Обеспечение информационной безопасности многоканальных телекоммуникационных систем и сетей электросвязи

Размещено на http://www.allbest.ru/

Ознакомление с основными организационно-техническими мероприятиями по защите информации

19 февраля 1993 года Верховным Советом Российской Федерации был принят закон "О федеральных органах правительственной связи и информации" N 4524-1. Статья 11 данного закона предоставила Федеральному агентству права по определению порядка разработки, производства, реализации, эксплуатации шифровальных средств, предоставления услуг в области шифрования информации, а также порядка проведения работ по выявлению электронных устройств перехвата информации в технических средствах и помещениях государственных структур. Одновременно Федеральному агентству этой статьей дано право осуществлять лицензирование указанных видов деятельности и сертификацию соответствующих товаров и услуг. Пунктом м) той же статьи 11 данного закона Федеральному агентству предоставлено право осуществлять лицензирование и сертификацию телекоммуникационных систем и комплексов высших органов государственной власти Российской Федерации и закрытых (защищенных) с помощью шифровальных средств, систем и комплексов телекоммуникаций органов государственной власти субъектов Российской Федерации, федеральных органов исполнительной власти, а также организаций, предприятий, банков и иных учреждений, расположенных на территории России, независимо от их ведомственной принадлежности и форм собственности. Таким образом, закон Российской Федерации "О федеральных органах правительственной связи и информации" является первым собственно российским правовым нормативным актом, который вводит лицензирование деятельности и сертификацию в области защиты информации и дата его принятия - 19 февраля 1996г. - является исходной точкой от которой необходимо вести отсчет ограничения прав на занятие предпринимательской деятельностью.

Кроме того, в соответствии с упомянутыми законами, а также на основании закона Российской Федерации от 10.06.93 "О сертификации продукции и услуг" N 5151-1 ФАПСИ 15 ноября 1993 года зарегистрировало в Госстандарте России "Систему сертификации средств криптографической защиты информации" РОСС.RU.0001.030001. Данный документ определил организационную структуру системы сертификации шифровальных средств ФАПСИ, а также установил основные правила проведения сертификационных исследований и испытаний криптографических средств защиты информации и закрытых с их помощью систем и комплексов обработки, хранения и передачи информации.

В начале 1994 года Президентом и Правительством был принят пакет нормативных актов, определивших порядок импорта и экспорта шифровальных средств и нормативно-технической документации к ним на территории Российской Федерации. В первую очередь, это распоряжение Президента России от 11 февраля 1994 г. N74-П "О контроле за экспортом из Российской Федерации отдельных видов сырья, материалов, оборудования, технологий и научно-технической информации, которые могут быть применены при создании вооружения и военной техники". Данным распоряжением утвержден соответствующий перечень, в котором, в частности, указывается, что аппаратура, узлы, компоненты, программное обеспечение и технология производства, специально разработанные или модифицированные для использования в криптографии или выполнения криптоаналитических функций, подлежат экспортному контролю. Во-вторых, постановление Правительства от 15.04.94 N 331 "О внесении дополнений и изменений в постановления Правительства Российской Федерации от 06.11.92 N 854 "О лицензировании и квотировании экспорта и импорта товаров (работ, услуг) на территории Российской Федерации" и от 10.12.92 N 959 "О поставках продукции и отходов производства, свободная реализация которых запрещена". И, наконец, - постановление от 01.07.94 N 758 "О мерах по совершенствованию государственного регулирования экспорта товаров и услуг". 31 октября 1996г. этот перечень был дополнен постановлением Правительства N 1299, которым утверждено Положение "О порядке лицензирования экспорта и импорта товаров (работ, услуг) в Российской Федерации".

Перечисленные документы установили в том числе, что ввоз и вывоз средств криптографической защиты информации (шифровальной техники) и нормативно-технической документации к ней в стране может осуществляться исключительно на основании лицензии Министерства внешних экономических связей Российской Федерации, выдаваемой на основании решения ФАПСИ о выдаче лицензии. Кроме того, данные документы определили общий порядок выдачи экспортных лицензий на шифровальные средства, направленный на предотвращение утечки секретных сведений и технологий при вывозе из страны средств защиты информации.

