Алгоритм проектирования системы защиты информации в корпоративной сети

Изучение и характеристика основных подходов к созданию систем защиты информации. Рассмотрение подзадач и ограничений организации защищенной корпоративной сети предприятия. Ознакомление с последствиями активной автоматизации и информатизации отраслей.

Рубрика Программирование, компьютеры и кибернетика
Вид статья
Язык русский
Дата добавления 18.08.2018
Размер файла 249,2 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Электронный научно-практический журнал «МОЛОДЕЖНЫЙ НАУЧНЫЙ ВЕСТНИК» ИЮНЬ 2017

ТЕХНИЧЕСКИЕ НАУКИ

Размещено на http://www.allbest.ru/

Электронный научно-практический журнал «МОЛОДЕЖНЫЙ НАУЧНЫЙ ВЕСТНИК» ИЮНЬ 2017

ТЕХНИЧЕСКИЕ НАУКИ

ФГОУ ВО «Дальневосточный Федеральный Университет»

Алгоритм проектирования системы защиты информации в корпоративной сети

УДК 004.056

Калужин Е.А., Чижевский В.В.

E-mail: workout24@mail.ru

Аннотации

В данной работе поднимается вопрос организации системы защиты корпоративной сети. Проанализированы существующие методики и алгоритмы организации системы защиты, выявлены их недостатки. На основе проделанного анализа авторами предлагается алгоритм создания системы защиты корпоративной сети, который представлен в виде последовательного ряда шагов и накладываемых на них ограничений. Приводятся конкретные примеры реализации каждого шага.

Выделяются основные преимущества предложенной методики над существующими.

Ключевые слова: сетевые угрозы, защита информации, распределенная сеть, техническая модель, модель угроз.

Algorithm for the design of the information security system in the corporate network

Kaluzhin E.A., Chizhevskiy V.V.

In this paper, the issue of organization of a corporate network protection system is raised. The existing methods and algorithms for organizing the protection system are analyzed, their shortcomings are revealed. Based on the analysis done, the authors propose an algorithm for creating a corporate network protection system, which is presented in the form of a series of steps and constraints imposed on them. Specific examples of the implementation of each step are given. The main advantages of the proposed methodology over existing ones are highlighted.

Keywords: network threats, information security, distributed network, threat model.

Введение

Любое сетевое взаимодействие сопряжено с рядом угроз. В современных реалиях сетевые атаки и методы компрометации информации становятся все более изощренными. Злоумышленники, преследуя различные цели, используют уязвимости и слабости в системе защиты для деструктивного воздействия и компрометации информации. Последствиями такого воздействия может быть материальный ущерб, подрыв деловой репутации, простой в работе, потеря клиентов и т.д. Поэтому чрезвычайно важно организовать защиту сетевых ресурсов и снизить актуальные угрозы. Существуют различные подходы к проектированию системы защиты корпоративной сети.

Так, в работе [1] авторы рассматривают систему защиты информации как совокупность формальной и неформальной политики безопасности, а также организационных мер.

В другом исследовании [2] авторы рассматривают проблематику и тонкости проектирования системы защиты с помощью специализированных систем автоматического проектирования (САПР), которые без участия пользователя обрабатывают экспертные данные и выдают рекомендации, выделяются их преимущества и недостатки.

В работе [3] анализируются основные подходы к созданию систем защиты информации. Авторы отмечают, что только комплексный подход, охватывающий все аспекты защиты (организационные, технические, программно-аппаратные), способен принести результат.

Таким образом, на основе проанализированных работ, можно сделать вывод, что существует ряд различных методик и алгоритмов проектирования системы защиты информации, каждая из которых имеет свои преимущества и недостатки. Основным недостатком существующих алгоритмов является то, что они ориентированы на устранение угроз и снижение рисков, в то время как экономические и эргономические аспекты уходят на второй план.

Цель и задачи исследования

Целью данной работы является предложить усовершенствованный алгоритм проектирования системы защиты информации в корпоративных сетях, который будет удовлетворять основным принципам защиты информации. Для достижения цели были решены следующие задачи:

1. Анализ принципов построения системы защиты

2. Декомпозиция процесса проектирования на подпроцессы (шаги)

3. Формирования ряда ограничений при построении системы защиты

Принципы построения системы защиты. Под принципами построения системы защиты понимаются базовые утверждения и закономерности, которые лежат в основе и накладывают ограничения на создаваемую систему.

Кратко рассмотрим эти принципы:

Принцип полноты защищаемой информации заключается в том, что вся информация, которая представляет ценность для предприятия, подлежит защите.

