Menu
Jest wolny
rejestracja
Dom  /  Internet/ Zagrożenia w sieci firmowej i wskazówki dotyczące poprawy ochrony. Zapewnienie bezpieczeństwa w sieciach korporacyjnych Równoważenie zagrożeń i ochrona

Zagrożenia w sieci firmowej i wskazówki dotyczące poprawy ochrony. Zapewnienie bezpieczeństwa w sieciach korporacyjnych Równoważenie zagrożeń i ochrona

Systemy informatyczne, w których urządzenia transmisji danych należą do jednej firmy, są wykorzystywane tylko na potrzeby tej firmy, przyjęło się nazywać sieć ogólnokorporacyjną korporacyjną siecią komputerową (CS). KS to wewnętrzna prywatna sieć organizacji, która jednoczy zasoby komputerowe, komunikacyjne i informacyjne tej organizacji i jest przeznaczona do przesyłania danych elektronicznych, którymi mogą być dowolne informacje. został zdefiniowany w ramach KS, który opisuje używane narzędzia sprzętowe i programowe, zasady dotarcia użytkowników do zasobów sieciowych, zasady zarządzania siecią, kontrolę wykorzystania zasobów i dalszy rozwój sieci. Sieć korporacyjna to sieć oddzielnej organizacji.

Nieco podobną definicję można sformułować na podstawie koncepcji sieci korporacyjnej podanej w pracy V.G. Olifera. i Olifer N.D. „Sieci komputerowe: zasady, technologie, protokoły”: każda organizacja to zbiór współdziałających ze sobą elementów (działów), z których każdy może mieć własną strukturę. Elementy są ze sobą połączone funkcjonalnie, tj. wykonują określone rodzaje prac w ramach jednego procesu biznesowego, a także informacyjne, wymianę dokumentów, faksy, zlecenia pisemne i ustne itp. Ponadto elementy te wchodzą w interakcję z systemami zewnętrznymi, a ich interakcja może mieć również charakter informacyjny i funkcjonalny. I ta sytuacja dotyczy prawie wszystkich organizacji, bez względu na rodzaj działalności, w którą są zaangażowane - dla instytucji rządowej, banku, przedsiębiorstwa przemysłowego, firmy handlowej itp.

To ogólne spojrzenie na organizację pozwala na sformułowanie kilku ogólnych zasad budowy korporacyjnych systemów informatycznych, tj. systemy informacyjne w całej organizacji.

Sieć korporacyjna to system, który zapewnia transfer informacji pomiędzy różnymi aplikacjami używanymi w systemie korporacyjnym. Sieć firmowa to dowolna sieć korzystająca z protokołu TCP/IP i wykorzystująca standardy komunikacji internetowej, a także aplikacje usługowe, które zapewniają dostarczanie danych użytkownikom sieci. Na przykład firma może skonfigurować serwer sieci Web do publikowania ogłoszeń, harmonogramów produkcji i innych dokumentów usługowych. Pracownicy uzyskują dostęp do potrzebnych im dokumentów za pomocą przeglądarek internetowych.

Serwery WWW w sieci firmowej mogą świadczyć użytkownikom usługi podobne do Internetu, takie jak praca ze stronami hipertekstowymi (zawierającymi tekst, hiperłącza, grafikę i nagrania dźwiękowe), udostępnianie niezbędnych zasobów wymaganych przez klientów WWW oraz dostęp do baz danych. W tym przewodniku wszystkie usługi publikowania są określane jako „usługi internetowe”, niezależnie od tego, gdzie są używane (w Internecie lub w sieci firmowej).

Sieć korporacyjna z reguły jest rozproszona geograficznie, tj. łączenie biur, wydziałów i innych struktur położonych w znacznej odległości od siebie. Zasady, według których budowana jest sieć korporacyjna, różnią się znacznie od zasad stosowanych przy tworzeniu sieci lokalnej. To ograniczenie jest fundamentalne, a projektując sieć firmową, należy podjąć wszelkie środki, aby zminimalizować ilość przesyłanych danych. Co do reszty, sieć korporacyjna nie powinna nakładać ograniczeń na to, które aplikacje i jak przetwarzają przenoszone przez nią informacje. Cechą charakterystyczną takiej sieci jest to, że obsługuje ona sprzęt różnych producentów i generacji, a także heterogeniczne oprogramowanie, które początkowo nie jest zorientowane na wspólne przetwarzanie danych.

Aby podłączyć zdalnych użytkowników do sieci firmowej, najprostszą i najtańszą opcją jest użycie połączenia telefonicznego. W miarę możliwości można korzystać z sieci ISDN. Do połączenia węzłów sieci w większości przypadków wykorzystywane są globalne sieci transmisji danych. Nawet tam, gdzie istnieje możliwość ułożenia linii dedykowanych (np. w obrębie tego samego miasta), zastosowanie technologii komutacji pakietów pozwala zredukować liczbę wymaganych kanałów komunikacyjnych i - co ważne - zapewnić kompatybilność systemu z istniejącymi globalne sieci.

Podłączenie sieci firmowej do Internetu jest uzasadnione, jeśli potrzebujesz dostępu do odpowiednich usług. W wielu pracach pojawia się opinia o połączeniu z Internetem: Internet jako medium transmisji danych warto wykorzystywać tylko wtedy, gdy inne metody są niedostępne, a względy finansowe przeważają nad wymaganiami niezawodności i bezpieczeństwa. Jeśli będziesz korzystać z Internetu wyłącznie jako źródła informacji, najlepiej jest korzystać z technologii połączeń na żądanie. w taki sposób połączenia, gdy połączenie ze stroną internetową jest nawiązywane tylko z Twojej inicjatywy i w czasie, którego potrzebujesz. To znacznie zmniejsza ryzyko nieautoryzowanego dostępu do sieci z zewnątrz.

Do przesyłania danych w sieci firmowej warto również wykorzystać wirtualne obwody sieci z komutacją pakietów. Główne zalety tego podejścia to wszechstronność, elastyczność, bezpieczeństwo.

W wyniku badań struktury sieci informacyjnych (IS) oraz technologii przetwarzania danych opracowywana jest koncepcja bezpieczeństwa informacji SI. Koncepcja odzwierciedla następujące główne punkty:

  • 1) Organizacja sieci organizacji
  • 2) istniejące zagrożenia bezpieczeństwa informacji, możliwość ich realizacji oraz przewidywane szkody wynikające z tego wdrożenia;
  • 3) organizacja przechowywania informacji w SI;
  • 4) organizacja przetwarzania informacji;
  • 5) regulowanie dostępu personelu do tej lub innej informacji;
  • 6) odpowiedzialność personelu za zapewnienie bezpieczeństwa.

Rozwijając ten temat, w oparciu o przytoczoną powyżej koncepcję bezpieczeństwa informacji SI, proponuje się schemat bezpieczeństwa, którego struktura musi spełniać następujące warunki:

Ochrona przed nieuprawnionym przedostaniem się do sieci firmowej i możliwością wycieku informacji kanałami komunikacji.

Rozgraniczenie przepływów informacji między segmentami sieci.

Ochrona krytycznych zasobów sieciowych.

Kryptograficzna ochrona zasobów informacyjnych.

Dla szczegółowego rozpatrzenia powyższych warunków bezpieczeństwa wskazane jest wypowiedzenie się: w celu ochrony przed nieuprawnionym dostępem i wyciekiem informacji proponuje się stosowanie zapór ogniowych lub zapór ogniowych. W rzeczywistości zapora jest bramą, która chroni sieć przed nieautoryzowanym dostępem z zewnątrz (na przykład z innej sieci).

Istnieją trzy rodzaje zapór:

Brama warstwy aplikacji Brama warstwy aplikacji jest często nazywana serwerem proxy i działa jako przekaźnik danych dla ograniczonej liczby aplikacji użytkownika. Oznacza to, że jeśli brama nie obsługuje określonej aplikacji, odpowiednia usługa nie jest świadczona, a dane odpowiedniego typu nie mogą przejść przez zaporę.

Router filtrujący. Router filtrujący. Dokładniej jest to router, którego dodatkowymi funkcjami jest filtrowanie pakietów (router filtrujący pakiety). Używany w sieciach z komutacją pakietów w trybie datagramowym. To znaczy w tych technologiach przesyłania informacji w sieciach komunikacyjnych, w których nie ma płaszczyzny sygnalizacji (wstępne nawiązanie połączenia między UE a UE) (na przykład IP V 4). W takim przypadku decyzja o przesłaniu odebranego pakietu danych przez sieć opiera się na wartościach jego pól nagłówka warstwy transportowej. Dlatego tego typu zapory są zwykle implementowane jako lista reguł, które dotyczą wartości pól nagłówka transportu.

Przełączanie bramy warstwy. Bramka poziomu przełączania - ochrona jest realizowana w płaszczyźnie sterowania (na poziomie sygnalizacji) poprzez zezwolenie lub odmowę niektórych połączeń.

Szczególne miejsce zajmuje ochrona kryptograficzna zasobów informacyjnych w sieciach korporacyjnych. Ponieważ szyfrowanie jest jednym z najbardziej niezawodnych sposobów ochrony danych przed nieautoryzowanym dostępem. Cechą stosowania środków kryptograficznych są ścisłe regulacje prawne. Obecnie w sieciach korporacyjnych instaluje się je tylko na tych stanowiskach pracy, na których przechowywane są informacje o bardzo wysokim stopniu ważności.

