Informatiesystemen waarin datatransmissiefaciliteiten eigendom zijn van één bedrijf en alleen worden gebruikt voor de behoeften van dit bedrijf, worden gewoonlijk een netwerk op ondernemingsniveau genoemd: een bedrijfscomputernetwerk (CN). CS is een intern particulier netwerk van een organisatie dat de computer-, communicatie- en informatiebronnen van deze organisatie combineert en bedoeld is voor de overdracht van elektronische gegevens, wat elke informatie kan zijn. Op basis van het bovenstaande kunnen we zeggen dat binnen de CS er is een speciaal beleid gedefinieerd dat de hardware en software beschrijft, regels voor het verkrijgen van gebruikers netwerkbronnen, netwerkbeheerregels, controle op het gebruik van hulpbronnen en verdere ontwikkeling van het netwerk. Een bedrijfsnetwerk is een netwerk van een individuele organisatie.

Een enigszins vergelijkbare definitie kan worden geformuleerd op basis van het concept van een bedrijfsnetwerk dat wordt gegeven in het werk van Olifer V.G. en Olifer N.D. “ Computernetwerken: principes, technologieën, protocollen”: elke organisatie is een reeks op elkaar inwerkende elementen (divisies), die elk hun eigen structuur kunnen hebben. De elementen zijn functioneel met elkaar verbonden, d.w.z. dat doen ze individuele soorten binnen werken enkel bedrijf proces, evenals informatie, het uitwisselen van documenten, faxen, schriftelijke en mondelinge opdrachten, enz. Bovendien interageren deze elementen met externe systemen, en hun interactie kan zowel informatief als functioneel zijn. En deze situatie geldt voor bijna alle organisaties, ongeacht het soort activiteit waarmee ze bezig zijn: voor een overheidsinstantie, bank, industriële onderneming, commerciële onderneming, enz.

Dit algemene beeld van de organisatie stelt ons in staat er enkele te formuleren algemene principes het bouwen van bedrijfsinformatiesystemen, d.w.z. informatiesystemen in de hele organisatie.

Een bedrijfsnetwerk is een systeem dat zorgt voor de overdracht van informatie tussen bedrijven diverse toepassingen gebruikt in het bedrijfssysteem. Een bedrijfsnetwerk is elk netwerk dat werkt via het TCP/IP-protocol en gebruikmaakt van internetcommunicatiestandaarden, evenals servicetoepassingen die gegevenslevering aan netwerkgebruikers verzorgen. Een bedrijf kan bijvoorbeeld creëren Webserver voor het publiceren van aankondigingen, productieschema's en andere officiële documenten. Toegang voor medewerkers benodigde documenten met behulp van webbrowsers.

Servers Webbedrijf netwerken kunnen diensten leveren aan gebruikers, soortgelijke diensten Internet, bijvoorbeeld werken met hypertekstpagina's(bevat tekst, hyperlinks, grafische afbeeldingen en geluidsopnamen), waarbij op verzoek de nodige middelen worden verstrekt Webclients, evenals toegang tot databases. In deze handleiding worden alle publicatieservices 'internetservices' genoemd, ongeacht waar ze worden gebruikt (op internet of op een bedrijfsnetwerk).

Een bedrijfsnetwerk is in de regel geografisch verspreid, d.w.z. het verenigen van kantoren, divisies en andere structuren die zich op aanzienlijke afstand van elkaar bevinden. De principes waarmee een bedrijfsnetwerk wordt opgebouwd, verschillen nogal van de principes die worden gebruikt bij het creëren van een lokaal netwerk. Deze beperking is van fundamenteel belang, en bij het ontwerpen van een bedrijfsnetwerk moeten alle maatregelen worden genomen om de hoeveelheid verzonden gegevens te minimaliseren. Anders mag het bedrijfsnetwerk geen beperkingen opleggen aan welke applicaties en hoe zij de informatie verwerken die eroverheen wordt overgedragen. Karakteristiek kenmerk Zo’n netwerk is dat het apparatuur bevat van verschillende fabrikanten en generaties, maar ook heterogene software die in eerste instantie niet gericht is op gezamenlijke dataverwerking.

Om verbinding te maken gebruikers op afstand voor het bedrijfsnetwerk is de eenvoudigste en meest betaalbare optie het gebruik van telefonische communicatie. Waar mogelijk kan gebruik worden gemaakt van ISDN-netwerken. Om netwerkknooppunten te verbinden, worden ze in de meeste gevallen gebruikt mondiale netwerken gegevensoverdracht. Zelfs waar het mogelijk is om speciale lijnen aan te leggen (bijvoorbeeld binnen dezelfde stad), maakt het gebruik van pakketschakelingstechnologieën het mogelijk om het aantal noodzakelijke communicatiekanalen te verminderen en, belangrijker nog, de compatibiliteit van het systeem met bestaande mondiale netwerken te garanderen.

Uw bedrijfsnetwerk verbinden met internet is gerechtvaardigd als u toegang nodig heeft tot relevante diensten. In veel werken is er een mening over verbinding met internet: het is de moeite waard om internet alleen als medium voor gegevensoverdracht te gebruiken als andere methoden niet beschikbaar zijn en financiële overwegingen zwaarder wegen dan de eisen van betrouwbaarheid en veiligheid. Als u internet alleen als informatiebron gaat gebruiken, kunt u beter gebruik maken van dial-on-demand-technologie, d.w.z. deze verbindingsmethode, wanneer een verbinding met een internetknooppunt alleen op uw initiatief en voor de tijd die u nodig heeft tot stand wordt gebracht. Dit vermindert het risico op ongeoorloofde toegang tot uw netwerk van buitenaf aanzienlijk.

Om gegevens binnen een bedrijfsnetwerk over te dragen, moet u ook gebruiken virtuele kanalen pakketgeschakelde netwerken. De belangrijkste voordelen van deze aanpak zijn veelzijdigheid, flexibiliteit en veiligheid

Als resultaat van het bestuderen van de structuur informatie netwerken(IP) en het technologieconcept voor gegevensverwerking wordt ontwikkeld informatiebeveiliging IS. Het concept weerspiegelt de volgende hoofdpunten:

• 1) Organisatie van het netwerk van de organisatie
• 2) bestaande bedreigingen voor de informatiebeveiliging, de mogelijkheid van implementatie daarvan en de verwachte schade als gevolg van deze implementatie;
• 3) organisatie van informatieopslag in de IS;
• 4) organisatie van informatieverwerking;
• 5) regulering van de toegang van personeel tot deze of gene informatie;
• 6) verantwoordelijkheid van het personeel voor het waarborgen van de veiligheid.

Bij de ontwikkeling van dit onderwerp wordt, gebaseerd op het hierboven gegeven concept van IS-informatiebeveiliging, een beveiligingsschema voorgesteld waarvan de structuur aan de volgende voorwaarden moet voldoen:

Bescherming tegen ongeoorloofde penetratie in het bedrijfsnetwerk en de mogelijkheid van informatielekken via communicatiekanalen.

Afbakening van informatiestromen tussen netwerksegmenten.

Bescherming van kritieke netwerkbronnen.

Cryptografische bescherming informatiebronnen.

Voor een gedetailleerde beschouwing van de bovenstaande beveiligingsvoorwaarden is het raadzaam om een ​​mening te geven: ter bescherming tegen ongeoorloofde penetratie en informatielekken wordt voorgesteld om firewalls of firewalls te gebruiken. In feite is een firewall een gateway die de functies vervult van het beschermen van een netwerk tegen ongeoorloofde toegang van buitenaf (bijvoorbeeld vanaf een ander netwerk).

Er zijn drie soorten firewalls:

Gateway op applicatieniveau Een gateway op applicatieniveau wordt vaak een proxyserver genoemd; hij fungeert als gegevensrelais voor een beperkt aantal gebruikersapplicaties. Dat wil zeggen, als de gateway een bepaalde applicatie niet ondersteunt, wordt de bijbehorende service niet geleverd en kunnen gegevens van het overeenkomstige type niet door de firewall gaan.