Принцип обоснованности заключается в том, что экономические затраты на разработку, внедрение и сопровождение системы защиты должны быть меньше, чем потенциальный ущерб от реализации снижаемых угроз. Иными словами, система защиты должна окупиться и в конечном итоге быть экономически выгодной и нацелена на исключение только актуальных угроз.

В основе принципа комплексности лежит утверждение о том, что защищенность системы определяется по защищенности наиболее уязвимого компонента.

Согласно принципу законности, система защиты и все используемые элементы должны соответствовать требованиям нормативно-правовых актов.

Предлагаемый алгоритм

На основе рассмотренных принципов можно сделать вывод, что система защиты должна быть:

1. Экономически выгодной

2. Законной

3. Эргономичной

А сам процесс проектирования, для удовлетворения принципу комплексности, должен основываться на всестороннем анализе предприятия, актуальных угроз и возможных нарушителей. Таким образом, на основе всего вышесказанного, предлагаемый алгоритм можно представить в виде структурной схемы (Рисунок 1).

Рисунок 1 - Подзадачи и ограничения организации защищенной сети предприятия

Подзадачи, указанные на данном рисунке решаются в определенном порядке: сверху вниз, однако в некоторых случаях возможно распараллеливание подзадач. Ограничения позволяют выстроить экономически выгодную, удобную пользователю и не противоречащую законодательству систему защиты. Рассмотрим представленные подзадачи и ограничения более детально.

Анализ актуальных угроз является основополагающей процедурой. Разрабатываемая система защиты должна удовлетворять принципу обоснованности [4] т.е. исключать и существенным образом снижать только актуальные угрозы. Анализ актуальных угроз включает в себя следующие шаги:

1. Сбор информации о целях, специфики, особенностях, информационных потоках, имеющихся средствах защиты предприятия

2. Комплексный анализ информационных активов предприятия

3. Категорировании информации, подлежащей защите

4. Разработка модели угроз

Финальным шагом анализа актуальных угроз является разработка модели угроз - документа, отражающего все возможные угрозы предприятия. Определение актуальности угрозы является слабоформализумой задачей, поэтому, как правило, принятие решение об актуальности угрозы происходит при помощи метода экспертных оценок. На практике данный метод реализуется в виде комиссии, где эксперты, на основе личного опыта в проблемной области принимают решения.

В настоящее время происходит активная автоматизация и информатизация многих отраслей, как следствие создаются новые технологии и появляются новые угрозы. Одним из источников информации о сетевых угрозах является ФСТЭК России. Например, методический документ, который носит рекомендательный характер [5] предлагает собственную методику определения угроз безопасности в информационных системах. Постоянно обновляемый банк угроз, разработанный ФСТЭК [6] позволяет отслеживать современные угрозы. Также основными источниками информации в области новых угроз и уязвимостей являются крупные производители средств защиты информации, такие как SearchInform, Infowatch, КодБезопасности и т.д.

Процедуру анализа нарушителей можно определить как составляющую анализа угроз. Это связано с тем, что опорная информация для анализа нарушителей идентична анализу угроз. Т.е. для анализа возможных нарушителей необходимо четко определить специфику предприятия, циркулирующую информацию и задачи, решаемые предприятием. Согласно методике [5] ФСТЭК нарушитель может быть внешним и внутренним (сотрудник предприятия). В зависимости от средств и умений нарушители классифицируются по потенциалу. Более подробное описание классификации нарушителей указано в методике ФСТЭК.

После определения потенциала нарушителя картинка актуальных угроз становятся более четкой. Между возможными нарушителями и актуальными угрозами предприятия прослеживается явная взаимосвязь. Более умелый злоумышленник, обладающий широким набором средств способен реализовать более сложные угрозы. информатизация корпоративный сеть

Выбор средств защиты является основным шагом в проектировании системы защиты сети. С одной стороны, выбранные средства защиты должны снижать актуальные угрозы безопасности, с другой стороны удовлетворять законодательству РФ, а с третьей быть экономически выгодными[7]. Выбор методов защиты (как программных, так и программно-аппаратных) основывается на разработанной модели угроз. В качестве примера приведен фрагмент модели угроз и предполагаемых средств защиты (Рисунок 2).

Рисунок 2 - Фрагмент модели угроз

После определения необходимых методов защиты (например, СЗИ от НСД, сетевое экранирование и т.д.) необходимо произвести комплексный анализ рынка и выбрать средства с учетом экономических ограничений. Т.е. затраты на покупку, установку и сопровождение средств защиты не должны превышать возможный материальный ущерб от реализации угроз [6]. При выборе аналогичные средства сравниваются по различным критериям и совместимости с уже имеющимися средствами. Пример сравнительного анализа СЗИ от НСД представлен на Рисунке 3.