Tak więc, zgodnie z klasyfikacją środków ochrony kryptograficznej zasobów informacyjnych w sieciach korporacyjnych, dzieli się je na:

Kryptosystemy z jednym kluczem są często określane jako tradycyjne, symetryczne lub jednokluczowe. Użytkownik tworzy otwartą wiadomość, której elementami są znaki ostatniego alfabetu. Generowany jest klucz szyfrowania w celu zaszyfrowania otwartej wiadomości. Zaszyfrowana wiadomość jest generowana przy użyciu algorytmu szyfrowania

Dany model zakłada, że ​​klucz szyfrujący jest generowany w tym samym miejscu, co sama wiadomość. Możliwe jest jednak inne rozwiązanie tworzenia klucza – klucz szyfrujący jest tworzony przez firmę trzecią (centrum dystrybucji kluczy), któremu ufają obaj użytkownicy. W takim przypadku za dostarczenie klucza obu użytkownikom odpowiada strona trzecia. Ogólnie rzecz biorąc, takie rozwiązanie jest sprzeczne z samą istotą kryptografii - zapewnieniem poufności przesyłanych informacji o użytkowniku.

Kryptosystemy z jednym kluczem wykorzystują zasady substytucji (zastępowania), permutacji (transpozycji) i kompozycji. Podstawienie zastępuje poszczególne znaki w otwartej wiadomości innymi znakami. Szyfrowanie permutacyjne polega na zmianie kolejności znaków w otwartej wiadomości. Aby poprawić siłę szyfrowania, zaszyfrowaną wiadomość uzyskaną przy użyciu określonego szyfru można ponownie zaszyfrować innym szyfrem. Mówią, że w tym przypadku stosuje się podejście kompozycyjne. W związku z tym symetryczne kryptosystemy (z jednym kluczem) można podzielić na systemy wykorzystujące szyfry podstawienia, permutacji i kompozycji.

Kryptosystem klucza publicznego. Ma to miejsce tylko wtedy, gdy użytkownicy używają różnych kluczy KО i KЗ podczas szyfrowania i deszyfrowania. Ten kryptosystem nazywa się asymetrycznym, dwukluczowym lub kluczem publicznym.

Odbiorca wiadomości (użytkownik 2) generuje powiązaną parę kluczy:

KО jest kluczem publicznym, który jest publicznie dostępny, a tym samym staje się dostępny dla nadawcy wiadomości (użytkownika 1);

KC to tajny klucz prywatny, który pozostaje znany tylko odbiorcy wiadomości (użytkownikowi 1).

Użytkownik 1, mający klucz szyfrowania KO, używa określonego algorytmu szyfrowania do utworzenia tekstu zaszyfrowanego.

Użytkownik 2, posiadający klucz prywatny Kc, ma możliwość wykonania odwrotnej akcji.

W tym przypadku użytkownik 1 przygotowuje wiadomość dla użytkownika 2 i przed jej wysłaniem szyfruje tę wiadomość przy użyciu klucza prywatnego KC. Użytkownik 2 może odszyfrować tę wiadomość za pomocą klucza publicznego KO. Ponieważ wiadomość została zaszyfrowana kluczem prywatnym nadawcy, może działać jako podpis cyfrowy. Ponadto w tym przypadku nie ma możliwości zmiany wiadomości bez dostępu do klucza prywatnego użytkownika 1, więc wiadomość rozwiązuje również problem identyfikacji nadawcy i integralności danych.

Na koniec chciałbym powiedzieć, że instalując kryptograficzne środki ochrony, można niezawodnie zabezpieczyć miejsce pracy pracownika organizacji, który bezpośrednio pracuje z informacjami, które mają szczególne znaczenie dla istnienia tej organizacji przed nieautoryzowanym dostępem.

Starając się zapewnić firmie rentowność, służby bezpieczeństwa koncentrują się na zabezpieczeniu obwodu sieci - usług dostępnych z Internetu. Wizerunek ponurego napastnika, który jest gotowy zaatakować opublikowane usługi firmy z dowolnego miejsca na świecie, poważnie przeraża właścicieli firm. Ale czy to uczciwe, biorąc pod uwagę, że najcenniejsze informacje nie znajdują się na obrzeżach organizacji, ale w głębinach jej sieci korporacyjnych? Jak ocenić proporcjonalność ochrony infrastruktury przed atakami zewnętrznymi i wewnętrznymi?

„Statek w porcie jest bezpieczny, ale statki nie są do tego budowane”

Poczucie bezpieczeństwa to oszukiwanie

W kontekście totalnej informatyzacji i globalizacji, biznes stawia przed sieciami korporacyjnymi nowe wymagania, elastyczność i niezależność zasobów korporacyjnych w stosunku do użytkowników końcowych: na pierwszy plan wysuwają się pracownicy i partnerzy. Z tego powodu dzisiejsze sieci korporacyjne są bardzo dalekie od tradycyjnego pojęcia izolacji (pomimo faktu, że pierwotnie były one jako takie definiowane).

Wyobraź sobie biuro: ściany chronią przed światem zewnętrznym, ścianki działowe i ścianki dzielą całą powierzchnię na mniejsze wyspecjalizowane strefy: kuchnię, bibliotekę, pomieszczenia usługowe, miejsca pracy itp. Przejście ze strefy do strefy następuje w określonych miejscach - w drzwiach, a w razie potrzeby jest tam również kontrolowana za pomocą dodatkowych środków: kamer wideo, systemów kontroli dostępu, uśmiechniętych strażników… Wchodząc do takiego pomieszczenia czujemy się bezpiecznie, jest poczucie zaufania i dobrej woli. Trzeba jednak przyznać, że uczucie to jest jedynie efektem psychologicznym opartym na „teatrze bezpieczeństwa”, kiedy celem podejmowanych działań jest zwiększenie bezpieczeństwa, ale w rzeczywistości powstaje jedynie opinia o jego istnieniu. W końcu, jeśli atakujący naprawdę chce coś zrobić, to przebywanie w biurze nie stanie się trudnością nie do pokonania, a być może wręcz przeciwnie, pojawią się dodatkowe możliwości.

To samo dzieje się w sieciach korporacyjnych. W środowisku, w którym istnieje możliwość przebywania w sieci korporacyjnej, klasyczne podejścia do bezpieczeństwa są niewystarczające. Faktem jest, że metody ochrony budowane są w oparciu o wewnętrzny model zagrożeń i mają na celu przeciwdziałanie pracownikom, którzy przypadkowo lub umyślnie, ale bez odpowiednich kwalifikacji, naruszają politykę bezpieczeństwa. Ale co, jeśli w środku jest wykwalifikowany haker? Koszt penetracji sieci organizacji na rynku podziemnym ma prawie stałą cenę dla każdej organizacji i średnio nie przekracza 500 USD. I tak np. na czarnym rynku usług hakerskich firmy Dell na kwiecień 2016 r. prezentowany jest następujący cennik:

W efekcie można kupić włamanie do firmowej skrzynki pocztowej, z której konto prawdopodobnie będzie pasować do wszystkich innych usług korporacyjnych firmy ze względu na wspólną zasadę autoryzacji Single Sign-on. Lub kup polimorficzne wirusy, które nie są śledzone przez programy antywirusowe i infekują nieostrożnych użytkowników za pomocą wysyłek phishingowych, przejmując w ten sposób kontrolę nad komputerem w sieci korporacyjnej. Na dobrze chronionych granicach sieci wykorzystuje się wady ludzkiej świadomości, np. kupując nowe dokumenty tożsamości i pozyskując dane o pracy i życiu osobistym pracownika organizacji poprzez zlecenie cyberszpiegostwa, można skorzystać z socjotechniki i pozyskać informacje poufne .

Nasze doświadczenie z testami penetracyjnymi pokazuje, że zewnętrzny obwód jest pokonywany w 83% przypadków, a w 54% nie wymaga to wysoko wykwalifikowanego szkolenia. Jednocześnie, według statystyk, mniej więcej co piąty pracownik firmy jest skłonny celowo sprzedawać swoje dane uwierzytelniające, w tym dostęp zdalny, co w ogromnym stopniu ułatwia pokonywanie granic sieci. W takich warunkach atakujący wewnętrzni i zewnętrzni stają się nie do odróżnienia, co stanowi nowe wyzwanie dla bezpieczeństwa sieci korporacyjnych.

Weź krytyczne dane i nie chroń

W sieci firmowej logowanie do wszystkich systemów jest monitorowane i dostępne tylko dla już uwierzytelnionych użytkowników. Ale to samo sprawdzenie okazuje się być zwykłym „teatrem bezpieczeństwa”, o którym wspomniano wcześniej, ponieważ rzeczywisty stan rzeczy wygląda bardzo ponuro, a potwierdzają to statystyki dotyczące podatności korporacyjnych systemów informatycznych. Oto niektóre z głównych wad sieci korporacyjnych.

  • Hasła słownikowe

Co dziwne, używanie słabych haseł jest powszechne nie tylko dla zwykłego personelu firmy, ale także dla samych administratorów IT. Tak więc np. często hasła ustawione przez producenta domyślnie pozostają w usługach i sprzęcie, albo dla wszystkich urządzeń stosowana jest ta sama elementarna kombinacja. Na przykład jedną z najpopularniejszych kombinacji jest admin z adminem lub hasłem. Popularne są również krótkie hasła składające się z małych liter alfabetu łacińskiego oraz proste hasła numeryczne, takie jak 123456. W ten sposób można wystarczająco szybko wymusić hasło, aby znaleźć poprawną kombinację i uzyskać dostęp do zasobów firmy.

  • Przechowywanie krytycznych informacji w sieci w postaci zwykłego tekstu

Wyobraź sobie sytuację: atakujący uzyskał dostęp do sieci wewnętrznej, mogą istnieć dwa scenariusze rozwoju wydarzeń. W pierwszym przypadku informacje są przechowywane w formie otwartej, a firma natychmiast ponosi poważne ryzyko. W przeciwnym razie dane w sieci są szyfrowane, klucz jest przechowywany w innym miejscu - a firma ma szansę i czas stawić opór atakującemu i uratować ważne dokumenty przed kradzieżą.

  • Korzystanie z przestarzałych wersji systemów operacyjnych i ich komponentów

Za każdym razem, gdy publikowana jest aktualizacja, w tym samym czasie publikowana jest biała księga, w której szczegółowo opisuje, jakie błędy i błędy zostały naprawione w nowej wersji. W przypadku wykrycia problemu dotyczącego bezpieczeństwa osoby atakujące zaczynają aktywnie badać ten temat, znajdować powiązane błędy i na tej podstawie opracowywać narzędzia hakerskie.

Aż 50% firm albo nie aktualizuje swojego oprogramowania, albo robi to za późno. Na początku 2016 r. Royal Melbourne Hospital cierpiał z powodu tego, że jego komputery działały pod kontrolą systemu Windows XP. Początkowo trafiając na komputer oddziału patologii, wirus szybko rozprzestrzenił się w sieci, blokując na pewien czas zautomatyzowane działanie całego szpitala.

  • Korzystanie z samodzielnie opracowanych aplikacji biznesowych bez kontroli bezpieczeństwa

Głównym zadaniem naszego własnego rozwoju jest wydajność funkcjonalna. Takie aplikacje mają niski próg bezpieczeństwa i często są uwalniane w warunkach niedoboru zasobów i odpowiedniego wsparcia producenta. Produkt faktycznie działa, wykonuje zadania, ale jednocześnie bardzo łatwo go zhakować i uzyskać dostęp do niezbędnych danych.

  • Brak skutecznej ochrony antywirusowej i innych środków ochrony

Uważa się, że to, co ukryte z zewnątrz, jest chronione, to znaczy sieć wewnętrzna jest niejako bezpieczna. Ochroniarze ściśle monitorują teren zewnętrzny, a jeśli jest tak dobrze strzeżony, wewnętrzny haker nie dostanie się do środka. W rzeczywistości w 88% przypadków firmy nie wdrażają procesów wykrywania luk w zabezpieczeniach, nie istnieją systemy zapobiegania włamaniom ani scentralizowane przechowywanie zdarzeń związanych z bezpieczeństwem. Podsumowując, nie zapewnia to skutecznie bezpieczeństwa sieci firmowej.

Jednocześnie informacje przechowywane w sieci korporacyjnej mają duże znaczenie dla funkcjonowania przedsiębiorstwa: bazy klientów w systemach CRM i bilingu, krytyczne wskaźniki biznesowe w ERP, komunikacja biznesowa w poczcie, obieg dokumentów zawartych na portale i zasoby plikowe itp. NS.

Granica między siecią korporacyjną a publiczną została tak zatarta, że ​​pełna kontrola nad jej bezpieczeństwem stała się bardzo trudna i kosztowna. W końcu prawie nigdy nie stosują środków zaradczych przeciwko kradzieży lub handlowi kontami, zaniedbaniu administratora sieci, zagrożeniom wdrażanym za pomocą socjotechniki itp. Co sprawia, że ​​atakujący wykorzystują te metody obchodzenia ochrony zewnętrznej i zbliżają się do wrażliwej infrastruktury z bardziej cennymi informacjami.

Rozwiązaniem może być koncepcja bezpieczeństwa informacji, w której bezpieczeństwo sieci wewnętrznej i zewnętrznej jest zapewnione w oparciu o jeden model zagrożenia i z prawdopodobieństwem przekształcenia jednego typu napastnika w inny.

Atakujący kontra obrońcy – kto to zdobędzie?

Bezpieczeństwo informacji jako państwa jest możliwe tylko w przypadku nieuchwytnego Joe - z powodu jego bezużyteczności. Konfrontacja między atakującymi a obrońcami odbywa się na zasadniczo różnych poziomach. Atakujący czerpią korzyści z naruszenia poufności, dostępności lub integralności informacji, a im bardziej są wydajni i skuteczni, tym więcej mogą uzyskać korzyści. Z drugiej strony obrońcy w ogóle nie korzystają z procesu zabezpieczenia, każdy krok jest inwestycją bezzwrotną. Dlatego szeroko rozpowszechniło się zarządzanie bezpieczeństwem oparte na ryzyku, w którym uwaga obrońców skupia się na najdroższych (pod względem oceny szkód) zagrożeniach o najniższych kosztach ich pokrycia. Ryzyka o nakładającej się cenie wyższej niż chroniony zasób są celowo akceptowane lub ubezpieczone. Celem takiego podejścia jest maksymalne zwiększenie kosztów pokonania najmniejszej luki w zabezpieczeniach organizacji, dlatego krytyczne usługi muszą być dobrze chronione, niezależnie od tego, czy zasób ten znajduje się w sieci, czy na jej obrzeżach.

Podejście oparte na ryzyku jest tylko wymuszonym środkiem, który pozwala na zaistnienie koncepcji bezpieczeństwa informacji w świecie rzeczywistym. W rzeczywistości stawia to obrońców w trudnej sytuacji: grają czarnymi, reagując tylko na pojawiające się zagrożenia.

Metody ochrony informacji w przedsiębiorstwie, a także sposoby ich pozyskiwania ulegają ciągłym zmianom. Regularnie pojawiają się nowe oferty firm świadczących usługi bezpieczeństwa informacji. Oczywiście nie ma panaceum, ale istnieje kilka podstawowych kroków do budowy ochrony systemu informatycznego przedsiębiorstwa, na które zdecydowanie należy zwrócić uwagę.

Wiele osób prawdopodobnie zna koncepcję głębokiej ochrony przed włamaniem do sieci informacyjnej. Jego główną ideą jest wykorzystanie kilku poziomów obrony. Pozwoli to co najmniej zminimalizować szkody związane z możliwym naruszeniem granic bezpieczeństwa Twojego systemu informatycznego.
Następnie rozważymy ogólne aspekty bezpieczeństwa komputerowego, a także stworzymy pewną listę kontrolną, która służy jako podstawa do budowy podstawowej ochrony systemu informatycznego przedsiębiorstwa.

1. Firewall (firewall, firewall)

Zapora ogniowa lub zapora ogniowa to pierwsza linia obrony, która napotyka intruzów.
W zależności od poziomu kontroli dostępu rozróżnia się następujące typy zapór:

  • W najprostszym przypadku filtrowanie pakietów sieciowych odbywa się według ustalonych reguł, tj. na podstawie adresów źródłowych i docelowych pakietów sieciowych, numerów portów sieciowych;
  • Zapora stanowa. Monitoruje aktywne połączenia i odrzuca sfałszowane pakiety, które naruszają specyfikacje TCP/IP;
  • Zapora na poziomie aplikacji. Filtry oparte na analizie danych aplikacji przekazywanych w ramach pakietu.

Zwiększona dbałość o bezpieczeństwo sieci oraz rozwój e-commerce doprowadziły do ​​tego, że coraz większa liczba użytkowników wykorzystuje do ochrony połączenia szyfrowane (SSL, VPN). To sprawia, że ​​analiza ruchu przechodzącego przez firewalle jest dość trudna. Jak można się domyślić, te same technologie są wykorzystywane przez twórców złośliwego oprogramowania. Wirusy wykorzystujące szyfrowanie ruchu stały się praktycznie nie do odróżnienia od legalnego ruchu użytkowników.

2. Wirtualne sieci prywatne (VPN)

Szczególnie niebezpieczne dla informacji firmowych są sytuacje, w których pracownik potrzebuje dostępu do zasobów firmy z miejsc publicznych (Wi-Fi na lotnisku lub w hotelu) lub z domu (administratorzy nie kontrolują sieci domowej pracowników). Aby je chronić, wystarczy użyć zaszyfrowanych tuneli VPN. Bezpośredni dostęp do zdalnego pulpitu (RDP) bez szyfrowania nie wchodzi w rachubę. To samo dotyczy korzystania z oprogramowania firm trzecich: Teamviewer, Aammy Admin itp. aby uzyskać dostęp do sieci służbowej. Ruch przez te programy jest szyfrowany, ale przechodzi przez serwery twórców tego oprogramowania poza Twoją kontrolą.

Wady VPN obejmują względną złożoność wdrożenia, dodatkowe koszty kluczy uwierzytelniania i wzrost przepustowości Internetu. Klucze uwierzytelniania również mogą zostać złamane. Skradzione urządzenia mobilne firmy lub pracowników (laptopy, tablety, smartfony) ze wstępnie skonfigurowanymi ustawieniami połączenia VPN mogą stać się potencjalną dziurą dla nieautoryzowanego dostępu do zasobów firmy.

3. Systemy wykrywania i zapobiegania włamaniom (IDS, IPS)

Intrusion Detection System (IDS) to narzędzie programowe lub sprzętowe przeznaczone do wykrywania faktów nieautoryzowanego dostępu do systemu komputerowego (sieci) lub nieautoryzowanej kontroli takiego systemu. W najprostszym przypadku taki system pomaga wykryć skany portów sieciowych w systemie lub próby zalogowania się do serwera. W pierwszym przypadku oznacza to wstępne rozpoznanie przez atakującego, a w drugim próbę włamania się do Twojego serwera. Możesz także wykryć ataki mające na celu podniesienie uprawnień w systemie, nieautoryzowany dostęp do ważnych plików oraz aktywność złośliwego oprogramowania. Zaawansowane przełączniki sieciowe umożliwiają łączenie systemów wykrywania włamań za pomocą funkcji dublowania portów lub podsłuchów ruchu.

Intrusion Prevention System (IPS) to programowy lub sprzętowy system bezpieczeństwa, który aktywnie blokuje wykryte włamania. W przypadku wykrycia włamania, podejrzany ruch sieciowy może zostać automatycznie zablokowany, a powiadomienie o tym jest natychmiast wysyłane do administratora.

4. Ochrona antywirusowa

Oprogramowanie antywirusowe jest obecnie główną linią obrony większości firm. Według firmy badawczej Gartner wielkość rynku oprogramowania antywirusowego w 2012 r. wyniosła 19,14 mld USD.Główni konsumenci to segment średnich i małych firm.