Filterende router. Filterrouter. Om precies te zijn, het is een router waarvan de extra functies onder meer een pakketfilterende router zijn. Gebruikt op pakketgeschakelde netwerken in datagrammodus. Dat wil zeggen, in die technologieën voor het verzenden van informatie over communicatienetwerken waarin het signaleringsvlak (voorlopige totstandbrenging van een verbinding tussen de UI en de UE) afwezig is (bijvoorbeeld IP V 4). In dit geval is de beslissing om een ​​binnenkomend datapakket via het netwerk te verzenden gebaseerd op de waarden van de headervelden transportlaag. Daarom worden firewalls van dit type doorgaans geïmplementeerd als een lijst met regels die worden toegepast op de waarden van de headervelden van de transportlaag.

Schakellaag-gateway. Schakelniveau-gateway - bescherming wordt geïmplementeerd op het besturingsvlak (op signaleringsniveau) door bepaalde verbindingen toe te staan ​​of te verbieden.

Een speciale plaats wordt gegeven aan de cryptografische bescherming van informatiebronnen in bedrijfsnetwerken. Omdat encryptie een van de meest betrouwbare manieren is om gegevens te beschermen tegen ongeoorloofde toegang. Een speciaal kenmerk van het gebruik van cryptografische hulpmiddelen is strikte wettelijke regelgeving. Momenteel worden ze in bedrijfsnetwerken alleen geïnstalleerd op die werkstations waar informatie van zeer hoge mate van belang is opgeslagen.

Dus volgens de classificatie van middelen voor cryptografische bescherming van informatiebronnen in bedrijfsnetwerken zijn ze onderverdeeld in:

Cryptosystemen met één sleutel worden vaak traditionele, symmetrische of single-key cryptosystemen genoemd. De gebruiker creëert een open bericht waarvan de elementen karakters zijn van een eindig alfabet. Er wordt een coderingssleutel gegenereerd om het geopende bericht te coderen. Een gecodeerd bericht wordt gegenereerd met behulp van een coderingsalgoritme

Het bovenstaande model zorgt ervoor dat de encryptiesleutel op dezelfde plaats wordt gegenereerd als het bericht zelf. Er is echter een andere oplossing voor het aanmaken van een sleutel mogelijk: de coderingssleutel wordt aangemaakt door een derde partij (sleuteldistributiecentrum), die door beide gebruikers wordt vertrouwd. In dit geval is de derde partij verantwoordelijk voor het leveren van de sleutel aan beide gebruikers. Over het algemeen gesproken, dit besluit is in tegenspraak met de essentie van cryptografie: het garanderen van geheimhouding doorgegeven informatie gebruikers.

Cryptosystemen met één sleutel gebruiken de principes van substitutie (vervanging), permutatie (transpositie) en compositie. Vervanging vervangt individuele karakters in een open bericht door andere karakters. Versleuteling op basis van het permutatieprincipe houdt in dat de volgorde van de tekens in een duidelijk bericht wordt gewijzigd. Om de betrouwbaarheid van de encryptie te vergroten, kan een gecodeerd bericht dat met een bepaald cijfer is ontvangen, opnieuw worden gecodeerd met een ander cijfer. Ze zeggen dat in dit geval een compositorische benadering werd gebruikt. Vandaar, symmetrische cryptosystemen(met één sleutel) kunnen worden ingedeeld in systemen die gebruik maken van substitutie-, permutatie- en compositiecijfers.

Cryptosysteem met openbare sleutel. Dit gebeurt alleen als gebruikers bij het versleutelen en ontsleutelen verschillende sleutels KO en KZ gebruiken. Dit cryptosysteem wordt asymmetrisch, twee-sleutel of publieke sleutel genoemd.

De ontvanger van het bericht (gebruiker 2) genereert een gerelateerd sleutelpaar:

KO is een publieke sleutel die publiek beschikbaar is en dus beschikbaar is voor de afzender van het bericht (gebruiker 1);

KS is een geheime, persoonlijke sleutel die alleen bekend blijft bij de ontvanger van het bericht (gebruiker 1).

Gebruiker 1, die de encryptiesleutel KO heeft, gebruikt een bepaald encryptie-algoritme om cijfertekst te genereren.

Gebruiker 2, die de geheime sleutel Kс bezit, heeft de mogelijkheid om de tegenovergestelde actie uit te voeren.

In dit geval bereidt gebruiker 1 een bericht voor aan gebruiker 2 en codeert dit bericht, alvorens het te verzenden, met behulp van de privésleutel KS. Gebruiker 2 kan dit bericht ontsleutelen met behulp van de publieke sleutel KO. Omdat het bericht is gecodeerd met de persoonlijke sleutel van de afzender, kan het fungeren als digitale handtekening. Bovendien is het in dit geval onmogelijk om het bericht te wijzigen zonder toegang tot de persoonlijke sleutel van gebruiker 1, dus het bericht lost ook het probleem op van het identificeren van de afzender en de gegevensintegriteit.

Tot slot zou ik willen zeggen dat het door het installeren van cryptografische beveiligingsmaatregelen mogelijk is om op betrouwbare wijze de werkplek van een medewerker van een organisatie die rechtstreeks werkt met informatie die van bijzonder belang is voor het voortbestaan ​​van deze organisatie te beschermen tegen ongeoorloofde toegang.

In een poging de levensvatbaarheid van een bedrijf te garanderen, concentreren beveiligingsteams zich op bescherming netwerkomtrek– diensten die beschikbaar zijn via internet. Het beeld van een duistere aanvaller die klaar staat om de gepubliceerde diensten van een bedrijf aan te vallen, waar ook ter wereld, maakt bedrijfseigenaren ernstig bang. Maar hoe eerlijk is dit, gezien dat het meest waardevolle informatie bevindt zich niet aan de rand van de organisatie, maar in de diepte ervan bedrijfsnetwerken? Hoe kan de evenredigheid van de infrastructuurbeveiliging tegen externe en interne aanvallen worden beoordeeld?

“Een schip in een haven is veilig, maar daar zijn schepen niet voor gebouwd”

Het gevoel van veiligheid is bedrieglijk

In de context van totale informatisering en mondialisering stellen bedrijven nieuwe eisen aan bedrijfsnetwerken; flexibiliteit en onafhankelijkheid komen op de voorgrond. bedrijfsbronnen in relatie tot haar eindgebruikers: medewerkers en partners. Om deze reden staan ​​de huidige bedrijfsnetwerken ver af van het traditionele concept van isolatie (ondanks het feit dat ze oorspronkelijk als zodanig werden gekarakteriseerd).

Stel je een kantoor voor: muren beschermen tegen buitenwereld scheidingswanden en muren verdelen de totale oppervlakte in kleinere gespecialiseerde zones: keuken, bibliotheek, servicekamers, werkplekken, enz. De overgang van zone naar zone vindt op bepaalde plaatsen plaats - in deuropeningen, en wordt daar indien nodig met extra middelen gecontroleerd: videocamera's, toegangscontrolesystemen, lachende bewakers... Als we zo'n kamer binnenkomen, voelen we ons veilig, er heerst een gevoel van vertrouwen en welwillendheid. Het is echter de moeite waard om te erkennen dat dit gevoel slechts een psychologisch effect is, gebaseerd op het “theater van veiligheid”, wanneer het doel van de activiteiten het verhogen van de veiligheid is, maar er in feite alleen maar een mening wordt gevormd over het bestaan ​​ervan. Als een aanvaller echt iets wil doen, zal het op kantoor zijn immers geen onoverkomelijke moeilijkheid worden, en misschien zelfs integendeel, er zullen extra mogelijkheden zijn.

