Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



N держреєстрації

N держреєстрації




Сторінка1/18
Дата конвертації10.03.2017
Розмір1.8 Mb.
  1   2   3   4   5   6   7   8   9   ...   18


УДК 519.6 681.3

КП

N держреєстрації



Інв. N

Національна академія наук України

Інститут програмних систем

(ІПС НАН України)

03187, Київ-187, ін.

Націона́льна акаде́мія нау́к Украї́ни (НАН України) - вища наукова самоврядна організація України, що є найбільшим центром наукових досліджень в Україні. У складі НАН України станом на початок 2016 року діють 168 наукових установ та 46 організацій дослідно-виробничої бази, в яких працюють 37447 співробітників, в тому числі 18346 наукових працівників, серед яких 2530 докторів наук та 7603 кандидатів наук. На 23.02.2016 до складу НАН України входять 197 дійсних членів (академіків), 379 членів-кореспондентів та 104 іноземні члени. Керівні органи НАН України перебувають у Києві.
Академіка Глушкова, 40

тел. (044) 526 55 07, факс 526 62 63



ЗАТВЕРДЖУЮ


ЗАТВЕРДЖУЮ

Начальник науково-організаційного

відділу Президії НАН України

Директор ІПС НАН України

канд. фіз.-мат. наук

академік НАН України


________________ В.Л.Богданов

__________________П.І.Андон


«___» ______________2008р.

«___» ______________2008р.


ЗВІТ

по проекту ІІ-6-08 Програми інформатизації НАН України

Розробка та впровадження типових рішень щодо комплексної системи захисту інформації в АІС НАНУ”

05540149.90000.045.

Проектува́ння - процес створення проекту, прототипу, прообразу майбутнього об'єкта, стану та способів його виготовлення. У проектуванні застосовують системний підхід, який полягає у встановлені структури системи, типу зв'язків, визначені атрибутів, аналізуванні впливів зовнішнього середовища.
Інформатиза́ція - сукупність взаємопов'язаних організаційних, правових, політичних, соціально-економічних, науково-технічних, виробничих процесів, що спрямовані на створення умов для задоволення інформаційних потреб громадян та суспільства на основі створення, розвитку і використання інформаційних систем, мереж, ресурсів та інформаційних технологій, які побудовані на основі застосування сучасної обчислювальної та комунікаційної техніки.
Зáхист інформáції (англ. Data protection) - сукупність методів і засобів, що забезпечують цілісність, конфіденційність і доступність інформації за умов впливу на неї загроз природного або штучного характеру, реалізація яких може призвести до завдання шкоди власникам і користувачам інформації.
И3-01-АЗ

Керівник сектору науково- Керівник проекту, с.н.с.

організаційного відділу Інституту програмних систем

Президії НАН України , к.т.н. НАН України

_________________ В.Л.Майстренко ________________ В.П.Шилін

«___» ______________2008р. «__»_______________ 2008р.
2008
Національна академія наук України

Інститут програмних систем

(ІПС НАН України)

03187, Київ-187, ін. Академіка Глушкова, 40

тел. (044) 526 55 07, факс 526 62 63

ЗАТВЕРДЖЕНО

05540149.90000.045.И3-01-АЗ

ЗВІТ

по проекту ІІ-4-07 Програми інформатизації НАН України

Розробка та впровадження типових рішень щодо комплексної системи захисту інформації в АІС НАНУ”



.
2008



Список авторів

Шилін В.П.

Старший науковий співробітник

відділу 23 ІПС НАН України

керівник проекту






Сивура Р.В.

Провідний інженер-програміст

відділу 23 ІПС НАН України




РЕФЕРАТ
Звіт по проекту: 168 стор., 28 джерел, 6 додатків.

Проект ІІ-4-07 “Розробка та впровадження типових рішень щодо комплексної системи захисту інформації в АІС НАНУ” виконується в рамках Програми інформатизації НАН України.



Предметом дослідження є методи захисту конфіденційної інформації в локальних мережах організацій та установ НАН України, а об’єктами дослідження – засоби захисту серверів локальних мереж та засоби захисту локальних мереж від витоків інформації.

