в том, что эффективная система защита требует постоянного совершенствования и доработки.
На разрабатываемую систему защиты всегда накладывается ряд ограничений. Экономические ограничения касаются коммерческих предприятий, чья основная цель - получение прибыли. Поэтому система защиты должна быть экономически выгодной, т.е. в перспективе сохранить ресурсы предприятия в размере, превышающем её стоимость.
Разрабатываемая система защиты должна всецело удовлетворять нормативно-правовым актам Российской Федерации. Особенно жестко регламентируется информационная безопасность государственных информационных систем, критически важных объектов, информационных систем персональных данных. Защита информации в коммерческих организациях, где обрабатывается частная (коммерческая) тайна, регламентируется менее жестко т.к. владелец информации сам вправе выбирать средства и методы её защиты.
Система защиты информация не должна затруднять сотрудникам выполнение своих должностных обязанностей и достижение служебных целей. Она должна исключить вероятность компрометации важной информации, но в то же время ориентирована на сотрудников т.к. они являются основной трудовой единицей. Эргономические ограничения позволяют, не снижая уровня защищенности, адаптировать систему защиты таким образом, чтобы она не снижала продуктивность сотрудников.
Результаты работы. Результатом работы является алгоритм проектирования системы защиты информации в корпоративной сети. Данный алгоритм представлен в виде ряда последовательных шагов и накладываемых на них ограничений. Он может быть применен на практике т.к. не требует высококвалифицированных кадров и дополнительных средств. Основными преимуществами предложенного алгоритма являются:
1. Комплексный подход, позволяющий учитывать все возможные угрозы и уязвимости
2. Анализ экономической целесообразности, позволяющий разработать выгодную систему
3. Разработанная с помощью данного алгоритма система ориентирована на пользователя
4. Разработанная с помощью данного алгоритма система удовлетворяет законодательству Российской Федерации.
Заключение
Организация защиты корпоративной сети предприятия является циклическим процессом, требующим комплексного подхода. Были рассмотрены различные методы и алгоритмы проектирования системы защиты, выявлены их основные недостатки.
Был предложен усовершенствованный алгоритм проектирования системы защиты информации в корпоративных сетях. В качестве научной новизны, данный алгоритм был декомпозирован на ряд подзадач и ограничений. Каждая подзадача и ограничение удовлетворяют принципам защиты информации, что позволяет выстроить экономически выгодную систему защиту, ориентированную на продуктивность пользователя и полностью удовлетворяющую законодательству Российской Федереации.
Список литературы
1. Погуляев В.В. Защита информации в компьютерных корпоративных сетях.- В.В. Погуляев, А.А. Теренин.- «Национальная безопасность : приоритеты и безопасность».- 2009.-№1
2. Аверченков В.И. Разработка САПР комплексных систем защиты информации информационных систем.- В.И. Аверченков, М.Ю. Рытов, М.В. Рудановский.- Известия ОРЕЛ ГТУ. Серия «Информационные системы и технологии».-2012.-№1-4
3. Поликарпов А.А. Подходы к созданию комплексной системы защиты информации в телекоммуникационных системах.-А.А. Поликарпов .- Труды международного симпозиума «Надежность и качество».-2014.-№2
4. Гришина, М.В. Организация комплексной системы защиты информации: Учебное пособие.- Гелиос АРВ.-2007.-340 с
5. Федеральная служба по техническому и экспортному контролю.- Методический документ «Методика определения угроз безопасности информации в информационных системах».-2015 г.
6. Федеральная служба по техническому и экспортному контролю.- «Банк данных угроз безопасности информации».- Электронный ресурс.- режим доступа: http://bdu.fstec.ru/ (Дата обращения 30.05.2017)
7. Шаханова М.В. Современные технологии информационной безопасности: Учебно-методический комплекс.- ДВФУ.-2013.- 180 с
8. Под редакцией А.П. Курило. Обеспечение информационной безопасности бизнеса. - М.: Альпина Паблишер, 2011. - 392 с.
Размещено на Allbest.ru
...Подобные документы
Основные положения теории защиты информации. Сущность основных методов и средств защиты информации в сетях. Общая характеристика деятельности и корпоративной сети предприятия "Вестел", анализ его методик защиты информации в телекоммуникационных сетях.
дипломная работа [1,1 M], добавлен 30.08.2010Анализ объекта информатизации. Политику информационной безопасности. Подсистемы технической защиты информации: управления доступом, видеонаблюдения, охранной и пожарной сигнализаций, защиты от утечки по техническим каналам, защиты корпоративной сети.
презентация [226,0 K], добавлен 30.01.2012Теоретические основы построения корпоративной сети. Анализ источников угроз и информационных рисков. Организация защиты корпоративной информационной системы Дистанции электроснабжения на основе типовых решений. Современные технологии защиты информации.