При установке и настройке выбранных средств защиты чрезвычайно важно произвести все настройки таким образом, чтобы не мешать пользователям выполнять их должностные обязанности. Ведь как показывает практика, зачастую, средства защиты, в основном, такие как СЗИ от НСД и DLP-системы существенно снижают скорость и продуктивность работы сотрудников [8]. Также при настройке средств защиты необходимо следовать принципу полноты защищаемой информации, который основан на том, что безопасность всей системы определяется по защищенности наиболее уязвимого элемента.

Рисунок 3 - Пример сравнительного анализа СЗИ от НСД

После установки и настройки элементов защиты необходим постоянный мониторинг и анализ защищенности, который включает себя актуализацию модели угроз, поиск и нейтрализацию новых уязвимостей. Данный шаг реализует принцип цикличности, который заключается в том, что эффективная система защита требует постоянного совершенствования и доработки.

На разрабатываемую систему защиты всегда накладывается ряд ограничений. Экономические ограничения касаются коммерческих предприятий, чья основная цель - получение прибыли. Поэтому система защиты должна быть экономически выгодной, т.е. в перспективе сохранить ресурсы предприятия в размере, превышающем её стоимость.

Разрабатываемая система защиты должна всецело удовлетворять нормативно-правовым актам Российской Федерации. Особенно жестко регламентируется информационная безопасность государственных информационных систем, критически важных объектов, информационных систем персональных данных. Защита информации в коммерческих организациях, где обрабатывается частная (коммерческая) тайна, регламентируется менее жестко т.к. владелец информации сам вправе выбирать средства и методы её защиты.

Система защиты информация не должна затруднять сотрудникам выполнение своих должностных обязанностей и достижение служебных целей. Она должна исключить вероятность компрометации важной информации, но в то же время ориентирована на сотрудников т.к. они являются основной трудовой единицей. Эргономические ограничения позволяют, не снижая уровня защищенности, адаптировать систему защиты таким образом, чтобы она не снижала продуктивность сотрудников.

Результаты работы. Результатом работы является алгоритм проектирования системы защиты информации в корпоративной сети. Данный алгоритм представлен в виде ряда последовательных шагов и накладываемых на них ограничений. Он может быть применен на практике т.к. не требует высококвалифицированных кадров и дополнительных средств. Основными преимуществами предложенного алгоритма являются:

1. Комплексный подход, позволяющий учитывать все возможные угрозы и уязвимости

2. Анализ экономической целесообразности, позволяющий разработать выгодную систему

3. Разработанная с помощью данного алгоритма система ориентирована на пользователя

4. Разработанная с помощью данного алгоритма система удовлетворяет законодательству Российской Федерации.

Заключение

Организация защиты корпоративной сети предприятия является циклическим процессом, требующим комплексного подхода. Были рассмотрены различные методы и алгоритмы проектирования системы защиты, выявлены их основные недостатки.

Был предложен усовершенствованный алгоритм проектирования системы защиты информации в корпоративных сетях. В качестве научной новизны, данный алгоритм был декомпозирован на ряд подзадач и ограничений. Каждая подзадача и ограничение удовлетворяют принципам защиты информации, что позволяет выстроить экономически выгодную систему защиту, ориентированную на продуктивность пользователя и полностью удовлетворяющую законодательству Российской Федереации.

Список литературы

1. Погуляев В.В. Защита информации в компьютерных корпоративных сетях.- В.В. Погуляев, А.А. Теренин.- «Национальная безопасность : приоритеты и безопасность».- 2009.-№1

2. Аверченков В.И. Разработка САПР комплексных систем защиты информации информационных систем.- В.И. Аверченков, М.Ю. Рытов, М.В. Рудановский.- Известия ОРЕЛ ГТУ. Серия «Информационные системы и технологии».-2012.-№1-4

3. Поликарпов А.А. Подходы к созданию комплексной системы защиты информации в телекоммуникационных системах.-А.А. Поликарпов .- Труды международного симпозиума «Надежность и качество».-2014.-№2

4. Гришина, М.В. Организация комплексной системы защиты информации: Учебное пособие.- Гелиос АРВ.-2007.-340 с

5. Федеральная служба по техническому и экспортному контролю.- Методический документ «Методика определения угроз безопасности информации в информационных системах».-2015 г.

6. Федеральная служба по техническому и экспортному контролю.- «Банк данных угроз безопасности информации».- Электронный ресурс.- режим доступа: http://bdu.fstec.ru/ (Дата обращения 30.05.2017)

7. Шаханова М.В. Современные технологии информационной безопасности: Учебно-методический комплекс.- ДВФУ.-2013.- 180 с

8. Под редакцией А.П. Курило. Обеспечение информационной безопасности бизнеса. - М.: Альпина Паблишер, 2011. - 392 с.

Размещено на Allbest.ru

...

Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.