Hetzelfde gebeurt in bedrijfsnetwerken. In omstandigheden waarin het mogelijk is om zich binnen een bedrijfsnetwerk te bevinden, zijn klassieke benaderingen om de veiligheid te garanderen onvoldoende. Feit is dat beveiligingsmethoden gebaseerd zijn op het interne dreigingsmodel en gericht zijn op het tegengaan van medewerkers die per ongeluk of opzettelijk, maar zonder de juiste kwalificaties, het beveiligingsbeleid schenden. Maar wat als er een ervaren hacker in zit? De kosten voor het overwinnen van de netwerkperimeter van een organisatie op de ondergrondse markt hebben voor elke organisatie een vrijwel vaste prijs en bedragen gemiddeld niet meer dan $ 500. Vanaf april 2016 wordt bijvoorbeeld de volgende prijslijst weergegeven op de zwarte markt van Dell voor hackservices:

Als gevolg hiervan kunt u bedrijfshacking kopen postbus, waarvan het account hoogstwaarschijnlijk geschikt zal zijn voor alle andere zakelijke diensten van het bedrijf vanwege het wijdverbreide principe van Single Sign-on-autorisatie. Of koop niet-traceerbare antivirusprogramma's polymorfe virussen en een phishing-e-mail gebruiken om onoplettende gebruikers te infecteren en zo de controle over een computer binnen het bedrijfsnetwerk over te nemen. Voor goed beveiligde netwerkperimeters wordt gebruik gemaakt van de tekortkomingen van het menselijk bewustzijn, bijvoorbeeld door nieuwe identificatiedocumenten aan te schaffen en gegevens te verkrijgen over het werk en persoonlijke leven van een medewerker van de organisatie door middel van cyberspionage. Men kan social engineering gebruiken en vertrouwelijke informatie.

Uit onze ervaring met het uitvoeren van penetratietesten blijkt dat in 83% van de gevallen de externe perimeter wordt gepenetreerd, en in 54% is hiervoor geen hooggekwalificeerde training vereist. Tegelijkertijd is volgens de statistieken ongeveer elke vijfde werknemer van het bedrijf bereid om willens en wetens hun inloggegevens te verkopen, inclusief van toegang op afstand, waardoor de penetratie van de netwerkperimeter aanzienlijk wordt vereenvoudigd. Onder dergelijke omstandigheden worden interne en externe aanvallers niet meer van elkaar te onderscheiden, wat leidt tot nieuwe uitdaging beveiliging van bedrijfsnetwerken.

Kritieke gegevens meenemen en niet beschermen

Binnen het bedrijfsnetwerk wordt het inloggen op alle systemen gecontroleerd en is dit alleen beschikbaar voor reeds geverifieerde gebruikers. Maar juist deze controle blijkt het eerder genoemde gebruikelijke ‘veiligheidstheater’ te zijn, aangezien de werkelijke stand van zaken er erg somber uitziet, en dit wordt bevestigd door statistieken over kwetsbaarheden van bedrijfsinformatiesystemen. Hier zijn enkele van de belangrijkste nadelen van bedrijfsnetwerken.

• Woordenboekwachtwoorden

Vreemd genoeg is het gebruik van zwakke wachtwoorden niet alleen typisch voor gewoon bedrijfspersoneel, maar ook voor IT-beheerders zelf. Vaak behouden diensten en apparatuur bijvoorbeeld standaardwachtwoorden die door de fabrikant zijn ingesteld, of wordt voor alle apparaten dezelfde basiscombinatie gebruikt. Een van de meest populaire combinaties is bijvoorbeeld het admin-account met het wachtwoord admin of wachtwoord. Ook populair korte wachtwoorden, bestaande uit kleine letters Latijns alfabet en eenvoudige numerieke wachtwoorden zoals 123456. Zo kunt u snel een wachtwoord bruut forceren, de juiste combinatie vinden en toegang krijgen tot bedrijfsbronnen.

• Het in duidelijke vorm opslaan van kritische informatie binnen het netwerk

Laten we ons een situatie voorstellen: een aanvaller heeft toegang gekregen tot intern netwerk, kunnen er hier twee scenario's zijn. In het eerste geval wordt de informatie in open vorm opgeslagen en loopt het bedrijf direct ernstige risico’s. In een ander geval worden de gegevens op het netwerk gecodeerd, wordt de sleutel op een andere plaats opgeslagen - en heeft het bedrijf de kans en tijd om de aanvaller te weerstaan ​​en belangrijke documenten tegen diefstal te behoeden.

• Gebruik verouderde versies besturingssystemen en hun componenten

Elke keer dat er een update wordt uitgebracht, wordt tegelijkertijd een whitepaper uitgebracht waarin wordt beschreven welke problemen en bugs in de update zijn opgelost. nieuwe versie. Als er een beveiligingsgerelateerd probleem is ontdekt, beginnen aanvallers dit onderwerp actief te onderzoeken gerelateerde fouten en op deze basis hacktools ontwikkelen.

Tot 50% van de bedrijven updatet zijn software niet of doet dit te laat. Begin 2016 had het Royal Melbourne Hospital last van computers die vastliepen Windows-besturing XP. Nadat het virus aanvankelijk op de computer van de pathologieafdeling was beland, verspreidde het zich snel over het netwerk en blokkeerde het enige tijd geautomatiseerd werk het hele ziekenhuis.

• Zelf ontwikkelde bedrijfsapplicaties gebruiken zonder beveiligingscontroles

De hoofdtaak van onze eigen ontwikkeling is functionele prestatie. Dergelijke applicaties hebben een lage veiligheidsdrempel en worden vaak vrijgegeven onder omstandigheden van schaarste aan middelen en goede ondersteuning van de fabrikant. Het product werkt echt, voert taken uit, maar is tegelijkertijd heel gemakkelijk te hacken en toegang te krijgen tot de benodigde gegevens.

• Gebrek aan effectief antivirusbescherming en andere beschermingsmiddelen

Er wordt aangenomen dat wat voor het oog van buitenaf verborgen is, beschermd is, dat wil zeggen dat het interne netwerk als het ware veilig is. Bewakers houden de externe perimeter nauwlettend in de gaten, en als deze zo goed wordt bewaakt, zal een hacker de interne perimeter niet binnendringen. Maar in feite implementeren bedrijven in 88% van de gevallen geen processen voor het detecteren van kwetsbaarheden, zijn er geen systemen voor inbraakpreventie en geen gecentraliseerde opslag van beveiligingsgebeurtenissen. Alles bij elkaar genomen garandeert dit niet effectief de veiligheid van een bedrijfsnetwerk.

Tegelijkertijd is de informatie die binnen het bedrijfsnetwerk is opgeslagen van grote betekenis voor de werking van de onderneming: klantendatabases in CRM-systemen en facturering, kritische bedrijfsindicatoren in ERP, zakelijke communicatie in de post, de documentstroom in portalen en bestandsbronnen, enz. p.

De grens tussen een bedrijfsnetwerk en een openbaar netwerk is zo vervaagd dat het erg moeilijk en duur is geworden om de beveiliging ervan volledig te controleren. Ze gebruiken immers bijna nooit tegenmaatregelen tegen diefstal of handel in accounts, nalatigheid van een netwerkbeheerder, bedreigingen geïmplementeerd via social engineering, enz. Wat aanvallers dwingt juist deze technieken te gebruiken om externe bescherming te overwinnen en dichter bij kwetsbare infrastructuur te komen met waardevollere informatie.

De oplossing kan het concept van informatiebeveiliging zijn, waarbij de veiligheid van interne en extern netwerk wordt geleverd op basis van een uniform dreigingsmodel en met de waarschijnlijkheid van transformatie van het ene type aanvaller in het andere.

Aanvallers versus verdedigers: wie zal er winnen?

Informatiebeveiliging als staat is alleen mogelijk in het geval van de ongrijpbare Joe – vanwege zijn nutteloosheid. De confrontatie tussen aanvallers en verdedigers vindt plaats op fundamenteel verschillende niveaus. Aanvallers hebben baat bij het schenden van de vertrouwelijkheid, beschikbaarheid of integriteit van informatie, en hoe efficiënter en effectiever hun werk is, hoe meer zij hiervan kunnen profiteren. Verdedigers profiteren helemaal niet van het beveiligingsproces; elke stap is een niet-restitueerbare investering. Dat is de reden dat risicogebaseerd veiligheidsmanagement wijdverspreid is geworden, waarbij de aandacht van verdedigers is gericht op de duurste (vanuit het oogpunt van schadebeoordeling) risico's met de laagste kosten om deze af te dekken. Risico's waarvan de dekkingskosten hoger zijn dan die van de beschermde hulpbron, worden bewust geaccepteerd of verzekerd. Het doel van deze aanpak is om de kosten voor het overwinnen van het zwakste beveiligingspunt van de organisatie zoveel mogelijk te verhogen. Kritieke services moeten dus goed worden beschermd, ongeacht waar de bron zich bevindt: binnen het netwerk of aan de netwerkrand.

De risicogebaseerde aanpak is slechts een noodzakelijke maatregel die het concept van informatiebeveiliging mogelijk maakt echte wereld. In feite plaatst het de verdedigers in een moeilijke positie: ze spelen hun spel als zwart en reageren alleen op opkomende daadwerkelijke dreigingen.

Kivsjenko Alexey, 1880

Dit artikel bevat een overzicht vijf opties voor het oplossen van het probleem van het organiseren van toegang tot bedrijfsnetwerkdiensten vanaf internet. De beoordeling biedt een analyse van opties voor veiligheid en haalbaarheid, waardoor zowel beginnende als meer ervaren specialisten de essentie van het probleem kunnen begrijpen, hun kennis kunnen opfrissen en systematiseren. De materialen in het artikel kunnen worden gebruikt om uw ontwerpbeslissingen te rechtvaardigen.

Laten we bij het overwegen van de opties als voorbeeld het netwerk nemen waarop u wilt publiceren:

1. Zakelijke mailserver (webmail).
2. Zakelijk terminal-server(RDP).
3. Extranetdienst voor tegenpartijen (Web-API).

Optie 1: plat netwerk

Bij deze optie bevinden alle knooppunten van het bedrijfsnetwerk zich in één gemeenschappelijk netwerk (“Intern netwerk”), waarbinnen de communicatie tussen hen niet beperkt is. Het netwerk is verbonden met internet via een borderrouter/firewall (hierna te noemen IFW).

Hosts hebben toegang tot internet via NAT en toegang tot internetdiensten via port forwarding.

Voordelen van de optie:

1. Minimale functionaliteitseisen IFW(kan op vrijwel elke router worden gedaan, zelfs op een thuisrouter).
2. Minimale kennisvereisten voor de specialist die de optie implementeert.

Nadelen van de optie:

1. Minimaal beveiligingsniveau. In het geval van een hack waarbij de indringer de controle verkrijgt over een van de servers die op internet zijn gepubliceerd, worden alle andere knooppunten en communicatiekanalen van het bedrijfsnetwerk voor hem beschikbaar voor verdere aanvallen.

Analogie met het echte leven
Zo’n netwerk is te vergelijken met een bedrijf waar personeel en klanten in één gemeenschappelijke ruimte (open space) zitten.


hrmaximum.ru

Optie 2. DMZ

Om het eerder genoemde nadeel te elimineren, worden netwerkknooppunten die toegankelijk zijn via internet in een speciaal aangewezen segment geplaatst: een gedemilitariseerde zone (DMZ). De DMZ is georganiseerd met behulp van firewalls die deze scheiden van internet ( IFW) en vanuit het interne netwerk ( DFW).


In dit geval zien de filterregels van de firewall er als volgt uit:

1. Vanuit het interne netwerk kunt u verbindingen tot stand brengen met de DMZ en met het WAN (Wide Area Network).
2. Vanuit de DMZ kunt u verbindingen met het WAN initiëren.
3. Vanuit het WAN kunt u verbindingen met de DMZ tot stand brengen.
4. Het initiëren van verbindingen vanaf het WAN en DMZ naar het interne netwerk is verboden.

Voordelen van de optie:

1. Verhoogde netwerkbeveiliging tegen het hacken van individuele services. Zelfs als een van de servers wordt gehackt, heeft de indringer geen toegang tot bronnen op het interne netwerk (bijvoorbeeld netwerkprinters, videobewakingssystemen, enz.).

Nadelen van de optie:

1. Het verplaatsen van servers naar de DMZ vergroot op zichzelf de veiligheid niet.
2. Er is een extra firewall nodig om de DMZ van het interne netwerk te scheiden.

Analogie met het echte leven
Deze versie van de netwerkarchitectuur is vergelijkbaar met de organisatie van werk- en klantgebieden in een bedrijf, waar klanten zich alleen in het klantengebied kunnen bevinden en het personeel zich zowel in het klantgebied als in het werkgebied kan bevinden. Het DMZ-segment is precies analoog aan de klantenzone.


autobam.ru

Optie 3. Diensten opsplitsen in Front-End en Back-End

Zoals eerder opgemerkt, verbetert het plaatsen van een server in een DMZ op geen enkele manier de veiligheid van de dienst zelf. Een van de opties om de situatie te corrigeren is om de functionaliteit van de service in twee delen te verdelen: Front-End en Back-End. Bovendien bevindt elk onderdeel zich op een aparte server, waartussen het wordt georganiseerd netwerken. Front-end-servers, die de functionaliteit van interactie met clients op internet implementeren, worden in de DMZ geplaatst, en back-end-servers, die de resterende functionaliteit implementeren, blijven op het interne netwerk achter. Voor interactie tussen hen op DFW maak regels die het initiëren van verbindingen van front-end naar back-end mogelijk maken.

Neem als voorbeeld een zakelijke e-mailservice die klanten zowel vanuit het netwerk als via internet bedient. Clients van binnenuit gebruiken POP3/SMTP, en clients van internet werken via de webinterface. Normaal gesproken kiezen bedrijven in de implementatiefase de eenvoudigste methode om de service in te zetten en plaatsen ze alle componenten op één server. Vervolgens, wanneer de noodzaak om informatiebeveiliging te garanderen wordt gerealiseerd, wordt de functionaliteit van de dienst in delen verdeeld en wordt het deel dat verantwoordelijk is voor het bedienen van klanten vanaf internet (Front-End) overgebracht naar aparte server, die via het netwerk communiceert met de server die de resterende functionaliteit implementeert (Back-End). In dit geval wordt de Front-End in de DMZ geplaatst en blijft de Back-End in het interne segment. Voor communicatie tussen Front-End en Back-End aan DFW maak een regel die het initiëren van verbindingen van front-end naar back-end toestaat.

Voordelen van de optie:

1. Over het algemeen kunnen aanvallen gericht tegen de beschermde dienst over de front-end ‘struikelen’, waardoor mogelijke schade wordt geneutraliseerd of aanzienlijk wordt verminderd. Aanvallen zoals TCP SYN Flood of slow http read gericht op een dienst zullen er bijvoorbeeld toe leiden dat de Front-End-server niet meer beschikbaar is, terwijl de Back-End normaal blijft functioneren en gebruikers van dienst zal zijn.
2. Over het algemeen heeft de Back-End-server mogelijk geen toegang tot internet, waardoor het, als deze wordt gehackt (bijvoorbeeld door lokaal kwaadaardige code uit te voeren), moeilijk wordt om deze op afstand vanaf internet te beheren.
3. Front-End is zeer geschikt voor het hosten van een firewall op applicatieniveau (bijvoorbeeld een firewall voor webapplicaties) of een inbraakpreventiesysteem (IPS, bijvoorbeeld snuiven).

