На главную  Карта сайта  
Главное меню
Реклама

Подходы и этапы проектирования системы защиты

ПОДХОДЫ И ЭТАПЫ ПРОЕКТИРОВАНИЯ СИСТЕМЫ ЗАЩИТЫ

Подходы к встраиванию системы защиты в АС и тенденции совершенствования защиты АС

Существуют два основных подхода к практической реализации ЗАС (защищенных автоматизированных систем).

Первый подход состоит в разработке и внедрению новых информационно-вычислительных систем (АС), в рамках которых решается весь комплекс проблем информационной безопасности. Этот подход является наиболее перспективным, однако в процессе функционирования уже созданных ЗАС может понадобиться встраивание новых элементов защиты, что уже относится ко второму подходу.

Второй подход состоит в разработке подсистем защиты информации, объединении их в единую систему защиты, налагаемую на уже созданную АС, в которой изначально не предусматривался полный комплекс защитных механизмов. На практике данный подход до настоящего времени является достаточно распространенным, поскольку большое число широко используемых ОС, СУБД и других информационных систем изначально были созданы без должного отношения к проблеме защиты информации.

В настоящее время наблюдаются следующие тенденции в совершенствовании элементов системы защиты:

  • создание систем, характеризующихся комплексностью, функциональной полнотой и целостностью, включая совокупность правовых, организационных, физических, технических и аппаратно-программных средств;
  • интеллектуализация системы обеспечения информационной безопасности, представляющая собой обеспечение процессов управлений средствами защиты в сложных распределенных системах интеллектуальной поддержкой, в качестве которой выступают специализированные экспертные системы поддержки принятия решений, в том числе на базе искусственного интеллекта;
  • использование многоагентных систем для распределенного решения задач информационной безопасности в распределенных ЗАС;
  • замена пассивных устройств защиты (Магнитные или другие элементы памяти с ключевой или парольной информацией) активными устройствами защиты (интеллектуальные электронные карточки или электродные ключи с встроенными процессорами), которые обеспечивают качественно новый уровень защиты в системах и сетях ЭВМ;
  • широкое применение криптографических преобразований для решения задач обеспечения подлинности, аутентификации и целостности
  • применение двухключевых криптографических систем для обеспечивания анонимности (системы электронных денег и тайного электронного голосования.)
  • совершенствование системы защиты в процессе эксплуатации как реакция на изменение условий функционирования ЗАС и появлением новых способов и методов нападений.

Большое число различных используемых средств защиты можно разбить на следующие большие группы:

  • Системы контроля доступа (СКД).
  • Криптографические средства, обеспечивающие конфиденциальность, аутентификацию и целостность информации
  • Генераторы и устройства, осуществляющие генерацию и хранение индивидуальной информации пользователей для их опознания и подтверждения подлинности.

С точки зрения комплексного обеспечения защиты информации в ЗАС наибольший интерес представляют системы СКД и разграничения полномочий

Этапы проектирования ЗАС

Процесс построения системы защиты включает следующие этапы:

  • Анализ возможных угроз безопасного функционирования ЗАС.
  • Планирование системы защиты.
  • Реализация системы защиты.
  • Сопровождение системы защиты.

Этап анализа возможных угроз необходим для фиксации состояния АС (конфигурации аппаратных и программных средств, технологии обработки информации) и определения учитываемых воздействий на компоненты АС и рисков, связанных с реализацией угроз безопасности. Практически невозможно обеспечить защиту АС от всех воздействий, поскольку невозможно полностью установить все угрозы и способы их реализации. Поэтому из множества вероятных воздействий выбирают только такие воздействия, которые могут реально произойти и нанести серьезный ущерб.

На этапе планирования формулируется система защиты как единая совокупность мер противодействия угрозам различной природы.

На этапе реализации осуществляется выбор конкретных мер и средств обеспечения информационной безопасности и их интеграция в единую систему. Определяется стоимость системы защиты и ее эффективность.

Этап сопровождения системы защиты состоит в обеспечении непрерывного ее функционирования в жизненном цикле ЗАС и совершенствования элементов защиты, включая их модернизацию и дополнение новыми элементами и средствами защиты.

При создании ЗАС на основе открытых широко используемых сетей, что в настоящее время является типичным при построении корпоративных АС требуется учитывать появление новых технологий и сервисов, а также удовлетворять требованиям, которые предъявляются сегодня к элементам корпоративных информационных систем:

  • Использование интегрированных решений. Интеграция должна быть реализована в различных аспектах 1) интеграция средств защиты с остальными элементами АС - операционными системами, маршрутизаторами, службами каталогов и т.п., 2) интеграция различных технологий защиты в целях обеспечения комплексной безопасности информационных ресурсов предприятий, например интеграция межсетевого экрана с VPN-шлюзом и трансляторов IP-адресов.
  • Обеспечение масштабирования в широких пределах. Масштабируемость средств защиты позволяет подбирать оптимальное по стоимости и надежности решение с возможностями постепенного наращивания системы защиты. По мере роста и развития АС подсистема информационной безопасности должна иметь возможность легко масштабироваться без потери целостности и управляемости. Масштабируемость обеспечивает эффективную работу предприятия при наличии у него многочисленных филиалов, десятков предприятий-партнеров, сотен удаленных сотрудников и миллионы потенциальных клиентов.
  • Применение открытых стандартов. Переход на открытые стандарты составляет одну из основных тенденций развития систем и средств защиты. Такие стандарты как IP-Sec и PKI обеспечивают защищенность внешних коммуникаций предприятия и совместимость с соответствующими продуктами предприятий-партнеров. Цифровые сертификаты Х.509 также являются на данное время стандартным и эффективным решением для аутентификации пользователей и устройств. Перспективные средства и системы защиты должны поддерживать эти стандарты.

При проектировании ЗАС следует ориентироваться на прогрессивные технологии обеспечения информационной безопасности, к которым относятся:

  • Комплексный подход, предполагающий рациональное сочетание технологий и средств защиты информации.
  • Комплексный подход, предполагающий рациональное сочетание технологий и средств защиты информации.
  • Применение защищенных виртуальных частных сетей VPN для защиты информации, передаваемой по открытым каналам связи.
  • Использование криптографического преобразования данных для обеспечения целостности, юридической значимости и конфиденциальности информации.
  • Применение межсетевых экранов для защиты корпоративной сети, от внешних угроз при подключении к общедоступным сетям связи.
  • Управление доступом на уровне пользователей и защита от несанкционированного доступа (НСД).
  • Гарантированная идентификация и аутентификация пользователей путем применения электронных устройств идентификации и аутентификации (смарт-карт, электронных ключей и т.п.)
  • Поддержка инфраструктуры управления открытыми ключами.
  • Защита информации на файловом уровне (путем шифрования файлов и каталогов) для обеспечения ее надежного хранения.
  • Защита от вирусов с использованием с использованием специализированных комплексов антивирусной профилактики и защиты.
  • Использование технологии обнаружения вторжений для активного исследования защищенности информационных ресурсов и АС в целом.
  • Централизованное управление средствами защиты.

При создании ЗАС на основе открытых широко используемых сетей построение системы защиты можно разбить на следующие этапы:

  • Экспертиза защищенности корпоративной информационной системы.
  • Разработка концепции и политики информационной безопасности компании.
  • Проектирование корпоративной информационно-вычислительной системы в защищенном исполнении.
  • Поставка и ввод в опытную эксплуатацию средств защиты.
  • Сопровождение системы информационной безопасности.
  • Модернизация и развитие системы информационной безопасности.

23.09.2006

Комментарии

ФИО: 
E-mail: 
Тема: 
Комментарий: