Рекомендации по улучшению системы защиты информации
Нередко на территории университета разворачивается беспроводная сеть, доступ в которую обычно является свободным. Использовать такую схему стоит в том случае, когда точки беспроводного доступа не подключены к внутренней сети университета. Как правило, связь с Интернетом осуществляется сразу по нескольким линиям связи (оптоволоконная магистраль, спутниковые и радиоканалы). Отдельные каналы… Читать ещё >
Рекомендации по улучшению системы защиты информации (реферат, курсовая, диплом, контрольная)
В развитии компьютерной техники и программного обеспечения вузы сыграли ключевую роль. В них разрабатываются, испытываются и внедряются передовые проекты в сфере IT. С ростом киберпреступности защита конфиденциальной информации и разработок в учебных учреждениях становится особенно актуальной [29].
Вузы — инфраструктура, обладающая огромным банком данных, содержащим информацию разного характера. Это не только учебные методички в электронном виде, но и важные проектно-исследовательские наработки. Рост преступлений в сфере высоких технологий диктует свои требования к защите ресурсов вычислительных сетей учебных заведений и ставит задачу построения собственной интегрированной системы безопасности. Ее решение предполагает наличие нормативно-правовой базы, формирование концепции безопасности, разработку мероприятий, планов и процедур по безопасной работе, проектирование, реализацию и сопровождение технических средств защиты информации (СЗИ) в рамках образовательного учреждения. Эти составляющие определяют единую политику обеспечения безопасности информации в вузе.
Специфика защиты информации в образовательной системе заключается в том, что вуз — публичное заведение с непостоянной аудиторией, а также место повышенной активности «начинающих кибер-преступников». Основную группу потенциальных нарушителей здесь составляют студенты, некоторые из них имеют достаточно высокий уровень знания компьютеров, сетей. Возраст — от 18 до 23 лет — и юношеский максимализм побуждает таких людей блеснуть знаниями перед сокурсниками: устроить вирусную эпидемию, получить административный доступ и «наказать» преподавателя, заблокировав выход в Интернет. Достаточно вспомнить, что первые компьютерные правонарушения родились именно в вузе (червь Морриса).
Учащиеся имеют доступ только в компьютерные учебные аудитории, от них и исходит внутренняя угроза. Работа студентов, преподавателей в таких аудиториях должна быть регламентирована приказом (актом) ректората. Во избежание занесения вредоносной информации во внутреннюю сеть желательно, чтобы в компьютерах отсутствовали дисководы и были отключены usb-порты.
Анализ угроз, их источников и рисков Компьютерные сети образовательных заведений — это совокупность сетевых ресурсов для учебной деятельности, рабочих станций персонала, устройств функционирования сети в целом.
Источниками возможных угроз информации являются: компьютеризированные учебные аудитории, в которых происходит учебный процесс; Интернет; рабочие станции неквалифицированных в сфере ИБ работников вуза.
Анализ информационных рисков можно разделить на следующие этапы:
классификация объектов, подлежащих защите, по важности;
определение привлекательности объектов защиты для взломщиков;
определение возможных угроз и вероятных каналов доступа на объекты;
оценка существующих мер безопасности;
определение уязвимостей в обороне и способов их ликвидации;
составление ранжированного списка угроз;
оценка ущерба от НСД, атак в отказе обслуживании, сбоев в работе оборудования.
Основные объекты, нуждающиеся в защите от НСД:
бухгалтерские ЛВС, данные планово-финансового отдела, а также статистические и архивные данные;
серверы баз данных;
консоль управления учетными записями;
www/ftp сервера;
ЛВС и серверы исследовательских проектов.
Регламент работы Для аутентификации пользователей на рабочих станциях преподавательского персонала, компьютерах в учебных аудиториях можно применять ролевое управление доступом (РУД). Суть технологии — в создании некой «роли, связывающей пользователя и его привилегии в системе. С ее помощью можно эффективно построить гибкую политику разграничения доступа в многопользовательской системе.
РУД заметно облегчает администрирование многопользовательских систем путем установления связей между «ролями» и пользователями. Для каждого пользователя может быть активизировано сразу несколько «ролей», которые одновременно могут быть приписаны сразу нескольким пользователям.