Nadelen van de optie:

1. Voor communicatie tussen Front-End en Back-End aan DFW er wordt een regel gemaakt die het initiëren van een verbinding van de DMZ met het interne netwerk mogelijk maakt, wat bedreigingen met zich meebrengt die verband houden met het gebruik van deze regel van andere knooppunten in de DMZ (bijvoorbeeld door het implementeren van IP-spoofing-aanvallen, ARP-vergiftiging, enz.)
2. Niet alle diensten zijn onder te verdelen in Front-End en Back-End.
3. Het bedrijf moet bedrijfsprocessen implementeren voor het bijwerken van firewallregels.
4. Het bedrijf moet mechanismen implementeren ter bescherming tegen aanvallen van indringers die toegang hebben gekregen tot een server in de DMZ.

Opmerkingen

1. In het echte leven hebben servers uit de DMZ, zelfs zonder servers in front-end en back-end te verdelen, heel vaak toegang nodig tot servers op het interne netwerk, dus deze nadelen deze optie geldt ook voor de eerder overwogen optie.
2. Als we kijken naar de bescherming van applicaties die via de webinterface draaien, dan is zelfs als de server de scheiding van functies in front-end en back-end niet ondersteunt het gebruik van een http reverse proxy-server (bijvoorbeeld nginx) als oplossing Front-End minimaliseert de risico's die gepaard gaan met aanvallen op Denial of Service. SYN flood-aanvallen kunnen er bijvoorbeeld voor zorgen dat de http reverse proxy niet beschikbaar is terwijl de Back-End blijft werken.

Analogie met het echte leven
Deze optie is in wezen vergelijkbaar met de organisatie van het werk, waarbij assistenten - secretaresses - worden gebruikt voor zwaarbelaste werknemers. Dan zal de Back-End de analoog zijn van een drukke medewerker, en de Front-End de analoog van een secretaresse.


mln.kz

Optie 4: Veilige DMZ

De DMZ is een onderdeel van het netwerk dat toegankelijk is via internet en is daardoor onderhevig aan het maximale risico op hostcompromis. Het ontwerp van de DMZ en de daarin gebruikte benaderingen moeten maximale overlevingskansen bieden in omstandigheden waarin de indringer controle heeft gekregen over een van de knooppunten in de DMZ. Laten we als mogelijke aanvallen eens kijken naar aanvallen waarvoor bijna alle informatiesystemen die met standaardinstellingen werken, vatbaar zijn:

Bescherming tegen DHCP-aanvallen

Ondanks het feit dat DHCP bedoeld is om de configuratie van IP-adressen van werkstations te automatiseren, zijn er in sommige bedrijven gevallen waarin IP-adressen voor servers worden uitgegeven via DHCP, maar dit is een nogal slechte praktijk. Ter bescherming tegen Rogue DHCP Server wordt daarom DHCP-uithongering aanbevolen volledige mislukking van DHCP tot DMZ.

Bescherming tegen MAC-overstromingsaanvallen

Om u te beschermen tegen MAC-overstromingen, configureert u de switchpoorten zo dat de maximale intensiteit wordt beperkt uitgezonden verkeer(aangezien deze aanvallen doorgaans uitzendverkeer genereren). Aanvallen waarbij gebruik wordt gemaakt van specifieke (unicast) netwerkadressen worden geblokkeerd MAC-filtering, waar we eerder naar keken.

Bescherming tegen UDP-overstromingsaanvallen

Bescherming tegen van dit type aanvallen worden op dezelfde manier uitgevoerd als bescherming tegen MAC-overstromingen, behalve dat de filtering wordt uitgevoerd op IP-niveau (L3).

Bescherming tegen TCP SYN flood-aanvallen

Ter bescherming tegen deze aanval zijn de volgende opties mogelijk:

1. Beveiliging op het netwerkknooppunt met behulp van TCP SYN Cookie-technologie.
2. Bescherming op firewallniveau (afhankelijk van subnetten van de DMZ) door de intensiteit van het verkeer dat TCP SYN-verzoeken bevat te beperken.

Bescherming tegen aanvallen op netwerkdiensten en webapplicaties

Er bestaat geen universele oplossing voor dit probleem, maar de gevestigde praktijk is het implementeren van processen voor het beheer van softwarekwetsbaarheid (bijvoorbeeld identificatie, installatie van patches), evenals het gebruik van inbraakdetectie- en -preventiesystemen (IDS/IPS).

Bescherming tegen authenticatie-bypass-aanvallen

Wat het vorige geval betreft universele oplossing zo'n probleem bestaat niet.
Meestal worden accounts bij een groot aantal mislukte autorisatiepogingen geblokkeerd om te voorkomen dat authenticatiegegevens (bijvoorbeeld een wachtwoord) worden geraden. Maar deze aanpak is behoorlijk controversieel, en dit is waarom.
Ten eerste kan de indringer de selectie van authenticatie-informatie uitvoeren met een intensiteit die niet leidt tot het blokkeren van accounts (er zijn gevallen waarin het wachtwoord gedurende meerdere maanden werd geselecteerd met een interval tussen pogingen van enkele tientallen minuten).
Ten tweede kan deze functie worden gebruikt voor denial-of-service-aanvallen, waarbij de aanvaller opzettelijk zal uitvoeren groot aantal autorisatiepogingen om accounts te blokkeren.
De meest effectieve optie tegen aanvallen van deze klasse is het gebruik van IDS/IPS-systemen, die bij het detecteren van pogingen tot het raden van wachtwoorden niet het account zullen blokkeren, maar de bron van waaruit dit raden plaatsvindt (blokkeer bijvoorbeeld het IP-adres van de indringer).

De definitieve lijst met beschermende maatregelen voor deze optie:

1. De DMZ is verdeeld in IP-subnetten met voor elk knooppunt een afzonderlijk subnet.
2. IP-adressen worden handmatig toegewezen door beheerders. DHCP wordt niet gebruikt.
3. Op netwerkinterfaces, waarmee DMZ-nodes zijn verbonden, MAC- en IP-filtering, beperkingen op de intensiteit van broadcastverkeer en verkeer dat TCP SYN-verzoeken bevat, worden geactiveerd.
4. Automatische onderhandeling over poorttypen is uitgeschakeld op switches en het gebruik van native VLAN is verboden.
5. Er wordt een TCP SYN-cookie geconfigureerd op DMZ-knooppunten en interne netwerkservers waarmee deze knooppunten verbinding maken.
6. Beheer van softwarekwetsbaarheden is geïmplementeerd voor DMZ-nodes (en bij voorkeur de rest van het netwerk).
7. In het DMZ-segment worden IDS/IPS-inbraakdetectie- en -preventiesystemen geïmplementeerd.

Voordelen van de optie:

1. Hoge mate van veiligheid.

Nadelen van de optie:

1. Verhoogde eisen aan de functionaliteit van apparatuur.
2. Arbeidskosten voor implementatie en ondersteuning.

Analogie met het echte leven
Als we de DMZ eerder vergeleken met een klantenruimte uitgerust met banken en voetenbankjes, dan zal een beveiligde DMZ meer op een gepantserde kassa lijken.


valmax.com.ua

Optie 5. Terug verbinden

De beschermingsmaatregelen die in de vorige versie werden overwogen, waren gebaseerd op het feit dat er een apparaat op het netwerk was (switch / router / firewall) dat deze kon implementeren. Maar in de praktijk bijvoorbeeld bij het gebruik virtuele infrastructuur (virtuele schakelaars hebben vaak heel beperkte mogelijkheden), soortgelijk apparaat misschien niet.

Onder deze omstandigheden komen veel van de eerder besproken aanvallen beschikbaar voor de overtreder, waarvan de gevaarlijkste zijn:

• aanvallen waarmee u verkeer kunt onderscheppen en wijzigen (ARP-vergiftiging, CAM-tabeloverflow + TCP-sessiekaping, enz.);
• aanvallen gerelateerd aan het misbruiken van kwetsbaarheden in interne netwerkservers waarmee verbindingen kunnen worden geïnitieerd vanuit de DMZ (wat mogelijk is door filterregels te omzeilen DFW vanwege IP- en MAC-spoofing).