дипломная работа [746,7 K], добавлен 09.11.2016Подбор и описание компонентов, обеспечивающих защиту информации, активов компании, для дальнейшего построения на их основании надежной и защищенной корпоративной сети на примере сети "JDSONS". Аудит и контроль изменений конфигурации информационных систем.
курсовая работа [49,6 K], добавлен 11.09.2012Анализ модели информационно-телекоммуникационной системы предприятия. Виды угроз информационной безопасности. Цели и задачи защиты информации на предприятии. Разработка процедур контроля системы управления защитой информации в корпоративной сети.
дипломная работа [3,6 M], добавлен 30.06.2011Характеристики объекта информатизации ОВД, с точки защищаемой информации. Способы утечки информации. Разработка предложений по защите информации на объекте информатизации ОВД. Алгоритм выбора оптимальных средств инженерно-технической защиты информации.
курсовая работа [693,1 K], добавлен 28.08.2014Результаты исследования корпоративной сети предприятия "Строй-СИБ". Логическая организация сетевой инфраструктуры. Физическая структура сети и схема IP-адресации. Доступ к файловым серверам внутренних клиентов организации. Система электронной почты.
курсовая работа [1,6 M], добавлен 13.09.2012Анализ защищенности сетей предприятия на базе АТМ, архитектура объектов защиты в технологии. Модель построения корпоративной системы защиты информации. Методика оценки экономической эффективности использования системы. Методы снижения риска потери данных.
дипломная работа [1,2 M], добавлен 29.06.2012Разработка организационно-распорядительной и нормативной документации по защите информации в организации. Объекты, подлежащие оснащению системой контроля и управления. Проект системы видеонаблюдения, охранно-пожарной сигнализации и корпоративной сети.
курсовая работа [2,6 M], добавлен 29.01.2012Аналитический обзор корпоративной сети. Анализ существующей сети, информационных потоков. Требования к системе администрирования и маркировке элементов ЛВС. Разработка системной защиты от несанкционированного доступа. Инструкция системному администратору.
дипломная работа [765,0 K], добавлен 19.01.2017Проблема выбора между необходимым уровнем защиты и эффективностью работы в сети. Механизмы обеспечения защиты информации в сетях: криптография, электронная подпись, аутентификация, защита сетей. Требования к современным средствам защиты информации.
курсовая работа [32,1 K], добавлен 12.01.2008Пути несанкционированного доступа, классификация способов и средств защиты информации. Каналы утечки информации. Основные направления защиты информации в СУП. Меры непосредственной защиты ПЭВМ. Анализ защищенности узлов локальной сети "Стройпроект".
дипломная работа [1,4 M], добавлен 05.06.2011Программные средства защиты от вредоносного программного обеспечения, основные требования к ним, оценка возможностей и функциональности. Системы обнаружения вторжения. Анализ средств защиты информации на предприятии. Политика корпоративной безопасности.
дипломная работа [1,2 M], добавлен 17.10.2015Особенности защиты информации при построении локальных сетей государственных учреждений, анализ схемы незащищенной сети и выявление потенциальных угроз информационной безопасности, особенности программных средств защиты, реализующих технологию VPN.
курсовая работа [762,8 K], добавлен 21.06.2011Определение в процессе исследования эффективного способа защиты информации, передающейся по Wi-Fi сети. Принципы работы Wi-Fi сети. Способы несанкционированного доступа к сети. Алгоритмы безопасности беспроводных сетей. Нефиксированная природа связи.
курсовая работа [2,3 M], добавлен 18.04.2014Организация компьютерной безопасности и защиты информации от несанкционированного доступа на предприятиях. Особенности защиты информации в локальных вычислительных сетях. Разработка мер и выбор средств обеспечения информационной безопасности сети.
дипломная работа [1,6 M], добавлен 26.05.2014Проблема построения локальной вычислительной сети организации под управлением операционной системы Windows 2000 Server. Проектирование корпоративной сети на базе Ethernet. Расчет усеченной двоичной экспоненциальной отсрочки. Обеспечение защиты данных.
контрольная работа [140,7 K], добавлен 30.10.2012Модернизация существующей системы защиты информации в локальной сети управления ОАО "Газпром нефтехим Салават". Сведения о существующих средствах автоматизации расчета рисков. Настройка аудита доменных служб Active Directory в Windows Server 2008 R2.
дипломная работа [17,8 M], добавлен 25.03.2013Организация частной сети. Структура незащищенной сети и виды угроз информации. Типовые удаленные и локальные атаки, механизмы их реализации. Выбор средств защиты для сети. Схема защищенной сети с Proxy-сервером и координатором внутри локальных сетей.
курсовая работа [2,6 M], добавлен 23.06.2011Анализ локальной сети предприятия, оценка возможных угроз. Основные понятия безопасности компьютерных систем. Пути несанкционированного доступа, классификация способов и средств защиты информации. Идетификация и аутификация, управление доступом.
отчет по практике [268,1 K], добавлен 16.01.2013