Przede wszystkim ochrona antywirusowa skierowana jest na urządzenia klienckie i stacje robocze. Wersje biznesowe antywirusów zawierają funkcje scentralizowanego zarządzania służące do przesyłania aktualizacji antywirusowych baz danych na urządzenia klienckie, a także możliwość centralnego konfigurowania polityk bezpieczeństwa. Oferta firm antywirusowych obejmuje specjalistyczne rozwiązania dla serwerów.
Biorąc pod uwagę, że większość infekcji złośliwym oprogramowaniem następuje w wyniku działań użytkownika, pakiety antywirusowe oferują kompleksowe opcje ochrony. Na przykład ochrona programów pocztowych, czatów, sprawdzanie stron odwiedzanych przez użytkowników. Ponadto pakiety antywirusowe coraz częściej zawierają zapory programowe, mechanizmy proaktywnej obrony i mechanizmy filtrowania spamu.

5. Białe listy

Co to jest biała lista? Istnieją dwa główne podejścia do bezpieczeństwa informacji. Pierwsze podejście zakłada, że ​​system operacyjny może domyślnie uruchamiać dowolne aplikacje, jeśli nie zostały one wcześniej umieszczone na czarnej liście. Z drugiej strony drugie podejście zakłada, że ​​tylko te programy, które wcześniej znajdowały się na „białej liście”, mogą być uruchamiane, a wszystkie inne programy są domyślnie blokowane. Drugie podejście do bezpieczeństwa jest oczywiście bardziej preferowane w świecie korporacyjnym. Białe listy można tworzyć za pomocą wbudowanych narzędzi systemu operacyjnego lub oprogramowania innych firm. Oprogramowanie antywirusowe często oferuje tę funkcję w swoim składzie. Większość aplikacji antywirusowych, które oferują filtrowanie białej listy, pozwala na bardzo szybką konfigurację początkową przy minimalnej uwadze użytkownika.

Mogą jednak wystąpić sytuacje, w których zależności plików programów umieszczonych na białej liście nie zostały poprawnie zidentyfikowane przez Ciebie lub oprogramowanie antywirusowe. Spowoduje to awarię aplikacji lub niepoprawną instalację. Ponadto biała lista jest bezsilna wobec ataków wykorzystujących luki w przetwarzaniu dokumentów przez programy umieszczone na białej liście. Należy również zwrócić uwagę na najsłabsze ogniwo jakiejkolwiek ochrony: sami pracownicy w pośpiechu mogą zignorować ostrzeżenie oprogramowania antywirusowego i dodać złośliwe oprogramowanie do białej listy.

6. Filtrowanie spamu

Wysyłki spamowe są często wykorzystywane do przeprowadzania ataków phishingowych, które są wykorzystywane do wstrzykiwania trojana lub innego złośliwego oprogramowania do sieci korporacyjnej. Użytkownicy, którzy codziennie przetwarzają duże ilości wiadomości e-mail, są bardziej podatni na wiadomości phishingowe. Dlatego zadaniem działu IT firmy jest odfiltrowanie maksymalnej ilości spamu z ogólnego przepływu poczty.

Główne sposoby filtrowania spamu:

  • Wyspecjalizowani dostawcy usług filtrowania spamu;
  • Oprogramowanie do filtrowania spamu na naszych własnych serwerach pocztowych;
  • Specjalistyczne rozwiązania sprzętowe wdrożone w korporacyjnym centrum danych.

7. Aktualna obsługa oprogramowania

Terminowe aktualizacje oprogramowania i stosowanie najnowszych poprawek zabezpieczeń są ważnym elementem ochrony sieci firmowej przed nieautoryzowanym dostępem. Dostawcy oprogramowania zwykle nie dostarczają pełnych informacji na temat nowo wykrytej luki w zabezpieczeniach. Jednak ogólny opis luki wystarczy, aby cyberprzestępcy napisali oprogramowanie, które wykorzysta tę lukę dosłownie w kilka godzin po opublikowaniu opisu nowej dziury i poprawki do niej.
W rzeczywistości jest to dość duży problem dla małych i średnich firm, ponieważ zwykle używa się szerokiej gamy oprogramowania różnych producentów. Często aktualizacjom całej floty oprogramowania nie poświęca się należytej uwagi i jest to praktycznie otwarte okno w systemie bezpieczeństwa przedsiębiorstwa. Obecnie duża liczba oprogramowania jest aktualizowana niezależnie od serwerów producenta, co częściowo eliminuje problem. Dlaczego się rozstać? Ponieważ serwery producenta mogą zostać zhakowane i pod przykrywką legalnych aktualizacji otrzymasz nowe złośliwe oprogramowanie. A także sami producenci czasami wypuszczają aktualizacje, które zakłócają normalne działanie ich oprogramowania. W krytycznych obszarach działalności jest to niedopuszczalne. Aby zapobiec takim incydentom, wszystkie otrzymane aktualizacje, po pierwsze, muszą być zastosowane natychmiast po ich wydaniu, a po drugie, muszą być dokładnie przetestowane przed zastosowaniem.

8. Bezpieczeństwo fizyczne

Fizyczne bezpieczeństwo sieci firmowej to jeden z najważniejszych czynników, którego nie można przecenić. Mając fizyczny dostęp do urządzenia sieciowego, atakujący w większości przypadków z łatwością uzyska dostęp do Twojej sieci. Na przykład, jeśli istnieje fizyczny dostęp do przełącznika, a sieć nie filtruje adresów MAC. Chociaż filtrowanie adresów MAC nie uratuje Cię w tym przypadku. Kolejnym problemem jest kradzież lub zaniedbanie dysków twardych po wymianie w serwerze lub innym urządzeniu. Biorąc pod uwagę, że znalezione tam hasła można odszyfrować, szafy serwerowe i pomieszczenia lub skrzynki sprzętowe muszą być zawsze niezawodnie chronione przed intruzami.

Poruszyliśmy tylko kilka najczęstszych aspektów bezpieczeństwa. Ważne jest również zwrócenie uwagi na szkolenia użytkowników, okresowy niezależny audyt bezpieczeństwa informacji, tworzenie i przestrzeganie rzetelnej polityki bezpieczeństwa informacji.
Należy pamiętać, że ochrona sieci firmowej to złożony temat, który stale się zmienia. Musisz mieć pewność, że firma nie polega tylko na jednej lub dwóch liniach obrony. Zawsze staraj się być na bieżąco z najnowszymi informacjami i świeżymi rozwiązaniami na rynku bezpieczeństwa informacji.

Skorzystaj z niezawodnej ochrony swojej sieci firmowej w ramach usługi „obsługa komputerów firmowych” w Nowosybirsku.

Dziś na naszym blogu postanowiliśmy poruszyć aspekty bezpieczeństwa sieci firmowych. Pomoże nam w tym dyrektor techniczny LWCOM Michaił Ljubimow.

Dlaczego ten temat bezpieczeństwa sieci jest niezwykle istotny we współczesnym świecie?

Ze względu na niemal wszechobecną dostępność szerokopasmowego Internetu, większość działań na urządzeniach wykonywana jest za pośrednictwem sieci, dlatego dla 99% współczesnych zagrożeń to właśnie sieć jest transportem, za pomocą którego zagrożenie dostarczane jest od źródła do celu. Oczywiście rozprzestrzenianie się złośliwego kodu jest możliwe przy użyciu nośników wymiennych, ale ta metoda jest obecnie coraz rzadziej wykorzystywana, a większość firm od dawna nauczyła się radzić sobie z takimi zagrożeniami.

Co to jest sieć danych?

Narysujmy najpierw w uproszczony i zrozumiały sposób architekturę klasycznej korporacyjnej sieci danych.

Sieć transmisji danych zaczyna się od przełącznika poziomu dostępu. Do tego przełącznika są bezpośrednio podłączone stacje robocze: komputery, laptopy, drukarki, urządzenia wielofunkcyjne i różne inne, na przykład bezprzewodowe punkty dostępowe. W związku z tym można mieć dużo sprzętu, można go podłączyć do sieci w zupełnie innych miejscach (piętra lub nawet oddzielne budynki).

Zazwyczaj korporacyjna sieć transmisji danych budowana jest w topologii „gwiazdy”, więc współdziałanie wszystkich segmentów ze sobą zapewni sprzęt na poziomie rdzenia sieci. Na przykład można użyć tego samego przełącznika, ale zwykle tylko w bardziej wydajnej i funkcjonalnej wersji w porównaniu do tych używanych na poziomie dostępu.

Serwery i systemy przechowywania danych są zwykle skonsolidowane w jednym miejscu i z punktu widzenia sieci transmisji danych mogą być podłączone albo bezpośrednio do sprzętu rdzeniowego, albo mogą mieć przydzielony do tych celów pewien segment sprzętu dostępowego.

Ponadto posiadamy sprzęt do interfejsu z zewnętrznymi sieciami transmisji danych (np. Internet). Zazwyczaj firmy wykorzystują do tych celów urządzenia, routery, zapory i różnego rodzaju serwery proxy. Służą również do organizowania komunikacji z rozproszonymi biurami firmy oraz do łączenia zdalnych pracowników.

Tak powstała architektura lokalnej sieci komputerowej, prosta do zrozumienia i wspólna dla współczesnych realiów.

Jaka jest obecna klasyfikacja zagrożeń?

Zdefiniujmy główne cele i kierunki ataków w ramach interakcji sieciowej.

Najczęstszym i najprostszym celem ataku jest urządzenie użytkownika. Łatwo jest rozprzestrzeniać złośliwe oprogramowanie w tym kierunku za pośrednictwem treści w zasobach internetowych lub za pośrednictwem poczty.

W przyszłości atakujący, po uzyskaniu dostępu do stacji roboczej użytkownika, może ukraść poufne dane lub przeprowadzić atak na innych użytkowników lub inne urządzenia w sieci firmowej.

Kolejnym możliwym celem ataku są oczywiście serwery. Niektóre z najbardziej znanych rodzajów ataków na opublikowane zasoby to ataki DoS i DDoS, które są wykorzystywane do zakłócania stabilnego działania zasobów lub ich całkowitej awarii.