Het volgende belangrijke kenmerk, waar we nog niet eerder over hebben nagedacht, maar dat niet minder belangrijk is, is dat geautomatiseerde werkstations (AWS) van gebruikers ook een bron kunnen zijn (bijvoorbeeld wanneer ze zijn geïnfecteerd met virussen of Trojaanse paarden) van schadelijke effecten. op servers.

We worden dus geconfronteerd met de taak om de servers van het interne netwerk te beschermen tegen aanvallen van de indringer, zowel vanuit de DMZ als vanaf het interne netwerk (infectie van het werkstation met een Trojaans paard kan worden geïnterpreteerd als acties van de indringer vanaf het interne netwerk ).

De hieronder voorgestelde aanpak is gericht op het verminderen van het aantal kanalen waarmee een indringer servers kan aanvallen, en er zijn minstens twee van dergelijke kanalen. De eerste is de regel DFW, waardoor toegang tot de interne netwerkserver mogelijk is vanaf de DMZ (zelfs als deze beperkt is door IP-adressen), en de tweede is open op de server netwerk poort, waarop verbindingsaanvragen worden verwacht.

Dichtbij gespecificeerde kanalen dit is mogelijk als de interne netwerkserver zelf verbindingen opbouwt met de server in de DMZ en dit doet met behulp van cryptografisch beveiligde netwerkprotocollen. Dan zal er geen sprake zijn open poort, geen regels over DFW.

Maar het probleem is dat gewone serverdiensten niet weten hoe ze op deze manier moeten werken, en om deze aanpak te implementeren is het noodzakelijk om netwerktunneling te gebruiken, bijvoorbeeld geïmplementeerd met met behulp van SSH of VPN, en maken binnen de tunnels verbindingen mogelijk van de server in de DMZ naar de interne netwerkserver.

Algemeen schema De werking van deze optie ziet er als volgt uit:

1. Er is een SSH/VPN-server geïnstalleerd op de server in de DMZ, en een SSH/VPN-client is geïnstalleerd op de server in het interne netwerk.
2. De interne netwerkserver initieert de aanleg van een netwerktunnel naar de server in de DMZ. De tunnel is gebouwd met wederzijdse authenticatie van de client en server.
3. De server van de DMZ initieert binnen de aangelegde tunnel een verbinding met de server in het interne netwerk, waardoor de beveiligde gegevens worden verzonden.
4. Op de interne netwerkserver is een lokale firewall geconfigureerd om het verkeer dat door de tunnel gaat te filteren.

Het gebruik van deze optie in de praktijk heeft aangetoond dat het handig is om netwerktunnels te bouwen met OpenVPN, omdat het de volgende belangrijke eigenschappen heeft:

• Platformonafhankelijk. U kunt de communicatie organiseren op servers met verschillende besturingssystemen.
• Mogelijkheid om tunnels te bouwen met wederzijdse authenticatie van client en server.
• Mogelijkheid om gecertificeerde cryptografie te gebruiken.

Op het eerste gezicht lijkt het misschien zo dit schema is onnodig ingewikkeld en omdat je nog steeds een lokale firewall op de interne netwerkserver moet installeren, is het eenvoudiger om de server vanuit de DMZ, zoals gebruikelijk, verbinding te laten maken met de interne netwerkserver, maar doe dit via een gecodeerde verbinding. Deze optie zal inderdaad veel problemen oplossen, maar zal niet het belangrijkste kunnen bieden: bescherming tegen aanvallen op kwetsbaarheden in de interne netwerkserver die worden uitgevoerd door de firewall te omzeilen met behulp van IP- en MAC-spoofing.

Voordelen van de optie:

1. Architecturale reductie van het aantal aanvalsvectoren op de beschermde interne netwerkserver.
2. Zorgen voor veiligheid bij afwezigheid van filtering van netwerkverkeer.
3. Bescherming van gegevens die via het netwerk worden verzonden, tegen ongeoorloofde weergave en wijziging.
4. Het vermogen om selectief het beveiligingsniveau van diensten te verhogen.
5. De mogelijkheid om een ​​tweecircuitbeveiligingssysteem te implementeren, waarbij het eerste circuit wordt geleverd met behulp van firewalling, en het tweede wordt georganiseerd op basis van deze optie.

Nadelen van de optie:

1. Implementatie en onderhoud van deze beschermingsoptie vereist extra arbeidskosten.
2. Onverenigbaar met netwerk systemen inbraakdetectie en -preventie (IDS/IPS).
3. Extra rekenbelasting op servers.

Analogie met het echte leven
De belangrijkste betekenis van deze optie is dat een vertrouwd persoon een verbinding tot stand brengt met een niet-vertrouwd persoon, wat vergelijkbaar is met de situatie waarin de banken bij het verstrekken van leningen zelf de potentiële kredietnemer terugbellen om de gegevens te controleren.

Identificatie/authenticatie (IA) van operators moet in de hardware worden uitgevoerd vóór de opstartfase van het besturingssysteem. IA-databases moeten worden opgeslagen in het niet-vluchtige geheugen van informatiebeveiligingssystemen (IPS), zodanig georganiseerd dat toegang daartoe via een pc onmogelijk is, d.w.z. Niet-vluchtig geheugen moet zich buiten de pc-adresruimte bevinden.

Identificatie/authenticatie van externe gebruikers vereist, net als in het vorige geval, hardware-implementatie. Authenticatie mogelijk op verschillende manieren, inclusief elektronische digitale handtekening (EDS). De eis van “versterkte authenticatie” wordt verplicht, d.w.z. het periodiek herhalen van de procedure tijdens bedrijf met tijdsintervallen die klein genoeg zijn zodat de aanvaller geen aanzienlijke schade kan aanrichten als de bescherming wordt overwonnen.

2. Bescherming technische middelen van NSD

Middelen om computers te beschermen tegen ongeoorloofde toegang kunnen worden onderverdeeld in elektronische sloten (EL) en hardware vertrouwde opstartmodules (THM). Hun belangrijkste verschil is de manier waarop integriteitscontrole wordt geïmplementeerd. Elektronische sloten voer gebruikers-I/A-procedures uit in hardware, gebruik externe software om integriteitscontroleprocedures uit te voeren. ASMD implementeert in hardware zowel elektronische beveiligingsfuncties als integriteitsbewakingsfuncties en beheerfuncties.

Bewaken van de integriteit van de technische samenstelling van PC’s en LAN’s. Het bewaken van de integriteit van de technische samenstelling van de pc moet worden uitgevoerd door de SZI-controller voordat het besturingssysteem wordt geladen. Tegelijkertijd moeten alle bronnen die (potentieel) gedeeld kunnen worden, gecontroleerd worden, inclusief CPU, systeem-BIOS, diskettes, harde schijven en cd-roms.

De integriteit van de technische samenstelling van het LAN moet worden gewaarborgd door een procedure voor verbeterde netwerkauthenticatie. De procedure moet worden uitgevoerd in de fase waarin geverifieerde pc's met het netwerk worden verbonden en vervolgens op vooraf door de beveiligingsbeheerder bepaalde tijdsintervallen.

Bewaken van de integriteit van het besturingssysteem, d.w.z. integriteitsmonitoring van systeemgebieden en OS-bestanden moet door de controller worden uitgevoerd voordat het besturingssysteem wordt geladen om ervoor te zorgen dat echte gegevens worden gelezen. Omdat bij elektronisch documentbeheer verschillende besturingssystemen kunnen worden gebruikt, moet de in de controller ingebouwde software ondersteuning bieden voor de meest populaire bestandssystemen.

Bewaking van de applicatie-integriteit software(PPO) en gegevens kan worden uitgevoerd door hardware of softwarecomponent SZI.

3. Beperking van de toegang tot documenten, pc- en netwerkbronnen

Moderne besturingssystemen bevatten steeds vaker ingebouwde tools voor toegangscontrole. Deze hulpprogramma's maken doorgaans gebruik van functies van een specifiek bestandssysteem (FS) en zijn gebaseerd op kenmerken die zijn gekoppeld aan een van de API-lagen van het besturingssysteem. In dit geval doen zich onvermijdelijk de volgende twee problemen voor.