Использование сетевой операционной системы Novell Netware позволяет централизованно управлять процессом идентификации пользователей в общей университетской сети, отслеживать их действия, ограничивать доступ к ресурсам. Средства защиты информации (СЗИ) уже встроены в эту ОС на базовых уровнях и не являются надстройкой в виде какого-либо приложения.
ОС Novell NetWare содержит механизмы защиты следующих уровней:
защита информации о пользователе;
защита паролем;
защита каталогов;
защита файлов;
межсетевая защита.
Для каждого зарегистрированного в этой ОС пользователя содержатся правила с указанием перечня ресурсов, к которым он имеет доступ, права на работу с ними. Для помощи администратору служит консоль управления учетными записями. Есть возможность ограничения права пользователя на вход в сеть временем, датой и конкретными рабочими станциями. В качестве системы разграничения доступа используются ACL и так называемые контексты. Для каждого контекста определен список доступных ресурсов сети. Это позволяет разделять доступ к ресурсам между администрацией, работниками университета и студентами. Кроме того, можно устанавливать дополнительные групповые политики в рамках определенного контекста (допустим, разделить доступ студенческого контекста по факультетам, не используя подконтексты). Встроенные средства обнаружения и предотвращения атак позволяют быстро выявить нарушителя.
Нередко на территории университета разворачивается беспроводная сеть, доступ в которую обычно является свободным. Использовать такую схему стоит в том случае, когда точки беспроводного доступа не подключены к внутренней сети университета. Как правило, связь с Интернетом осуществляется сразу по нескольким линиям связи (оптоволоконная магистраль, спутниковые и радиоканалы). Отдельные каналы предоставляются для связи с другими университетами или для безопасного обмена данными. Чтобы исключить риски, связанные с утечкой и порчей передаваемой информации, такие сети не стоит подключать к глобальным сетям и общей университетской сети.
Критически важные узлы для обмена данными университета (бухгалтерская ЛВС) также должны существовать отдельно.
Рубежи обороны Первый рубеж обороны от атак извне (Интернет) — роутер (маршрутизатор). Он применяется для связи участков сети друг с другом, а также для более эффективного разделения трафика и использования альтернативных путей между узлами сети. От его настроек зависит функционирование подсетей и связь с глобальными сетями (WAN). Его главная задача в плане безопасностизащита от распределенных атак в отказе обслуживания (DDOS).
Вторым рубежом может служить МСЭ: аппаратно-программный комплекс Cisco PIX Firewall.
Затем следует DMZ. В этой зоне стоит расположить главный прокси-сервер, dns-сервер, www/ftp, mail сервера. Прокси-сервер обрабатывает запросы от рабочих станций учебного персонала, серверов, не подключенных напрямую к роутеру, и фильтрует трафик. Политика безопасности на этом уровне должна определяться блокированием нежелательного трафика и его экономией (фильтрация мультимедиаконтента, iso-образов, блокировка страниц нежелательного/нецензурного содержания по ключевым словам). Чтобы не происходило скачивания зараженной вирусами информации, на этом сервере оправдано размещение антивируса (например, ClamAV). Для более детального анализа и контроля трафика следует применять IDS (такую, как Snort).
Информация от прокси-сервера параллельно отсылается на сервер статистики, где можно посмотреть и проанализировать деятельность пользователей в Интернете. На почтовом сервере обязательно должен присутствовать почтовый антивирус, к примеру, Kaspersky AntiVirus for Mail servers.
Так как эти серверы связаны непосредственно напрямую с глобальной сетью, аудит программного обеспечения, установленного на них, — первоочередная задача инженера по информационной безопасности вуза. Для экономии средств и гибкости настраивания желательно применять opensource-ОС и программное обеспечение. Самая распространенная ОС — FreeBSD и GNU Linux. Но ничто не мешает использовать и более консервативную Open BSD или даже сверхстабильную ОС реального времени QNX.
Спрос на антивирусные средства растет с каждым годом и не обошел инфраструктуру вузов.
Для централизованного управления антивирусной деятельностью необходим продукт с клиент-серверной архитектурой, такой как Dr. Web Enterprise Suite. Он позволяет централизованно управлять настройками и обновлением антивирусных баз с помощью графической консоли и предоставлять удобочитаемую статистику о вирусной деятельности, если такая присутствует.
Для большего удобства работников вуза можно организовать доступ к внутренней сети университета с помощью технологии VPN.
