Обеспечение информационной безопасности сетей
Способы обеспечения информационной безопасности
Существует два подхода к проблеме обеспечения безопасности компьютерных систем и сетей (КС): «фрагментарный» и комплексный.
«Фрагментарный» подход направлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы и т. п.
Достоинством такого подхода является высокая избирательность к конкретной угрозе. Существенный недостаток — отсутствие единой защищенной среды обработки информации. Фрагментарные меры защиты информации обеспечивают защиту конкретных объектов КС только от конкретной угрозы. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты.
Комплексный подход ориентирован на создание защищенной среды обработки информации в КС, объединяющей в единый комплекс разнородные меры противодействия угрозам. Организация защищенной среды обработки информации позволяет гарантировать определенный уровень безопасности КС, что является несомненным достоинством комплексного подхода. К недостаткам этого подхода относятся: ограничения на свободу действий пользователей КС, чувствительность к ошибкам установки и настройки средств защиты, сложность управления.
Комплексный подход применяют для защиты КС крупных организаций или небольших КС, выполняющих ответственные задачи или обрабатывающих особо важную информацию. Нарушение безопасности информации в КС крупных организаций может нанести огромный материальный ущерб как самим организациям, так и их клиентам. Поэтому такие организации вынуждены уделять особое внимание гарантиям безопасности и реализовы-вать комплексную защиту. Комплексного подхода придерживаются большинство государственных и крупных коммерческих предприятий и учреждений. Этот подход нашел свое отражение в различных стандартах.
Комплексный подход к проблеме обеспечения безопасности основан на разработанной для конкретной КС политике безопасности. Политика безопасности регламентирует эффективную работу средств защиты КС. Она охватывает все особенности процесса обработки информации, определяя поведение системы в различных ситуациях. Надежная система безопасности сети не может быть создана без эффективной политики сетевой безопасности. Политики безопасности подробно рассматриваются в гл. 3.
Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:
• законодательного (стандарты, законы, нормативные акты и т. п.);
• административно-организационного (действия общего характера, предпринимаемые руководством организации, и конкретные меры безопасности, имеющие дело с людьми);
• программно-технического (конкретные технические меры). Меры законодательного уровня очень важны для обеспечения
информационной безопасности. К этому уровню относится комплекс мер, направленных на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности.
Информационная безопасность — это новая область деятельности, здесь важно не только запрещать и наказывать, но и учить, разъяснять, помогать. Общество должно осознать важность данной проблематики, понять основные пути решения соответствующих проблем. Государство может сделать это оптимальным образом. Здесь не нужно больших материальных затрат, требуются интеллектуальные вложения.
Меры административно-организационного уровня. Администрация организации должна сознавать необходимость поддержания режима безопасности и выделять на эти цели соответствующие ресурсы. Основой мер защиты административно-организационного уровня является политика безопасности (см. гл. 3) и комплекс организационных мер.
К комплексу организационных мер относятся меры безопасности, реализуемые людьми. Выделяют следующие группы организационных мер:
• управление персоналом;
• физическая защита;
• поддержание работоспособности;
• реагирование на нарушения режима безопасности;
• планирование восстановительных работ.
Для каждой группы в каждой организации должен существовать набор регламентов, определяющих действия персонала.
Меры и средства программно-технического уровня. Для поддержания режима информационной безопасности особенно важны меры программно-технического уровня, поскольку основная угроза компьютерным системам исходит от них самих: сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т. п. В рамках современных информационных систем должны быть доступны следующие механизмы безопасности:
• идентификация и проверка подлинности пользователей;
• управление доступом;
• протоколирование и аудит;
• криптография;
• экранирование;
• обеспечение высокой доступности.
Необходимость применения стандартов. Информационные системы (ИС) компаний почти всегда построены на основе программных и аппаратных продуктов различных производителей. Пока нет ни одной компании-разработчика, которая предоставила бы потребителю полный перечень средств (от аппаратных до программных) для построения современной ИС. Чтобы обеспечить в разнородной ИС надежную защиту информации требуются специалисты высокой квалификации, которые должны отвечать за безопасность каждого компонента ИС: правильно их настраивать, постоянно отслеживать происходящие изменения, контролировать работу пользователей. Очевидно, что чем разнороднее ИС, тем сложнее обеспечить ее безопасность. Изобилие в корпоративных сетях и системах устройств защиты, межсетевых экранов (МЭ), шлюзов и VPN, а также растущий спрос на доступ к корпоративным данным со стороны сотрудников, партнеров и заказчиков приводят к созданию сложной среды защиты, трудной для управления, а иногда и несовместимой.