Bindend aan de kenmerken van het bestandssysteem. Moderne besturingssystemen gebruiken in de regel niet één, maar meerdere bestandssystemen - zowel nieuw als verouderd. Normaal gesproken werkt op een nieuwe FS de toegangscontrole die in het besturingssysteem is ingebouwd, maar op een oude FS werkt dit mogelijk niet, omdat er gebruik wordt gemaakt van aanzienlijke verschillen in de nieuwe FS.

Deze omstandigheid wordt doorgaans niet rechtstreeks in het certificaat vermeld, waardoor de gebruiker kan worden misleid. Om de compatibiliteit te garanderen, worden in dit geval oude bestandssystemen in het nieuwe besturingssysteem opgenomen.

Bindend aan de API van het besturingssysteem. In de regel veranderen besturingssystemen nu heel snel: eens in de anderhalf jaar. Het is mogelijk dat ze nog vaker zullen veranderen. Als de toegangscontrolekenmerken de samenstelling van de API weerspiegelen, schakel dan over naar moderne versie Het besturingssysteem moet de instellingen van het beveiligingssysteem opnieuw uitvoeren, personeel opnieuw trainen, enz.

Zo kan men formuleren algemene vereiste- het toegangscontrolesubsysteem moet op het besturingssysteem worden geplaatst en daardoor onafhankelijk zijn van het bestandssysteem. Uiteraard moet de samenstelling van de attributen voldoende zijn voor het doel van het beschrijven van het veiligheidsbeleid, en de beschrijving mag niet worden uitgevoerd in API-voorwaarden OS, maar dan in termen waarin systeembeveiligingsbeheerders gewend zijn te werken.

4.Bescherming van elektronische documenten

Bescherming elektronische uitwisseling informatie omvat twee soorten taken:

Het garanderen van de gelijkwaardigheid van het document tijdens zijn levenscyclus met de originele elektronische documentstandaard;

Waarborgen van de gelijkwaardigheid van toegepaste elektronische technologieën met referentietechnologieën.

Het doel van elke bescherming is om de stabiliteit van de gespecificeerde eigenschappen van het beschermde object op alle punten in de levenscyclus te garanderen. De veiligheid van een object wordt gerealiseerd door de standaard (het object op het initiële punt van ruimte en tijd) en het resultaat (het object op het moment van observatie) te vergelijken. Als er bijvoorbeeld op het waarnemingspunt (ontvangst van het elektronische document) slechts zeer beperkte contextuele informatie is over de standaard (de inhoud van het originele elektronische document), maar er is volledige informatie over het resultaat (waargenomen document), betekent dit dat het elektronische document attributen moet bevatten die de naleving van technische en technologische vereisten certificeren, namelijk de onveranderlijkheid van het bericht in alle stadia van de productie en het transport van het document. Een van de attribuutopties kunnen beveiligingsauthenticatiecodes (SCA) zijn.

Het document beschermen tijdens het maken ervan. Bij het maken van een document moet het door hardware worden gegenereerd beveiligingscode authenticatie. Een kopie van een elektronisch document opnemen op externe media vóór de ontwikkeling van de ZKA moet worden uitgesloten. Als het elektronische document door de operator wordt gegenereerd, moet de ZKA aan de operator worden gekoppeld. Als de EL door een AS-softwarecomponent wordt gegenereerd, moet de ZKA in combinatie met deze softwarecomponent worden gegenereerd.

Een document beveiligen tijdens verzending. De beveiliging van een document bij verzending via externe (open) communicatiekanalen moet plaatsvinden op basis van het gebruik van gecertificeerde cryptografische middelen, inclusief het gebruik digitale handtekening(EDS) voor elk verzonden document. Een andere optie is ook mogelijk: een stapel documenten wordt ondertekend met een elektronische digitale handtekening en elk afzonderlijk document wordt gecertificeerd door een ander analoog van een handgeschreven handtekening (HSA), bijvoorbeeld een ZKA.

Bescherming van het document tijdens de verwerking, opslag en uitvoering ervan. In deze fasen wordt de documentbeveiliging uitgevoerd met behulp van twee beveiligingscontroles: invoer en uitvoer voor elke fase. In dit geval moet de ZKA hardwarematig worden gegenereerd, waarbij de ZKA gekoppeld is aan het verwerkingsproces (stadium van de informatietechnologie). Voor het ontvangen document (met ZKA en digitale handtekening) wordt een tweede ZKA gegenereerd en pas daarna wordt de digitale handtekening verwijderd.

Een document beveiligen wanneer u er toegang toe krijgt externe omgeving. Het beschermen van een document bij toegang vanaf de externe omgeving omvat twee reeds beschreven mechanismen: identificatie/authenticatie van externe gebruikers en beperking van de toegang tot documenten, pc-bronnen en netwerk.

5. Gegevensbescherming in communicatiekanalen

Traditioneel worden om gegevens in een communicatiekanaal te beschermen kanaalversleutelaars gebruikt en worden niet alleen gegevens, maar ook besturingssignalen verzonden.

6. Bescherming informatietechnologie

Ondanks bepaalde overeenkomsten zijn de mechanismen voor het beschermen van de elektronische gegevens zelf als object (nummer, data) en voor het beschermen van de digitale gegevens als proces (functie, computeromgeving) radicaal verschillend. Bij de bescherming van informatietechnologie zijn, in tegenstelling tot de bescherming van elektronische gegevens, de kenmerken van de vereiste standaardtechnologie op betrouwbare wijze bekend, maar er is beperkte informatie over de vervulling van deze vereisten door de daadwerkelijk gebruikte technologie, d.w.z. resultaat. Het enige object dat informatie kan bevatten over de feitelijke technologie (als een reeks handelingen) is de ED zelf, of beter gezegd de attributen die daarin zijn opgenomen. Net als voorheen kan een van de typen van deze attributen ZKA zijn. De gelijkwaardigheid van technologieën kan nauwkeuriger worden vastgesteld naarmate het aantal functionele bewerkingen dat via de PCA aan de boodschap is gekoppeld, groter is. De mechanismen verschillen niet van de mechanismen die worden gebruikt om elektronische gegevens te beschermen. Bovendien kunnen we ervan uitgaan dat de aanwezigheid van een specifiek ZKA de aanwezigheid in technologisch proces overeenkomstige bewerking, en de ZKA-waarde karakteriseert de integriteit van het bericht in dit stadium technologisch proces.

7. Toegangscontrole tot datastromen

Om de toegang tot datastromen te beperken, worden doorgaans routers gebruikt die gebruik maken van cryptografische beveiligingsmaatregelen. In dergelijke gevallen speciale aandacht wordt gegeven sleutel systeem en beveiliging van sleutelopslag. De toegangsvereisten voor het afbakenen van streams verschillen van die voor het beperken van de toegang tot bestanden en mappen. Hier is alleen het eenvoudigste mechanisme mogelijk: toegang wordt toegestaan ​​of geweigerd.

Het voldoen aan de genoemde eisen garandeert een voldoende beveiligingsniveau voor elektronische documenten als het belangrijkste type berichten dat in informatiesystemen wordt verwerkt.

Momenteel ontwikkeld als technisch middel voor informatiebeveiliging hardwaremodule Trusted Boot (ATB), dat ervoor zorgt dat het besturingssysteem wordt geladen, ongeacht het type, voor een gebruiker die is geverifieerd door het beveiligingsmechanisme. De resultaten van de ontwikkeling van SZI NSD "Accord" (ontwikkeld door OKB SAPR) worden in massa geproduceerd en zijn tegenwoordig het bekendste middel om computers te beschermen tegen ongeoorloofde toegang in Rusland. Tijdens de ontwikkeling zijn specificaties gebruikt toepassingsgebied, weerspiegeld in de familie van hardware voor informatiebeveiliging bij elektronisch documentbeheer, die op verschillende niveaus gebruik maakt van authenticatiecodes (AC). Laten we voorbeelden bekijken van het gebruik van hardware.