Некоторые университеты имеют свой пул дозвона для выхода в Интернет и используют каналы связи учреждения. Во избежание использования этого доступа посторонними лицами в незаконных целях работники учебного заведения не должны разглашать телефон пула, логин, пароль.
Степень защищенности сетей и серверов большинства вузов оставляет желать лучшего. Причин тому много, но одна из главных — плохая организация мер по разработке и обеспечению политики информационной безопасности. Руководство просто недооценивает важности этих мероприятий. Вторая проблема заключается в том, что ни государство, ни администрация вуза не заинтересованы в выделении средств на закупку оборудования и внедрение новых технологий в сфере ИБ.
Предлагается утвердить политику информационной безопасности.
Предметом политики информационной безопасности является:
порядок доступа к информационным системам, обрабатывающим конфиденциальную информацию;
работа в глобальной сети ИНТЕРНЕТ;
сетевая безопасность;
локальная безопасность;
физическая безопасность (доступ в помещения);
обеспечение защиты персональных данных;
дублирование, резервирование и хранение информации.
Общие положения.
1. Цели и задачи Целью настоящей Политики является обеспечение безопасности объектов защиты Университета от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности.
Направление информационной безопасности создано в отделе собственной безопасности со следующими задачами и функциями:
планирование, согласование и организация мероприятий по защите информации непосредственно на объектах информатизации, на которых проводятся работы с использованием конфиденциальной информации;
определение возможностей несанкционированного доступа к информации, ее уничтожения или искажения, определение возможных технических каналов и анализ рисков утечки конфиденциальной информации, разработка соответствующих мер по защите;
организация технической защиты информации, участие в создании систем защиты;
проведение периодического контроля состояния ИБ, учет и анализ результатов с выработкой решений по устранению уязвимостей и нарушений;
контроль за использованием закрытых каналов связи и ключей с цифровыми подписями;
организация плановых проверок режима защиты, и разработка соответствующей документации, анализ результатов, расследование нарушений;
разработка и осуществление мероприятий по защите персональных данных;
организация взаимодействия со всеми структурами, участвующими в их обработке, выполнение требований законодательства к информационным системам, обрабатывающим персональные данные, контроль действий операторов, отвечающих за их обработку.
2. Организационно-правовой статус сотрудников по обеспечению информационной безопасности Сотрудники имеют право беспрепятственного доступа во все помещения, где установлены технические средства с Информационными системами (ИС), право требовать от руководства подразделений и администраторов ИС прекращения автоматизированной обработки информации, персональных данных, при наличии непосредственной угрозы защищаемой информации;
Имеют право получать от пользователей и администраторов необходимую информацию по вопросам применения информационных технологий, в части касающейся вопросов информационной безопасности;
Главный специалист по ИБ имеет право проводить аудит действующих и вновь внедряемых ИС на предмет реализации требований защиты и обработки информации запрещать их эксплуатацию, если не отвечают требованиям или продолжение эксплуатации может привести к серьезным последствиям в случае реализации значимых угроз безопасности;
Сотрудники имеют право контролировать исполнение утвержденных нормативных и организационно-распорядительных документов, касающихся вопросов информационной безопасности.
Область действия Требования настоящей Политики распространяются на всех сотрудников Университета (штатных, временных, работающих по контракту и т. п).
Порядок доступа к информационным системам, обрабатывающим конфиденциальную информацию Система управления доступом к информационным системам реализована с помощью штатных средств (операционных систем (MS Windows Server, Linux), ИС и используемых ими СУБД) и предназначена для реализации следующих функций:
идентификации и проверки подлинности субъектов доступа при входе в ИС;
идентификации терминалов, узлов сети, каналов связи, внешних устройств по логическим именам;
идентификации программ, томов, каталогов, файлов, записей, полей записей по именам;
регистрации входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее останова;
регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;
регистрации попыток доступа программных средств к терминалам, каналам связи, программам, томам, каталогам, файлам, записям, полям записей.
Порядок доступа, получения логинов и паролей, определяется Порядком предоставления прав доступа.
Сетевая безопасность.
1. Доступ из Интернет в сеть университета:
во внутреннюю сеть доступ извне запрещен;
как исключение доступ разрешен только к определяемым объектам по распоряжению директора ЦИТ.
2. Маршрутизаторы и межсетевые экраны:
Система межсетевого экранирования предназначена для реализации следующих функций:
фиксации во внутренних журналах информации о проходящем открытом и закрытом IP-трафике;
идентификации и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ;
контроля целостности своей программной и информационной части;
фильтрации пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
фильтрации с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
блокирования доступа не идентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату;
контроля сетевой активности приложений и обнаружения сетевых атак.
Для анализа защищенности ИС применяются специализированные программно-аппаратные средства — сканеры безопасности. Применяются для анализа уязвимостей и несоответствия в настройках ОС, СУБД, сетевого оборудования. Выявленные уязвимости протоколируются и передаются администраторам ИС, сетевым администраторам для устранения в установленные сроки.
Подсистема обнаружения вторжений, должна обеспечивать выявление сетевых атак на элементы ИС подключенные к сетям общего пользования и (или) международного обмена.
Функционал подсистемы реализуется программными и программно-аппаратными средствами, на межсетевых экранах. Администратор сети ведет протоколирование и регулярный мониторинг доступа, контролирует содержание трафика, проводит анализ лог-файлов.
На межсетевом экране заводится лог-файл, куда записываются все обращения (попытки создания соединений) в сеть и из сети. Лог файл должен храниться локально и удаленно.
Система обнаружения атак сохраняет информацию об атаках и подозрительной активности также в лог-файл.
Анализ лог-файлов в виде отчета администратор сети передает сотруднику ИБ в случае инцидентов массовых атак, или по его запросу.
Маршрутизаторы задают политику безопасности и запрещают доступ из одного сегмента сети в другой. Настройкой маршрутизаторов занимается администратор сети.
Локальная безопасность.
1. Антивирусная защита Антивирусная защита предназначена для обеспечения антивирусной защиты серверов и АРМ пользователей Университета.
Средства антивирусной защиты предназначены для реализации следующих функций:
резидентный антивирусный мониторинг;
антивирусное сканирование;
скрипт-блокирование;
централизованную/удаленную установку/деинсталляцию антивирусного продукта, настройку, администрирование, просмотр отчетов и статистической информации по работе продукта;
автоматизированное обновление антивирусных баз;
ограничение прав пользователя на остановку исполняемых задач и изменения настроек антивирусного программного обеспечения;
автоматический запуск сразу после загрузки операционной системы.
Антивирусная защита реализуется путем установки антивирусного программного обеспечения на всех элементах ИС. Анализ эффективности защиты проводится ответственным сотрудником ЦНТ, с использованием тестовых компьютеров и контролируется сотрудником ИБ.
2. Разграничение прав доступа к информационным системам и системам хранения данных Для входа в компьютерную сеть сотрудник должен ввести логин и пароль. Допускается режим безпарольного (гостевого) доступа к образовательному порталу.
В целях защиты информации организационно и технически разделяются подразделения Университета, имеющие доступ и работающие с различной информацией (в разрезе ее конфиденциальности и смысловой направленности). Данная задача решается с использованием возможностей конкретных ИС, где в целях обеспечения защиты данных доступ и права пользователей ограничивается набором прав и ролей. Права назначаются в соответствии с производственной необходимостью, определяемой администратором ИС.
Все действия пользователей определяются Регламентом по обеспечению информационной безопасности для пользователей, которую они изучают при получении доступа к ИС.
Физическая безопасность Все объекты критичные с точки зрения информационной безопасности (все сервера баз данных) находятся в отдельном помещении, доступ в которое разрешен только сотрудникам, имеющими соответствующее разрешение и определены приказом ректора.
Порядок доступа определяется Регламентом доступа в серверное помещения.
Обеспечение защиты персональных данных Все сотрудники Университета, являющиеся пользователями ЕМОС, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности персональных данных.
При вступлении в должность нового сотрудника непосредственный начальник подразделения, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите персональных данных, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ЕМОС.
Сотрудники Университета должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.
Сотрудникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.
Сотрудникам запрещается разглашать содержание защищаемой информации, которая стала им известна при работе с информационными системами Университета, третьим лицам.
Дублирование, резервирование и хранение информации Для обеспечения физической целостности данных, во избежание умышленного или неумышленного уничтожения или искажения защищаемой информации и конфигураций информационных систем организуется резервное копирование баз данных, конфигураций, файлов настроек, конфигурационных файлов.