Ataki mogą być również kierowane z sieci zewnętrznych na określone opublikowane aplikacje, na przykład zasoby sieciowe, serwery DNS, pocztę e-mail. Ataki mogą być również kierowane z poziomu sieci — z komputera zainfekowanego użytkownika lub od atakującego podłączonego do sieci — do aplikacji, takich jak kulki plików lub bazy danych.



Istnieje również kategoria ataków selektywnych, a jednym z najniebezpieczniejszych jest atak na samą sieć, czyli na dostęp do niej. Atakujący, który uzyskał dostęp do sieci, może przeprowadzić kolejny atak na praktycznie każde podłączone do niej urządzenie, a także potajemnie uzyskać dostęp do dowolnych informacji. Co najważniejsze, udany atak tego rodzaju jest dość trudny do wykrycia i nie można go wyleczyć standardowymi środkami. Oznacza to, że w rzeczywistości masz nowego użytkownika lub, co gorsza, administratora, o którym nic nie wiesz.

Kolejnym celem atakującego mogą być kanały komunikacji. Należy rozumieć, że udany atak na kanały komunikacji umożliwia nie tylko odczytanie przesyłanych przez nie informacji, ale także utożsamianie się z konsekwencjami ataku na sieć, gdy atakujący może uzyskać dostęp do wszystkich zasobów sieci sieć lokalna.

Jak zorganizować kompetentną i niezawodną ochronę transmisji danych?

Na początek możemy przedstawić globalne praktyki i rekomendacje dotyczące organizacji ochrony korporacyjnej sieci transmisji danych, czyli zestaw narzędzi, które pozwolą przy minimalnym wysiłku uniknąć większości istniejących zagrożeń, tzw. bezpieczne minimum.

W tym kontekście konieczne jest wprowadzenie terminu „obwód bezpieczeństwa sieci”, ponieważ im bliżej jesteś potencjalnego źródła zagrożenia, tym bardziej zmniejszasz liczbę metod ataku dostępnych dla atakującego. W takim przypadku obwód musi istnieć zarówno dla połączeń zewnętrznych, jak i wewnętrznych.

Przede wszystkim zalecamy zabezpieczenie interfejsu z sieciami publicznymi, ponieważ z nich wynika najwięcej zagrożeń. Obecnie istnieje szereg specjalistycznych narzędzi zabezpieczających sieć, zaprojektowanych właśnie do bezpiecznej organizacji połączeń z Internetem.

Do ich oznaczenia powszechnie używane są terminy takie jak NGFW (zapora nowej generacji) i UTM (Unified Threat Management). Urządzenia te nie tylko łączą w sobie funkcjonalność klasycznego routera, firewalla i serwera proxy, ale także zapewniają dodatkowe usługi bezpieczeństwa, takie jak filtrowanie adresów URL i treści, antywirus itp. Jednocześnie urządzenia często korzystają z systemów weryfikacji treści opartych na chmurze, co pozwala szybko i skutecznie przeskanować wszystkie przesyłane dane pod kątem zagrożeń. Ale najważniejsza jest możliwość raportowania wykrytych zagrożeń z perspektywy czasu, czyli identyfikowania zagrożeń w takich przypadkach, gdy zainfekowana treść została już przesłana użytkownikowi, ale producent otrzymał informację o szkodliwości tego oprogramowania później.

Takie rzeczy jak inspekcja ruchu HTTPS i automatyczna analiza aplikacji pozwalają kontrolować nie tylko dostęp do określonych witryn, ale także pozwalają/zabronić działania aplikacji takich jak Skype, Team Viewer i wielu innych, a jak wiadomo większości z nich pracują na protokołach HTTP i HTTPS, a standardowe narzędzia sieciowe po prostu nie mogą kontrolować ich pracy.

Oprócz tego w ramach jednego urządzenia można również uzyskać system zapobiegania włamaniom, który odpowiada za powstrzymywanie ataków wymierzonych w opublikowane zasoby. Dodatkowo możesz otrzymać serwer VPN do bezpiecznej pracy zdalnej pracowników i łączących się oddziałów, antyspam, system kontroli botnetów, sandbox itp. To wszystko sprawia, że ​​takie urządzenie jest prawdziwie zunifikowanym narzędziem bezpieczeństwa sieci.

Jeżeli Twoja firma nie korzysta jeszcze z takich rozwiązań, to gorąco polecamy zacząć z nich korzystać już teraz, gdyż czas na ich skuteczność już nadszedł i możemy śmiało powiedzieć, że takie urządzenia udowodniły swoją realną zdolność radzenia sobie z dużymi liczba zagrożeń, która jeszcze się nie zdarzyła 5 lat temu. W tamtym czasie takie rzeczy dopiero wchodziły na rynek, miały wiele problemów, były dość drogie i mało wydajne.

Jak wybrać zaporę nowej generacji?

Obecnie na rynku istnieje ogromna liczba urządzeń sieciowych o tak deklarowanej funkcjonalności, ale tylko nieliczne mogą zapewnić naprawdę skuteczną ochronę. Wynika to z faktu, że tylko niewielka liczba producentów dysponuje środkami finansowymi i tak naprawdę inwestuje je w nieustanny rozwój rzeczywistych zagrożeń, tj. stale aktualizuj bazy danych potencjalnie niebezpiecznych zasobów, zapewniaj nieprzerwane wsparcie dla rozwiązań itp.

Wielu partnerów będzie próbowało sprzedawać Ci rozwiązania, które są dla nich opłacalne, więc cena rozwiązania nie zawsze odpowiada jego rzeczywistej zdolności do przeciwstawiania się zagrożeniom. Osobiście polecam przy wyborze urządzenia odwołać się do materiałów niezależnych think tanków, na przykład raportów NSS Labs. Moim zdaniem są bardziej dokładne i bezstronne.

Oprócz zagrożeń z zewnątrz, twoje zasoby mogą zostać zaatakowane od wewnątrz. Tak zwanym „bezpiecznym minimum”, które powinno być stosowane w Twojej sieci lokalnej, jest jej segmentacja na sieci VLAN, czyli tzw. wirtualne sieci prywatne. Oprócz segmentacji obowiązkowe jest stosowanie między nimi polityk dostępu przynajmniej za pomocą standardowych środków list dostępu (ACL), ponieważ sama obecność VLAN w walce ze współczesnymi zagrożeniami praktycznie nic nie daje.

Jako osobną rekomendację wskażę celowość korzystania z kontroli dostępu bezpośrednio z portu urządzenia. Należy jednak pamiętać o obwodzie sieci, tj. im bliżej zastosujesz zasady do chronionych usług, tym lepiej. Najlepiej byłoby, gdyby te zasady były egzekwowane na przełącznikach dostępu. W takich przypadkach zaleca się zastosowanie 4 prostych zasad jako minimalnej polityki bezpieczeństwa:

  • administracyjnie wyłączyć wszystkie nieaktywne porty przełącznika;
  • nie używaj pierwszej sieci VLAN;
  • używać list filtrowania adresów MAC na przełącznikach dostępu;
  • użyj protokołu kontroli ARP.
Doskonałym rozwiązaniem byłoby zastosowanie tych samych zapór ogniowych z systemami zapobiegania włamaniom na ścieżce transmisji danych, a także wykorzystanie architektonicznie stref zdemilitaryzowanych. Uwierzytelnianie podłączonego urządzenia najlepiej wdrożyć za pomocą protokołu 802.1x, wykorzystując różne systemy AAA (systemy uwierzytelniania, autoryzacji i rozliczania) w celu scentralizowanej kontroli dostępu do sieci. Rozwiązania te są powszechnie określane jako NAC (Network Access Control), co jest powszechne wśród producentów. Przykładem takiego komercyjnego systemu jest Cisco ISE.



Ponadto cyberprzestępcy mogą przeprowadzać ataki na kanały. Do ochrony kanałów należy stosować silne szyfrowanie. Wielu to zaniedbuje, a potem płaci cenę za konsekwencje. Niechronione kanały to nie tylko informacje dostępne do kradzieży, ale także możliwość zaatakowania prawie wszystkich zasobów firmy. Nasi klienci mieli w praktyce wiele precedensów, kiedy dokonywano ataków na telefonię firmową, organizując komunikację przez niechronione kanały transmisji danych między centralą a zdalnymi biurami (na przykład po prostu za pomocą tuneli GRE). Firmy otrzymywały tylko szalone faktury!

Co możesz nam powiedzieć o sieciach bezprzewodowych i BYOD?

Osobno chciałbym poruszyć temat pracy zdalnej, sieci bezprzewodowych i korzystania z własnych urządzeń. Z własnego doświadczenia te trzy rzeczy są jedną z największych potencjalnych luk bezpieczeństwa w Twojej firmie. Ale są też jedną z największych przewag konkurencyjnych.

Krótko mówiąc, polecam albo całkowicie zabronić korzystania z sieci bezprzewodowych, pracy zdalnej lub pracy przez własne urządzenia mobilne, motywując to regułami korporacyjnymi, albo świadczyć te usługi z najbardziej rozbudowanymi pod względem bezpieczeństwa, zwłaszcza że nowoczesne rozwiązania dają możliwość czy to jest w najlepszym wydaniu.

W zakresie pracy zdalnej mogą Ci pomóc te same zapory nowej generacji lub urządzenia UTM. Z naszej praktyki wynika, że ​​istnieje szereg stabilnych rozwiązań (m.in. Cisco, Checkpoint, Fortinet, Citrix), które umożliwiają pracę z różnymi urządzeniami klienckimi, zapewniając przy tym najwyższe standardy identyfikacji pracownika zdalnego. Na przykład korzystanie z certyfikatów, uwierzytelnianie dwuskładnikowe, hasła jednorazowe dostarczane SMS-em lub generowane na specjalnym kluczu. Możesz także kontrolować oprogramowanie zainstalowane na komputerze, z którego próbuje się uzyskać dostęp, na przykład w celu zainstalowania odpowiednich aktualizacji lub uruchomienia programów antywirusowych.