Интероперабельность продуктов защиты является неотъемлемым требованием для КИС. Для большинства гетерогенных сред важно обеспечить согласованное взаимодействие с продуктами других производителей. Принятое организацией решение безопасности должно гарантировать защиту на всех платформах в рамках этой организации. Поэтому вполне очевидна потребность в применении единого набора стандартов как поставщиками средств защиты, так и компаниями — системными интеграторами и организациями, выступающими в качестве заказчиков систем безопасности для своих корпоративных сетей и систем.
Стандарты образуют понятийный базис, на котором строятся все работы по обеспечению информационной безопасности, и определяют критерии, которым должно следовать управление безопасностью. Стандарты являются необходимой основой, обеспечивающей совместимость продуктов разных производителей, что чрезвычайно важно при создании систем сетевой безопасности в гетерогенных средах.
Комплексный подход к решению проблемы обеспечения безопасности, рациональное сочетании законодательных, административно-организационных и программно-технических мер и обязательное следование промышленным, национальным и международным стандартам — это тот фундамент, на котором строится вся система защиты корпоративных сетей.
Эта статья была опубликована Воскресенье, 9 августа, 2009 at 15:05 в рубрике Проблемы информационной безопасности сетей. Вы можете следить за ответами через RSS 2.0 feed.
Доброе время суток! Я работаю журналистом в одном из новых издательств и как раз ныне пишу статью по подобной Вашей тематике! Не могли бы Вы дать разрешение на публикацию Вашего материала в нашем печатном изданииб естественно с указанием ссылки на данную статью! Заранее благодарен!
Здравствуйте! Ваш блог мне очень понравился, не могу подключить rss ленту, может я что-то не то делаю — подскажите пожалуйста куда нажимать, и работает ли она у Вас вообще? Заранее благодарен!
Приветhttp://home-irr.ru/ — ! я тоже сделал свой блог но не как немогу на него найти мотериалы для продолжения и обновления темы. А я вам завидую))))
Хотелось бы поблагодатрить всё замечательно..Может подскажете как можно привлечь людей к сайту а то как непробую не получается какие только методы не пробывал .
Какая редкая удача! Какое счастье!
Я Вас приветствую ! Рад тому что хоть у когото даходят руки освещать тему большое Вам спосибо.
Полностью согласен всё так как надо.
Откуда только берётся это инфа вы сами читали уже куча сайтов и увсех всё одинаково. Извеняюсь за высказывание вы хоть без фонотизма намноголучше чем у других.
Я свами не согласен каждый пишет то что хочет а как правильно можно проверить только на собственом опыте.
да я смотрю у вас тут комментарии какие то странные. Полезная инфа спасибо.
Молодца почаще обновляй грамотно всё.
как я вас понимаю все лезут со своими советами но у Вас итак всё хорошо.
Привет как вам нравится когда яндекс меняет свои алгоритмы и об этом не чего не сообщает месец назат купил 600 ссылок в сапе месець прошол яндекс не чего не пощитал. А как вы подерживаете свой блог?
Вот нравится мне, когда люди могут доходчиво и на доступном языке донести свои мысли до читателей. Спасибо огромное. Я получил истинное удовольствие, читая Вас.
Добрый день! Очень рада что существуют подобные форумы, но, простому пользователю иной раз приходится не просто… вопрос мой — как закачать аватар? По размеру вроде бы как все подходит — формат только gif у меня, возможно в этом есть какая то разница? Хотя при нажатии на кнопку Обзор сайт аватар в виде файла видит 🙁 помогите пожалуйста, извиняюсь за столь глупый вопрос!
Может посоветуете как часто нада блог обновлять чтоб результат хороший был?
Однозначно в закладки, написано хорошо и понятно, на rss подписался без всяких проблем, спасибо
Да, тут до меня побывало прличное количество читателей. ) блог отличный саветую читать))
ВСЕМ ПИВЕТ ЯХУУУУУУУУУУУУУУ
185 ХК ОЧЕНЬ КРУТАЯ ГРУППА