1. In kassa's (CCM's) worden CA's gebruikt als middel om cheques te authenticeren als een van de soorten elektronische documenten. Elke kassa moet worden uitgerust met een intelligente fiscale geheugeneenheid (FP), die, naast de functies van het verzamelen van gegevens over verkoopresultaten, een aantal functies vervult:

Biedt bescherming voor kassasoftware en gegevens tegen ongeautoriseerde toegang;

Genereert authenticatiecodes voor zowel de kassa als elke cheque;

Ondersteunt een standaardinterface voor interactie met de belastinginspecteurmodule;

Biedt het verzamelen van fiscale gegevens voor indiening bij de belastingdienst, gelijktijdig met de balans.

Het ontwikkelde FP-blok “Accord-FP” is gemaakt op basis van het Accord informatiebeveiligingssysteem. Het is gekarakteriseerd de volgende kenmerken:

De functies van het informatiebeveiligingssysteem van de NSD zijn geïntegreerd met de functies van de FP;

Het FP-blok bevat ook niet-vluchtige PFC-registers;

De procedures van de belastinginspecteurmodule zijn ook geïntegreerd als integraal onderdeel van het Accord-FP-blok.

2. In het systeem voor het bewaken van de integriteit en het bevestigen van de authenticiteit van elektronische documenten (SKTSPD) in een geautomatiseerd systeem op federaal of regionaal niveau, is het fundamentele verschil de mogelijkheid om elk individueel document te beschermen. Dit systeem maakte controle mogelijk zonder het verkeer aanzienlijk te vergroten. De basis voor het creëren van een dergelijk systeem was de Accord-S B/KA-controller - een krachtige beveiligingscoprocessor die de functies van het genereren/verifiëren van authenticatiecodes implementeert.

Het regionale informatie- en rekencentrum (RICC) zorgt voor het beheer van de activiteiten van de SKTsPD als geheel, in interactie met alle geautomatiseerde werkstations van het ruimtevaartuig - de geautomatiseerde werkstations van deelnemende operators uitgerust met software- en hardwaresystemen "Accord-SB/KA" ( A-SB/KA) en software SKTSPD. Het RIVC zou twee geautomatiseerde werkstations moeten omvatten: AWP-K voor het maken van sleutels, en AWP-R voor het voorbereiden van een spreiding van verificatiegegevens.

3. Toepassing van authenticatiecodes in subsystemen van technologische informatiebescherming van elektronische gegevens. De basis voor de implementatie van hardware-informatiebeveiliging kan "Accord SB" en "Accord AMDZ" zijn (in termen van bescherming tegen ongeoorloofde toegang). Authenticatiecodes worden gebruikt om technologieën te beschermen. Authenticatiecodes voor elektronische documenten in het technologische worden gegenereerd en geverifieerd op authenticatiecodeservers (ACA) met behulp van sleuteltabellen (betrouwbaarheidstabellen) die zijn opgeslagen in het interne geheugen van de Accord-SB-coprocessors die in de SKA zijn geïnstalleerd. Betrouwbaarheidstabellen, afgesloten op afleversleutels, worden bij SKA afgeleverd en ingeladen intern geheugen coprocessors, waar de openbaarmaking ervan plaatsvindt. Leveringssleutels worden gegenereerd en geregistreerd op een gespecialiseerde geautomatiseerde medewerker plaats ARM-K en worden in de beginfase van het personalisatieproces in coprocessors geladen.

De ervaring met grootschalige praktische toepassing van meer dan 100.000 hardwarebeveiligingsmodules van het Accord-type in computersystemen van verschillende organisaties in Rusland en de buurlanden laat zien dat de focus op een software- en hardwareoplossing correct is gekozen, omdat deze grote mogelijkheden biedt voor verdere ontwikkeling. ontwikkeling en verbetering.

Conclusies

Het onderschatten van problemen op het gebied van informatiebeveiliging kan tot enorme schade leiden.

De groei van computercriminaliteit dwingt ons om aandacht te besteden aan informatiebeveiliging.

Het gebruik in de Russische praktijk van hetzelfde type massasoftware en hardware (bijvoorbeeld IBM-compatibele personal computers; besturingssystemen - Window, Unix, MS DOS, Netware, enz.) schept tot op zekere hoogte voorwaarden voor aanvallers.

De strategie voor het bouwen van een informatiebeveiligingssysteem moet gebaseerd zijn op alomvattende oplossingen, op de integratie van informatietechnologieën en beveiligingssystemen, op het gebruik van geavanceerde technieken en hulpmiddelen, en op universele industriëleeën.

Vragen voor zelfbeheersing

1. Noem de soorten bedreigingen voor informatie, geef een definitie van een bedreiging.

2. Welke methoden bestaan ​​er om informatie te beschermen?

3. Beschrijf toegangscontrole als een manier om informatie te beschermen. Wat is de rol en betekenis ervan?

4. Wat is het doel van cryptografische methoden voor het beschermen van informatie? Maak een lijst van ze.

5. Geef het concept van authenticatie en digitale handtekening. Wat is hun essentie?

6. Bespreek de problemen van informatiebeveiliging in netwerken en de mogelijkheden om deze op te lossen.

7. Onthul de kenmerken van een informatiebeschermingsstrategie met behulp van systematische aanpak, geïntegreerde oplossingen en het beginsel van integratie in de informatietechnologie.

8. Noem de stadia van het creëren van informatiebeveiligingssystemen.

9. Welke activiteiten zijn nodig voor implementatie technische bescherming technologieën voor elektronisch documentbeheer?

10. Wat is de essentie van de multiplicatieve benadering?

11. Welke procedures moeten worden gevolgd om het elektronische documentbeheersysteem te beschermen?

12. Welke functies voert een firewall uit?

Testen voor Ch. 5

Vul de ontbrekende begrippen en zinnen in.

1. Gebeurtenissen of acties die kunnen leiden tot ongeoorloofd gebruik, corruptie of vernietiging van informatie, worden...

2. Onder de bedreigingen voor de informatiebeveiliging moeten twee typen worden onderscheiden: ...

3. De opgesomde typen bestrijding van bedreigingen voor de informatiebeveiliging: obstructie, toegangscontrole, encryptie, regulering, dwang en aansporing hebben betrekking op... het waarborgen van informatiebeveiliging.

4. De volgende methoden om veiligheidsbedreigingen tegen te gaan: fysiek, hardware, software, organisatorisch, wetgevend, moreel en ethisch, fysiek hebben betrekking op... het garanderen van informatiebeveiliging.

5. Cryptografische methoden voor informatiebescherming zijn gebaseerd op de...

6. Het toewijzen van een unieke aanduiding aan een gebruiker om zijn naleving te bevestigen, wordt genoemd...

7. Het authenticeren van een gebruiker om zijn naleving te verifiëren, wordt genoemd...

8. De grootste bedreiging voor bedrijfsnetwerken houdt verband met:

a) met de heterogeniteit van informatiebronnen en technologieën;

b) met software en hardware;

c) met apparatuurstoringen. Kies de juiste antwoorden.

9. Het rationele niveau van informatiebeveiliging in bedrijfsnetwerken wordt primair geselecteerd op basis van de volgende overwegingen:

a) specificatie van beschermingsmethoden;

b) economische haalbaarheid;

c) verdedigingsstrategieën.

10. Een programma dat zich permanent in het geheugen van de computer bevindt en bewerkingen regelt die verband houden met het wijzigen van informatie op de computer. magnetische schijven, genaamd:

a) detector;

c) wachter;

d) een accountant.

11. Antivirusproducten zijn bedoeld:

a) om het systeem te testen;

b) om het programma tegen virussen te beschermen;

c) om programma's te controleren op de aanwezigheid van virussen en de behandeling ervan;

d) om het systeem te monitoren.