Bezpieczeństwo Wi-Fi to temat, który zasługuje na osobny artykuł. W tym poście postaram się podać najważniejsze rekomendacje. Jeśli budujesz korporacyjne Wi-Fi, pamiętaj o przeanalizowaniu wszystkich możliwych aspektów bezpieczeństwa z nim związanych.

Nawiasem mówiąc, Wi-Fi to cała osobna pozycja w przychodach naszej firmy. Zajmujemy się nimi profesjonalnie: projekty wyposażenia galerii i centrów handlowych, centrów biznesowych, magazynów w sprzęt bezprzewodowy, w tym wykorzystujące nowoczesne rozwiązania, takie jak pozycjonowanie, realizujemy w naszym trybie non-stop. A zgodnie z wynikami naszych badań radiowych, w co drugim biurze i magazynie znajdujemy przynajmniej jeden domowy router Wi-Fi, który pracownicy sami podłączyli do sieci. Zwykle robią to dla własnej wygody pracy, na przykład chodzą do palarni z laptopem lub swobodnie poruszają się po pokoju. Oczywiste jest, że na takich routerach nie były stosowane żadne korporacyjne zasady bezpieczeństwa, a hasła były przekazywane znanym kolegom, potem kolegom z pracy, a następnie gościom, którzy wpadli na kawę, w wyniku czego prawie wszyscy mieli dostęp do firmy sieci, podczas gdy było to absolutnie niekontrolowane.

Oczywiście warto zabezpieczyć sieć przed podłączeniem takiego sprzętu. Głównymi sposobami na to mogą być: użycie autoryzacji na portach, filtrowanie według MAC itp. Ponownie, z punktu widzenia Wi-Fi, w sieci należy stosować silne algorytmy kryptograficzne i metody uwierzytelniania korporacyjnego. Należy jednak rozumieć, że nie wszystkie metody uwierzytelniania w przedsiębiorstwie są równie przydatne. Na przykład urządzenia z systemem Android w niektórych wersjach oprogramowania mogą domyślnie ignorować publiczny certyfikat Wi-Fi, umożliwiając w ten sposób ataki Evil Twin. Jeśli używana jest metoda uwierzytelniania, taka jak EAP GTC, klucz jest w niej przesyłany w postaci zwykłego tekstu i może zostać całkowicie przechwycony w określonym ataku. Zalecamy korzystanie wyłącznie z uwierzytelniania certyfikatami w sieciach korporacyjnych, tj. są to metody TLS, ale należy pamiętać, że znacznie zwiększa obciążenie administratorów sieci.

Jest jeszcze inny sposób: jeśli praca zdalna jest realizowana w sieci firmowej, to urządzenia połączone przez Wi-Fi mogą być również zmuszone do korzystania z klienta VPN. Oznacza to przydzielenie segmentu sieci Wi-Fi do początkowo niezaufanego obszaru, w wyniku czego uzyskasz dobrą opcję pracy z minimalizacją kosztów zarządzania siecią.

Dostawcy Wi-Fi dla przedsiębiorstw, tacy jak Cisco, Ruckus, teraz Brocade, Aruba, teraz HPE, oprócz standardowych rozwiązań Wi-Fi, oferują szereg usług automatycznego monitorowania bezpieczeństwa środowiska bezprzewodowego. Oznacza to, że takie rzeczy jak WIPS (bezprzewodowy system zapobiegania włamaniom) całkiem się u nich sprawdzają. Producenci ci wdrożyli czujniki bezprzewodowe, które mogą monitorować całe spektrum częstotliwości, dzięki czemu możliwe jest automatyczne śledzenie dość poważnych zagrożeń.

Przejdźmy teraz do takich tematów, jak BYOD (Przynieś własne urządzenie) i MDM (Zarządzanie urządzeniami mobilnymi). Oczywiście każde urządzenie mobilne przechowujące dane firmowe lub mające dostęp do sieci firmowej jest potencjalnym źródłem problemów. Temat bezpieczeństwa takich urządzeń dotyczy nie tylko bezpiecznego dostępu do sieci firmowej, ale także scentralizowanego zarządzania polityką urządzeń mobilnych: smartfonów, tabletów, laptopów używanych poza organizacją. Temat ten jest aktualny od bardzo dawna, ale dopiero teraz na rynku pojawiają się naprawdę działające rozwiązania, które pozwalają zarządzać zróżnicowaną flotą sprzętu mobilnego.

Niestety nie będzie można o nich mówić w ramach tego wpisu, ale wiedzcie, że są rozwiązania iw ostatnim roku doświadczyliśmy boomu we wdrażaniu rozwiązań MDM od Microsoft i MobileIron.

Mówiłeś o „minimalnym bezpieczeństwie”, czym zatem jest „bezpieczeństwo na maksa”?

Kiedyś w Internecie popularne było zdjęcie: zalecano instalowanie zapór sieciowych znanych producentów w celu ochrony sieci. W żaden sposób nie nakłaniamy do tego samego, niemniej jednak jest w tym trochę prawdy. Niezwykle przydatne będzie posiadanie urządzenia sieciowego z analizą sygnatur wirusów, na przykład z SOFOS, i zainstalowanie już w miejscu pracy programu antywirusowego firmy Kaspersky Lab. W ten sposób otrzymujemy dwa systemy ochrony przed złośliwym kodem, które nie kolidują ze sobą.

Istnieje szereg specjalistycznych narzędzi bezpieczeństwa informacji:

DLP. Na rynku istnieją specjalistyczne narzędzia bezpieczeństwa informacji, czyli opracowane i mające na celu rozwiązanie konkretnego zagrożenia. Obecnie popularne stają się DLP (Data Loss Prevention) lub systemy zapobiegania utracie danych. Pracują zarówno na poziomie sieci, integrując się z medium transmisji danych, jak i bezpośrednio na serwerach aplikacji, stacjach roboczych i urządzeniach mobilnych.

Odchodzimy nieco od tematu sieci, ale zagrożenie wyciekiem danych będzie istniało zawsze. W szczególności rozwiązania te stają się przydatne dla firm, w których utrata danych niesie ze sobą ryzyko i konsekwencje handlowe i reputacyjne. Jeszcze 5 lat temu wdrożenie systemów DLP było nieco trudne ze względu na ich złożoność i konieczność przygotowania procesu rozwoju dla każdego konkretnego przypadku. Dlatego wiele firm ze względu na ich koszt zrezygnowało z tych rozwiązań lub napisało własne. Obecnie systemy rynkowe zostały wystarczająco rozwinięte, dzięki czemu wszystkie niezbędne funkcje bezpieczeństwa można uzyskać od razu po wyjęciu z pudełka.

Na rynku rosyjskim systemy komercyjne reprezentuje głównie producent Infowatch (poniżej zdjęcie tego producenta, jak prezentują swoje rozwiązanie w dużej firmie) oraz dość dobrze znany MacAfee.

WAF. W związku z rozwojem usług handlu internetowego, a jest to bankowość internetowa, pieniądz elektroniczny, handel elektroniczny, usługi ubezpieczeniowe itp., w ostatnim czasie pojawiło się zapotrzebowanie na specjalistyczne narzędzia do ochrony zasobów sieciowych. Mianowicie WAF - Web Application Firewall.

To urządzenie pozwala odpierać ataki wymierzone w luki w samej witrynie. Oprócz selektywnych ataków DoS, gdy witryna jest blokowana przez uzasadnione żądania, mogą to być ataki typu SQL injection, Cross site scripting itp. Wcześniej takie urządzenia były kupowane głównie przez banki, podczas gdy nie było na nie popytu ze strony innych klientów, oraz kosztują dużo pieniędzy. Na przykład koszt działającego rozwiązania zaczął się od 100 000 USD. Obecnie na rynku istnieje spora liczba rozwiązań znanych producentów (Fortinet, Citrix, Positive Technologies), z których można uzyskać działające rozwiązanie chroniące Twoją witrynę za całkiem rozsądne pieniądze (3-5 razy mniej niż poprzednio wskazana kwota).

Rewizja. Organizacje, zwłaszcza te, które opowiadają się za własnym bezpieczeństwem, wdrażają zautomatyzowane narzędzia audytowe. Rozwiązania te są drogie, ale umożliwiają wprowadzenie szeregu funkcji administracyjnych do dziedziny automatyzacji, która jest bardzo pożądana w dużych przedsiębiorstwach. Rozwiązania te stale skanują sieć i przeprowadzają audyt wszystkich zainstalowanych systemów operacyjnych i aplikacji pod kątem znanych luk w zabezpieczeniach, terminowych aktualizacji i zgodności z politykami firmy. Chyba najbardziej znanymi rozwiązaniami w tej dziedzinie nie tylko w Rosji, ale i na całym świecie są produkty firmy Positive Technologies.

SIEM. Podobny do rozwiązań SIEM. Są to systemy zaprojektowane do wykrywania sytuacji awaryjnych związanych w szczególności ze zdarzeniami związanymi z bezpieczeństwem. Nawet standardowy zestaw kilku zapór, kilkanaście serwerów aplikacji i tysiące stacji roboczych może generować dziesiątki tysięcy alertów dziennie. Jeśli masz dużą firmę i masz dziesiątki urządzeń granicznych, zrozumienie otrzymanych od nich danych w trybie ręcznym staje się po prostu niemożliwe. Automatyzacja kontroli nad zbieranymi logami ze wszystkich urządzeń jednocześnie pozwala administratorom i pracownikom ochrony informacji na natychmiastowe działanie. Rozwiązania SIEM firmy Arсsight (wchodzące w skład produktów HPE) oraz Q-RADAR (wchodzące w skład produktów IBM) są dość dobrze znane na rynku.

I na koniec: jaką radę możesz udzielić osobom poważnie zaangażowanym w organizowanie ochrony swoich zasobów IT?