программный операционный межсетевой аутентификация

Аутентификация, авторизация и администрирование действий пользователей

Аутентификация - процедура проверки подлинности заявленного пользователя, процесса или устройства. Эта проверка позволяет достоверно убедиться, что пользователь (процесс или устройство) является именно тем, кем себя объявляет. При проведении аутентификации проверяющая сторона убеждается в подлинности проверяемой стороны, при этом проверяемая сторона тоже активно участвует в процессе обмена информацией. Обычно пользователь подтверждает свою идентификацию, вводя в систему уникальную, неизвестную другим пользователям информацию о себе (например, пароль или сертификат).

Идентификация и аутентификация являются взаимосвязанными процессами распознавания и проверки подлинности субъектов (пользователей). Именно от них зависит последующее решение системы, можно ли разрешить доступ к ресурсам системы конкретному пользователю или процессу. После идентификации и аутентификации субъекта выполняется его авторизация.

Авторизация - процедура предоставления субъекту определенных полномочий и ресурсов в данной системе. Иными словами, авторизация устанавливает сферу действия субъекта и доступные ему ресурсы. Если система не может надежно отличить авторизованное лицо от неавторизованного, конфиденциальность и целостность информации в ней могут быть нарушены. Организации необходимо четко определить свои требования к безопасности, чтобы принимать решения о соответствующих границах авторизации.

С процедурами аутентификации и авторизации тесно связана процедура администрирования действий пользователя.

Администрирование - это регистрация действий пользователя it сети, включая его попытки доступа к ресурсам. Хотя эта учетная информация может быть использована для выписывания счета, с позиций безопасности она особенно важна для обнаружения, анализа инцидентов безопасности в сети и соответствующего реагирования на них. Записи в системном журнале, аудиторские проверки и администрирование ПО - все это может быть использовано для обеспечения подотчетности пользователей, если что-либо случится при входе в сеть с их идентификатором.

Необходимый уровень аутентификации определяется требованиями безопасности, которые установлены в организации

Типы аутентификации:

- аутентификация, использующая пароли и PIN-коды;

-строгая аутентификация на основе использования криптографических методов и средств;

- процессы (протоколы) аутентификации, обладающие свойством доказательства с нулевым знанием;

- биометрическая аутентификация пользователей.

С точки зрения безопасности каждый из перечисленных типов способствует решению своих специфических задач, поэтому процессы и протоколы аутентификации активно используются на практике.

Основными атаками на протоколы аутентификации являются:

- маскарад (impersonation). Пользователь пытается выдать себя за другого с целью получения полномочий и возможности действий от лица другого пользователя;

- подмена стороны аутентификационного обмена (interleaving attack). Злоумышленник в ходе данной атаки участвует в процессе аутентификационного обмена между двумя сторонами с целью модификации проходящего через него трафика;

- повторная передача (replay attack). Заключается в повторной передаче аутентификационных данных каким-либо пользователем;

- принудительная задержка (forced delay). Злоумышленник перехватывает некоторую информацию и передает ее спустя некоторое время;

- атака с выборкой текста (chosen-text attack). Злоумышленник перехватывает аутентификационный трафик и пытается получить информацию о долговременных криптографических ключах.

Для предотвращения таких атак при построении протоколов аутентификации применяются следующие приемы:

- использование механизмов типа запрос-ответ, меток времени, случайных чисел, идентификаторов, цифровых подписей;

- привязка результата аутентификации к последующим действиям пользователей в рамках системы. Примером подобного подхода может служить осуществление в процессе аутентификации обмена секретными сеансовыми ключами, которые применяются при дальнейшем взаимодействии пользователей;

- периодическое выполнение процедур аутентификации в рамках уже установленного сеанса связи и т.п.