Oczywiście organizując bezpieczeństwo IT przedsiębiorstwa nie należy zapominać o przepisach administracyjnych. Użytkownicy i administratorzy powinni mieć świadomość, że znalezionych dysków flash nie można używać na komputerze, podobnie jak nie można klikać podejrzanych odsyłaczy w listach ani otwierać podejrzanych załączników. Bardzo ważne jest, aby powiedzieć i wyjaśnić, które linki i załączniki są niezweryfikowane. W rzeczywistości nie wszyscy rozumieją, że nie trzeba przechowywać haseł na naklejkach przyklejonych do monitora lub telefonu, że trzeba nauczyć się czytać ostrzeżenia, które są pisane do użytkownika aplikacji itp. Należy wyjaśnić użytkownikom, czym jest certyfikat bezpieczeństwa i co oznaczają powiązane z nim komunikaty. Generalnie konieczne jest uwzględnienie nie tylko strony technicznej zagadnienia, ale także zaszczepienie przez pracowników kultury korzystania z firmowych zasobów IT.
Mam nadzieję, że ten świetny post okazał się interesujący i pomocny.

Identyfikacja/uwierzytelnianie (IA) operatorów musi być wykonane sprzętowo przed etapem rozruchu systemu operacyjnego. Bazy danych OW powinny być przechowywane w nieulotnej pamięci systemów bezpieczeństwa informacji (SSS), zorganizowanej tak, aby dostęp do niej za pomocą komputera PC był niemożliwy, tj. pamięć nieulotna musi znajdować się poza przestrzenią adresową komputera.

Identyfikacja/uwierzytelnianie zdalnych użytkowników, podobnie jak w poprzednim przypadku, wymaga implementacji sprzętowej. Uwierzytelnianie jest możliwe na różne sposoby, w tym elektroniczny podpis cyfrowy (EDS). Wymóg „silnego uwierzytelniania” staje się obowiązkowy, tj. okresowe powtarzanie procedury w trakcie pracy w odstępach czasu, na tyle małych, by przy przełamywaniu zabezpieczenia napastnik nie mógł wyrządzić namacalnych szkód.

2. Ochrona wyposażenia technicznego przed NSD

Sposoby ochrony komputerów przed sabotażem można podzielić na zamki elektroniczne (EZ) i moduły sprzętowe zaufanego ładowania (AMDZ). Ich główną różnicą jest sposób implementacji kontroli integralności. Elektroniczne zamki wykonują sprzętowe procedury użytkownika I/A, wykorzystują zewnętrzne oprogramowanie do wykonywania procedur kontroli integralności. Sprzęt ASGM implementuje zarówno funkcje EZ, jak i funkcje kontroli integralności oraz funkcje administracyjne.

Kontrola integralności składu technicznego PC i LAN. Kontrola integralności składu technicznego komputera powinna być przeprowadzona przez kontroler SZI przed załadowaniem systemu operacyjnego. Powinno to kontrolować wszystkie zasoby, które (potencjalnie) mogą być współużytkowane, w tym procesor, system BIOS, dyskietki, dyski twarde i dyski CD-ROM.

Integralność technicznego składu sieci LAN powinna być zapewniona przez ulepszoną procedurę uwierzytelniania sieci. Procedurę należy wykonać na etapie podłączania testowanych komputerów do sieci, a następnie w odstępach ustalonych przez administratora bezpieczeństwa.

Kontrola integralności systemu operacyjnego, tj. kontrola integralności obszarów systemowych i plików systemu operacyjnego musi być wykonana przez kontroler przed załadowaniem systemu operacyjnego, aby zapewnić odczyt rzeczywistych danych. Ponieważ w elektronicznym zarządzaniu dokumentami można wykorzystywać różne systemy operacyjne, oprogramowanie wbudowane w kontroler powinno zapewniać obsługę najpopularniejszych systemów plików.

Kontrola integralności oprogramowania aplikacyjnego (APO) i danych mogą być realizowane zarówno przez komponenty sprzętowe, jak i programowe systemu bezpieczeństwa informacji.

3. Zróżnicowanie dostępu do dokumentów, zasobów komputera i sieci

Nowoczesne systemy operacyjne coraz częściej zawierają wbudowaną kontrolę dostępu. Zazwyczaj narzędzia te korzystają z funkcji określonego systemu plików (FS) i są oparte na atrybutach powiązanych z jednym z poziomów interfejsu API systemu operacyjnego. W tym przypadku nieuchronnie pojawiają się dwa następujące problemy.


Wiązanie z cechami systemu plików. W nowoczesnych systemach operacyjnych z reguły używa się nie jednego, ale kilku systemów plików - zarówno nowych, jak i przestarzałych. Zwykle kontrola dostępu wbudowana w system operacyjny działa na nowym systemie plików, ale na starym może nie działać, ponieważ wykorzystuje znaczące różnice w nowym systemie plików.

Ta okoliczność zwykle nie jest bezpośrednio określona w certyfikacie, co może wprowadzić użytkownika w błąd. W celu zapewnienia kompatybilności stare FS w tym przypadku są zawarte w nowym systemie operacyjnym.

Powiązanie z API systemu operacyjnego. Z reguły systemy operacyjne zmieniają się teraz bardzo szybko - raz na półtora roku. Możliwe, że będą się zmieniać jeszcze częściej. Jeśli jednocześnie atrybuty kontroli dostępu odzwierciedlają skład API, przy przejściu do nowoczesnej wersji systemu operacyjnego konieczne będzie ponowne wprowadzenie ustawień systemu bezpieczeństwa, przeszkolenie personelu itp.

W ten sposób można sformułować ogólne wymaganie - podsystem kontroli dostępu musi być nałożony na system operacyjny i tym samym być niezależny od systemu plików. Oczywiście kompozycja atrybutów powinna być wystarczająca do opisania polityki bezpieczeństwa, a opis powinien być przeprowadzony nie pod kątem OS API, ale pod kątem tego, do czego przyzwyczajeni są systemowi administratorzy bezpieczeństwa.

4.Ochrona dokumentów elektronicznych

Ochrona komunikacji elektronicznej obejmuje dwie klasy zadań:

Zapewnienie równoważności dokumentu podczas jego cyklu życia z oryginalnym standardem elektronicznym;

Zapewnienie równoważności stosowanych technologii elektronicznych z referencyjnymi.

Celem każdej ochrony jest zapewnienie stabilności określonych właściwości chronionego obiektu we wszystkich punktach cyklu życia. Bezpieczeństwo obiektu realizuje się poprzez porównanie wzorca (obiekt w początkowym punkcie przestrzeni i czasu) i wyniku (obiekt w momencie obserwacji). Na przykład, jeśli w punkcie obserwacji (otrzymania danych elektronicznych) jest tylko bardzo ograniczona informacja kontekstowa o normie (zawartość oryginalnego dokumentu elektronicznego), ale jest pełna informacja o wyniku (dokument obserwowany), to oznacza to, że dokument elektroniczny powinien zawierać atrybuty potwierdzające spełnienie wymagań technicznych i technologicznych, czyli niezmienność komunikatu na wszystkich etapach produkcji i transportu dokumentu. Jedną z opcji atrybutów mogą być kody bezpieczeństwa uwierzytelniania (ASC).

Ochrona dokumentu podczas jego tworzenia. Podczas tworzenia dokumentu należy sprzętowo wygenerować kod bezpieczeństwa uwierzytelnienia. Pisanie kopii dokumentu elektronicznego na nośniki zewnętrzne przed opracowaniem PCA powinno być wykluczone. Jeśli wiadomość e-mail jest generowana przez operatora, PCA musi być połączone z operatorem. Jeśli ED jest generowany przez komponent oprogramowania AS, PCA musi być wygenerowany w odniesieniu do tego komponentu oprogramowania.

Ochrona dokumentu podczas jego przekazywania. Ochrona dokumentu podczas jego transmisji za pośrednictwem zewnętrznych (otwartych) kanałów komunikacji musi odbywać się w oparciu o stosowanie certyfikowanych środków kryptograficznych, w tym z wykorzystaniem elektronicznego podpisu cyfrowego (EDS) dla każdego przesyłanego dokumentu. Możliwa jest również inna opcja - pakiet dokumentów jest podpisany za pomocą EDS, a każdy pojedynczy dokument jest poświadczony innym analogiem podpisu odręcznego (HSA), na przykład PCA.

Ochrona dokumentu podczas jego przetwarzania, przechowywania i wykonywania. Na tych etapach ochrona dokumentu odbywa się za pomocą dwóch PCA - wejścia i wyjścia dla każdego etapu. W takim przypadku PCA musi być generowana sprzętowo z powiązaniem PCA z procedurą przetwarzania (etap technologii informacyjnej). Dla otrzymanego dokumentu (z PCA i EDS) generowany jest drugi PCA i dopiero potem usuwany jest EDS.

Ochrona dokumentu podczas dostępu do niego ze środowiska zewnętrznego. Ochrona dokumentów przy dostępie do nich ze środowiska zewnętrznego obejmuje dwa opisane już mechanizmy - identyfikację/uwierzytelnianie zdalnych użytkowników oraz różnicowanie dostępu do dokumentów, zasobów komputera i sieci.

5. Ochrona danych w kanałach komunikacji

Tradycyjnie do ochrony danych w kanale komunikacyjnym stosuje się kodery kanałowe i przesyłane są nie tylko dane, ale także sygnały sterujące.

6. Ochrona technologii informacyjnej

Pomimo znanych podobieństw, mechanizmy ochrony danych elektronicznych jako przedmiotu (liczba, dane) i ochrony danych elektronicznych jako procesu (funkcja, środowisko obliczeniowe) są radykalnie różne. W ochronie technologii informatycznych, w przeciwieństwie do ochrony danych elektronicznych, w sposób rzetelny znane są cechy wymaganej technologii referencyjnej, natomiast informacje o spełnieniu tych wymagań przez faktycznie stosowaną technologię są ograniczone, tj. wynik. Jedynym obiektem, który może przenosić informacje o rzeczywistej technologii (jako sekwencja operacji) jest sam ED, a raczej zawarte w nim atrybuty. Tak jak poprzednio, jednym z typów tych atrybutów może być PCA. Równoważność technologii można ustalić, im dokładniej, im więcej operacji funkcjonalnych jest dołączanych do wiadomości za pośrednictwem PCA. W tym przypadku mechanizmy nie różnią się od tych stosowanych do ochrony dokumentów elektronicznych. Ponadto można przyjąć, że obecność określonego PCA charakteryzuje obecność odpowiedniej operacji w procesie technologicznym, a wartość PCA charakteryzuje integralność komunikatu na tym etapie procesu technologicznego.

7. Zróżnicowanie dostępu do strumieni danych

W celu zróżnicowania dostępu do strumieni danych stosuje się z reguły routery wykorzystujące kryptograficzne środki ochrony. W takich przypadkach zwraca się szczególną uwagę na system kluczy i niezawodność przechowywania kluczy. Wymagania dotyczące dostępu do delimitacji strumieni różnią się od tych dla delimitacji dostępu do plików i katalogów. Tutaj możliwy jest tylko najprostszy mechanizm - dostęp jest dozwolony lub zabroniony.

Spełnienie wymienionych wymagań zapewnia odpowiedni poziom bezpieczeństwa dokumentów elektronicznych jako najważniejszego rodzaju komunikatów przetwarzanych w systemach informatycznych.

Jako techniczny środek ochrony informacji opracowano moduł sprzętowy do zaufanego ładowania (ASMD), który zapewnia ładowanie systemu operacyjnego, niezależnie od jego typu, dla użytkownika uwierzytelnionego przez mechanizm bezpieczeństwa. Wyniki rozwoju systemu ochrony danych NSD „Akkord” (twórca OKB CAD) są produkowane seryjnie i są dziś najbardziej znanym środkiem ochrony komputerów przed nieautoryzowanym dostępem w Rosji. Podczas tworzenia wykorzystano specyfikę obszaru aplikacji, odzwierciedloną w rodzinie narzędzi sprzętowych do ochrony informacji w elektronicznym obiegu dokumentów, wykorzystujących kody uwierzytelniające (CA) na różnych poziomach. Spójrzmy na kilka przykładów użycia sprzętu.

1. W automatach kasowych (KKM) CA są wykorzystywane jako środek uwierzytelniający czeki jako jeden z rodzajów dokumentów elektronicznych. Każda kasa fiskalna musi być wyposażona w blok inteligentnej pamięci fiskalnej (FP), który oprócz funkcji akumulacji danych o wynikach sprzedaży realizuje szereg innych funkcji:

Zapewnia ochronę oprogramowania i danych KKM przed manipulacją;

Generuje kody uwierzytelniające zarówno dla kasy fiskalnej, jak i każdego czeku;

Obsługuje typowy interfejs do interakcji z modułem inspektora podatkowego;

Umożliwia pobieranie danych fiskalnych do przekazania do urzędu skarbowego jednocześnie z bilansem.

Opracowany blok FP „Akkord-FP” jest wykonany na bazie SZI „Akkord”. Charakteryzuje się następującymi cechami:

Funkcje DSS NSD są zintegrowane z funkcjami FP;

W ramach bloku FP znajdują się również nieulotne rejestry KKM;

Procedury modułu inspektora podatkowego są również zintegrowane jako integralna część bloku „Accord-FP”.

2. W systemie monitorowania integralności i walidacji dokumentów elektronicznych (SKTsPD) w zautomatyzowanym systemie szczebla federalnego lub regionalnego podstawową różnicą jest możliwość ochrony każdego dokumentu z osobna. System ten pozwalał na kontrolę bez znacznego zwiększania ruchu. Podstawą do stworzenia takiego systemu był kontroler „Accord-S B/KA” – wysokowydajny koprocesor bezpieczeństwa realizujący funkcje generowania/sprawdzania kodów uwierzytelniających.

Regionalne centrum informacyjno-informatyczne (RICC) zapewnia zarządzanie całością działalności SKTsPD, współdziałając ze wszystkimi AWP SC - AWP uczestniczących operatorów, wyposażonych w kompleksy sprzętowo-programowe „Akkord-SB/KA” ( A-SB/KA) i oprogramowanie SKTsPD. RIVC powinien zawierać dwie zautomatyzowane stacje robocze - ARM-K do tworzenia kluczy i ARM-R do przygotowywania dystrybucji danych weryfikacyjnych.

3. Zastosowanie kodów uwierzytelniających w podsystemach technologicznej ochrony danych elektronicznych. Podstawą wdrożenia sprzętu zabezpieczającego informacje mogą być „Accord SB” i „Accord AMDZ” (w zakresie ochrony przed nieuprawnionym dostępem). Kody uwierzytelniające służą do ochrony technologii. Kody uwierzytelniające dla dokumentów elektronicznych w podsystemie bezpieczeństwa teleinformatycznego są generowane i sprawdzane na serwerach kodów uwierzytelniających (SCA) z wykorzystaniem tablic kluczy (tablic ważności) przechowywanych w pamięci wewnętrznej koprocesorów Akkord-SB zainstalowanych w SCA. Tabele ważności, zamykane na klucze dostawy, są dostarczane do SCA i ładowane do wewnętrznej pamięci koprocesorów, gdzie są rozbudowywane. Klucze dostawy są generowane i rejestrowane na wyspecjalizowanej zautomatyzowanej stacji roboczej ARM-K i ładowane do koprocesorów na początkowym etapie procesu ich personalizacji.

Doświadczenia praktycznego zastosowania na dużą skalę ponad 100 000 modułów ochrony sprzętowej typu „Accord” w systemach komputerowych różnych organizacji w Rosji i krajach ościennych pokazują, że koncentracja na rozwiązaniu programowo-sprzętowym została dobrana właściwie, ponieważ ma ogromne możliwości dalszego rozwoju i doskonalenia.

wnioski

Niedocenianie kwestii bezpieczeństwa informacji może prowadzić do ogromnych szkód.

Wzrost przestępczości komputerowej zmusza ludzi do dbania o bezpieczeństwo informacji.

Działanie w rosyjskiej praktyce tego samego typu masowego oprogramowania i sprzętu (na przykład komputery osobiste zgodne z IBM; systemy operacyjne - Windows, Unix, MS DOS, Netware itp.) stwarzają do pewnego stopnia warunki dla intruzów.

Strategia budowy systemu bezpieczeństwa informacji powinna opierać się na rozwiązaniach zintegrowanych, integracji technologii informatycznych i systemów bezpieczeństwa, wykorzystaniu zaawansowanych technik i narzędzi, uniwersalnych technologiach ochrony informacji o charakterze przemysłowym.

Pytania do samokontroli

1. Nazwij rodzaje zagrożeń informacji, podaj definicję zagrożenia.

2. Jakie są sposoby ochrony informacji?

3. Opisz kontrolę dostępu jako sposób ochrony informacji. Jaka jest jego rola i znaczenie?

4. Do czego służą kryptograficzne metody ochrony informacji? Wymień je.

5. Podaj pojęcie uwierzytelniania i podpisu cyfrowego. Jaka jest ich istota?

6. Omów problemy ochrony informacji w sieciach i możliwości ich rozwiązania.

7. Rozwiń cechy strategii bezpieczeństwa informacji przy zastosowaniu podejścia systemowego, rozwiązań zintegrowanych oraz zasady integracji w technologii informacyjnej.

8. Wymień etapy tworzenia systemów bezpieczeństwa informacji.

9. Jakie środki są wymagane do wdrożenia ochrony technicznej technologii zarządzania dokumentami elektronicznymi?

10. Jaka jest istota podejścia multiplikatywnego?

11. Jakich procedur należy przestrzegać, aby chronić elektroniczny system zarządzania dokumentami?

12. Jakie funkcje pełni firewall?

Testy na Ch. 5

Wstaw brakujące pojęcia i wyrażenia.

1. Zdarzenia lub działania, które mogą prowadzić do nieuprawnionego użycia, zniekształcenia lub zniszczenia informacji, nazywane są ...

2. Wśród zagrożeń bezpieczeństwa informacji należy wyróżnić dwa rodzaje: ...

3. Wymienione rodzaje przeciwdziałania zagrożeniom bezpieczeństwa informacji: przeszkoda, kontrola dostępu, szyfrowanie, regulacja, przymus i nakłanianie odnoszą się do… bezpieczeństwa informacji.

4. Następujące metody przeciwdziałania zagrożeniom bezpieczeństwa: fizyczne, sprzętowe, programowe, organizacyjne, prawne, moralne i etyczne, fizyczne odnoszą się do… zapewnienia bezpieczeństwa informacji.


5. Kryptograficzne metody ochrony informacji opierają się na ich...

6. Nadanie użytkownikowi unikalnego oznaczenia w celu potwierdzenia jego zgodności nazywa się ...

7. Uwierzytelnianie użytkownika w celu sprawdzenia jego zgodności nazywa się ...

8. Największe zagrożenie dla sieci korporacyjnych wiąże się z:

a) z heterogenicznością zasobów i technologii informacyjnych;

b) z oprogramowaniem i sprzętem;

c) z awariami sprzętu. Wybierz prawidłowe odpowiedzi.

9. Racjonalny poziom bezpieczeństwa informacji w sieciach korporacyjnych jest wybierany przede wszystkim na podstawie rozważań:

a) określenie metod ochrony;

b) wykonalność ekonomiczna;

c) strategie obronne.

10. Program rezydentny, który rezyduje w pamięci komputera i steruje operacjami związanymi ze zmianą informacji na dyskach magnetycznych, nazywa się:

a) detektor;

c) stróż;

d) audytor.

11. Narzędzia antywirusowe są przeznaczone dla:

a) przetestować system;

b) chronić program przed wirusem;

c) skanowanie programów w poszukiwaniu wirusów i ich leczenie;

d) monitorowanie systemu.