Программно-аппаратный комплекс межсетевого экранирования обычно состоит из компьютера, а также функционирующих на нем операционной системы (ОС) и специального программного обеспечения. Следует отметить, что это специальное программное обеспечение часто называют firewall. Используемый компьютер должен быть достаточно мощным и физически защищенным, например находиться в специально отведенном и охраняемом помещении. Кроме того, он должен иметь средства защиты от загрузки ОС с несанкционированного носителя. Программно-аппаратные комплексы используют специализированные или обычные операционные системы (как правило, на базе FreeBSD, Linux или Microsoft Windows NT/2000), «урезанные» для выполнения заданных функций и удовлетворяющие ряду требований:

- иметь средства разграничения доступа к ресурсам системы;

- блокировать доступ к компьютерным ресурсам в обход предоставляемого программного интерфейса;

- запрещать привилегированный доступ к своим ресурсам из локальной сети;

- содержать средства мониторинга/аудита любых административных действий.

Специализированные программно-аппаратные решения обладают следующими достоинствами:

- простота внедрения в технологию обработки информации. Такие средства поставляются уже с заранее установленной и настроенной операционной системой и защитными механизмами, поэтому необходимо только подключить их к сети, что выполняется в течение нескольких минут;

- простота управления. Данные средства могут управляться с любой рабочей станции Windows 9x, NT, 2000 или UNIX. Взаимодействие консоли управления с устройством осуществляется либо по стандартным протоколам, например Telnet или SNMP, либо при помощи специализированных или защищенных протоколов, например SSH или SSL;

- отказоустойчивость и высокая доступность. Исполнение межсетевого экрана в виде специализированного программно-аппаратного комплекса позволяет реализовать механизмы обеспечения не только программной, но и аппаратной отказоустойчивости и высокой доступности;

- высокая производительность и надежность. За счет исключения из операционной системы всех ненужных сервисов и подсистем программно-аппаратный комплекс работает более эффективно с точки зрения производительности и надежности;

- специализация на защите. Решение только задач обеспечения сетевой безопасности не приводит к затратам ресурсов на выполнение других функций, например маршрутизации и т.п.

Административные меры защиты

Организация эффективной и надежной защиты операционной системы невозможна с помощью одних только программно-аппаратных средств. Эти средства обязательно должны, дополняться административными мерами защиты. Без постоянной квалифицированной поддержки со стороны администратора даже самая надежная программно-аппаратная защита оборачивается фикцией.

Основные административные меры защиты. (задачи)

1. Постоянный контроль корректности функционирования операционной системы, особенно ее подсистемы защиты. Такой контроль наиболее удобно организовать, если операционная система поддерживает регистрацию событий (event logging). В этом случае операционная система автоматически регистрирует в специальном журнале (или нескольких журналах) наиболее важные события, произошедшие в процессе функционирования системы.

2. Организация и поддержание адекватной политики безопасности.
Политика безопасности должна постоянно корректироваться, оперативно реагируя на изменения в конфигурации операционной системы, установку, удаление и изменение конфигурации прикладных программных продуктов и расширений операционной системы, попытки злоумышленников преодолеть защиту операционной системы и т.д.

3. Инструктирование пользователей операционной системы о необходимости соблюдения мер безопасности при работе с операционной системой и контроль за соблюдением этих мер.

4. Регулярное создание и обновление резервных копий программ и данных операционной системы.

Постоянный контроль изменений в конфигурационных данных и политике безопасности операционной системы.

Вывод

При прохождении практики - «Обеспечение информационной безопасности многоканальных телекоммуникационных систем и сетей электросвязи» я научился: использовать программно-аппаратные средства защиты информации в многоканальных телекоммуникационных системах, информационно-коммуникационных сетях связи. Применять системы анализа защищенности с целью обнаружения уязвимости в сетевой инфраструктуре, давать рекомендации по их устранению. Обеспечивать безопасное администрирование многоканальных телекомуникационных систем и информационно-коммуникационных сетей связи. Приобрел навыки выявления каналов утечки информации; определения необходимых средств защиты; проведения аттестации объекта защиты; разработки политики безопасности для объекта защиты; выявления возможных атак на автоматизированные системы; проверки защищенности автоматизированных систем и сетей электросвязи; защиты базы данных; организации защиты в различных операционных системах и средах; шифрования информации.

Размещено на Allbest.ru