Метою досліджень проекту є: розробка типових рішень щодо забезпечення захисту серверів локальних обчислювальних мереж організацій та установ НАН України, забезпечення захисту локальних мереж від витоків інформації, а також розробка Типового Технічного завдання на комплексну систему захисту інформації організації чи установи НАН України.
Дослі́дження, до́сліди - (широко розуміючи) пошук нових знань або систематичне розслідування з метою встановлення фактів; (вузько розуміючи) науковий метод (процес) вивчення чого-небудь.
Техні́чне завдання́ (ТЗ) (англ. scope statements та англ. statement of work; SOW) - документ, що встановлює основне призначення, показники якості, техніко- економічні та спеціальні вимоги до виробу, обсягу, стадії розроблення та складу конструкторської документації.


Методика і характер дослідження: аналіз та систематизація знань з методів та засобів побудови комплексних систем захисту інформації в корпоративних системах з метою отримання нового науково-практичного рівня знань.

Результати та їх новизна:

1. Розроблені рішення щодо захисту Windows Serwer 2003, що включають:



  • Механізми зміцнення безпеки Windows Server 2003;
    Ана́ліз (від грец. αναλυσις - «розклад») - розчленування предмету пізнання, абстрагування його окремих сторін чи аспектів. Метод дослідження, який вивчає предмет, уявно чи реально розчленовуючи його на складові елементи, як-от частини об'єкта, його ознаки, властивості, відношення, відтак розглядає кожен з виділених елементів окремо в межах єдиного цілого; протилежний метод - синтез.
    Характер (термін «характер» - грецького походження, він означає «риса», «ознака», «відбиток»)- це сукупність відносно стійких індивідуально-своєрідних якостей особистості, що виявляються у поведінці, діяльності та ставленні до людей, колективу, до себе, речей, роботи і тощо.
    Систематиза́ція - процес зведення розрізнених знань про предмети (явища) об'єктивної дійсності в єдину наукову систему, встановлення їхньої єдності. С. є відображенням матеріальної єдності світу і ґрунтується на вивченні суттєвих зв'язків, які об'єднують ці предмети (явища).
    Windows - узагальнююча назва операційних систем для ЕОМ, розроблених корпорацією Microsoft. Перші версії були не повноцінними операційними системами, а лише оболонками до ОС MS-DOS. На 2014 рік, за даними сайтів NetApplications та GoStats, Microsoft Windows встановлена більш як на 90% персональних комп'ютерів світу.


  • Політика домену;

  • Базова політику рядових серверів;

  • Базова політику контролерів домену;

  • Роль сервера інфраструктури;
    Політик - особа, яка професійно займається політичною діяльністю, обіймає чи прагне до певної громадської посади. Як правило, нині політиків обирає електорат; на відміну від політиків, чиновників призначають.
    Веб-се́рвер (англ. Web Server) - це сервер, що приймає HTTP-запити від клієнтів, зазвичай веб-браузерів, видає їм HTTP-відповіді, зазвичай разом з HTML-сторінкою, зображенням, файлом, медіа-потоком або іншими даними.


  • Роль файлового сервера;

  • Роль сервера друку;

  • Роль веб-сервера;

  • Роль сервера IAS;

  • Роль сервера служб сертифікації;

  • Роль вузла-бастіону.

2. Розроблені рішення щодо захисту сервера баз даних SQL Server, що включають:

  • Правила безпеки;

  • Обмеження доступу до файлів SQL Server;

  • Методи підвищення рівня захисту Microsoft SQL Server 2000;

  • Створення гнучкої системи безпеки MS SQL Server 7.
    Сертифіка́ція - діяльність уповноважених органів з підтвердження відповідності товару (роботи, послуги) не обов'язковим(ЗУ "Про стандартизацію" Розд. 1 ст.1) вимогам стандарту і видачі документа відповідності.
    Безпе́ка - це такі умови, в яких перебуває складна система, коли дія зовнішніх факторитетів і внутрішніх чинників не призводить до процесів, що вважаються негативними по відношенню до даної складної системи у відповідності до наявних, на даному етапі, потреб, знань та уявлень.
    0/2000.

3. Розроблені рішення щодо захисту Web-серверів, що включають:

  • Правила забезпечення захисту;

  • Планування розгортання web-сервера;

  • Безпеку ОС, що лежить в основі Web-сервер;

  • Безпечну інсталяція і конфігурація web-сервера;

  • Безпеку програмного середовища;
    Матеріа́л - речовина, або суміш речовин, первинний предмет праці, який використовують для виготовлення виробу (основний матеріал), або які сприяють якимось діям. У останньому випадку уточнюють, що це допоміжний, чи витратний матеріал.


  • Захист web-портала від інформаційних атак.

4. Розроблені рішення щодо захисту поштових серверів Exchange Server, що включають:

  • Основні рекомендації для забезпечення безпеки;

  • Майстер настройки безпеки в Windows 2003;

  • ISA-сервер;

  • Захист від атак відмови в обслуговуванні (Denial of Service – DOS);

  • Фільтр повідомлень, що настроюється;

  • Антивірус;

  • Захист від підробки адрес;

  • Захист клієнтів;

  • Захист повідомлень.

5. Розроблена Настанова адміністратора системи захисту корпоративних мереж від витоків конфіденційної інформації - InfoWatch Traffic Monitor, що включає:

  • Результати аналізу безпеки інформації в мережі, характеристики і механізми реалізації витоку інформації з обчислювальної мережі;
    Про́даж - це оплатна передача майна однією особою у власність іншій особі.
    Механі́зм (грец. μηχανή mechané - машина) - система тіл, що призначена для перетворення руху одного або декількох тіл у потрібний рух інших тіл. Механізм складає основу більшості машин і застосовується в різноманітних технічних об'єктах.


  • Склад засобів, що реалізують методи мережного захисту від витоків інформації з локальної мережі;

  • Рішення щодо встановлення, настроювання та конфігурування засобів захисту від витоків інформації з локальної мережі.

6. Розроблене Типове Технічне завдання на комплексну систему захисту інформації організації чи установи НАН України.

7. Ступінь впровадження: Для впровадження засобів захисту розроблена та супроводжується веб-сторінка на сайті ІПС НАН України (адреса http://isofts.kiev.ua/shilin/, де розміщені відповідні програмні засоби та експлуатаційна документація. Забезпечений доступ всіх організацій та установ НАН України до вищевказаних засобів.

Засоби захисту серверів та робочих станцій користувачів від вірусів передані в 32 організації НАН України, система захисту від спаму передана в 58 організацій.

Сайт або веб-сайт (від англ. website, місце, майданчик в інтернеті) - сукупність веб-сторінок, доступних у мережі Інтернет, які об'єднані як за змістом, так і за навігацією під єдиним доменним ім'ям. Фізично сайт може розміщуватися як на одному, так і на кількох серверах.
Веб-сторінка (англ. Web-page) - інформаційний ресурс, доступний в мережі World Wide Web (Всесвітня павутина), який можна переглянути у веб-браузері. Зазвичай, інформація веб-сторінки записана в форматі HTML, XHTML, або рідше Wml (для wap-сторінок).
Експлуатаці́йна документа́ція - вид конструкторських документів, які окремо або у сукупності з іншими документами визначають правила експлуатації виробу і (або) відображають відомості котрі, засвідчують гарантовані виробником значення основних параметрів і характеристик (властивостей) виробу, гарантії і дані по його експлуатації протягом встановленого терміну служби.
Робоча станція (англ. workstation) - комплекс апаратних і програмних засобів, призначених для вирішення певного кола завдань.
Система захисту від «шпигунського» програмного коду передана в 83 організації.
Початковий код (англ. source code; також перекладається українською як вихідний код, програмний код, джерельний код, первинний код, текст програми, у професійному середовищі також сирцевий код, у контексті код або сирці) - будь-який набір інструкцій або оголошень, написаних комп'ютерною мовою програмування у формі, що її може прочитати і модифікувати людина.
Правила (політика) комп'ютерної безпеки отримані 92 організаціями та установами НАН України. Засоби захисту периметру мереж передані до 9 організацій.



Звіт по проекту включає наступні додатки:

  1. Технічні рішення щодо захисту Windows Serwer 2003;

  2. Технічні рішення щодо захисту сервера баз даних SQL Server;

  3. Технічні рішення щодо захисту web-серверів;

  4. Технічні рішення щодо захисту поштового сервера Exchange Server;
    Організа́ція (від грец. ὄργανον - інструмент) - цільове об'єднання ресурсів для досягнення певної мети.
    Пери́метр (дав.-гр. περίμετρον - окружність, дав.-гр. περιμετρέο - вимірюю навколо) - сумарна довжина границь, які обмежують геометричну фігуру на площині. «Периметр» вживають як для позначення довжини границь фігури, так і для самих границь.
    Поштовий сервер, сервер електронної пошти - в системі пересилки електронної пошти так зазвичай називають агент пересилання повідомлень (англ. mail transfer agent, MTA). Це комп'ютерна програма, яка передає повідомлення від одного комп'ютера до іншого.


  5. Система захисту корпоративних мереж від витоків конфіденційної інформації - InfoWatch Traffic Monitor. Настанова адміністратора;

  6. Типове Технічне завдання на комплексну систему захисту інформації організації чи установи НАН України.

Ключові слова: КОМПЛЕКСНА СИСТЕМА ЗАХИСТУ ІНФОРМАЦІЇ, СИСТЕМА ЗАХИСТУ ЛОКАЛЬНОЇ МЕРЕЖІ ВІД ВИТОКІВ ІНФОРМАЦІЇ, СИСТЕМА КОНТРОЛЮ SMTP-ТРАФИКУ, СИСТЕМА КОНТРОЛЮ WEB-ТРАФИКУ, ЗАХИСТ СЕРВЕРІВ.

зміст


РОЗДІЛ 1. ОСНОВИ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ 17

1.

Контроль (фр. contrôle, от contrerôle - подвійний список): Перевірка, облік, спостереження за чим-небудь. Установи, особи, що перевіряють діяльність будь-якої іншої організації або відповідальної особи, звітність тощо.
Інформаці́йна безпе́ка - це стан захищеності систем обробки і зберігання даних, при якому забезпечено конфіденційність, доступність і цілісність інформації, або комплекс заходів, спрямованих на забезпечення захищеності інформації від несанкціонованого доступу, використання, оприлюднення, руйнування, внесення змін, ознайомлення, перевірки, запису чи знищення (у цьому значенні частіше використовують термін «захист інформації»).
1 Основні поняття інформаційній безпеки 17

1.2. Визначення безпеки 17

1.2.1 Управління доступом 18

1.2.2 Міжмережеві екрани 18

1.2.

Поня́ття - форма мислення, яка відображає істотні властивості, зв'язки і відношення предметів і явищ в їхній суперечності і розвитку; думка або система думок, що узагальнює, виділяє предмети деякого класу за визначеними загальними і в сукупності специфічними для них ознаками.
Озна́чення, ви́значення чи дефіні́ція (від лат. definitio) - роз'яснення чи витлумачення значення (сенсу) терміну чи поняття. Слід зауважити, що означення завжди стосується символів, оскільки тільки символи мають сенс що його покликане роз'яснити означення.
Міжмережевий екран, Мережевий екран, Фаєрво́л, файрво́л англ. Firewall, буквально «вогняна стіна» - пристрій або набір пристроїв, сконфігурованих, щоб допускати, відмовляти, шифрувати, пропускати через проксі весь комп'ютерний трафік між областями різної безпеки згідно з набором правил та інших критеріїв.
3 Смарт-карти 18

1.2.4 Біометрія 19

1.2.5 Виявлення вторгнення 20

1.2.6 Сканування на наявність вразливих місць 20

1.2.7 Шифрування 21

1.2.

Смарт-ка́ртка (англ. smart card) - пластикова картка, що містить інтегральну схему, яка забезпечує певний рівень програмованості та невеликий обсяг пам'яті.
Сканер (англ. scanner) - пристрій, призначений для створення зображень певних об'єктів шляхом обробки променів, які відбиваються від поверхні об'єкта або проходять крізь об'єкт. В більш вузькому значенні - пристрій для отримання комп'ютерного цифрового зображення.
Шифрува́ння - оборотне перетворення даних, з метою приховання інформації. Шифрування з'явилось близько 4 тис. років назад. Першим відомим зразком шифру вважається єгипетський текст, створений приблизно в 1900 р.
8 Механізми фізичного захисту 21

1.

Фі́зика (від грец. φυσικός природний, φύσις природа) - природнича наука, яка досліджує загальні властивості матерії та явищ у ній, а також виявляє загальні закони, які керують цими явищами; це наука про закономірності Природи в широкому сенсі цього слова.
3 Особливості безпеки комп'ютерних мереж 22

1.4. Проблеми захисту мереж від витоків інформації 23

РОЗДІЛ 2. ЗАХИСТ СЕРВЕРІВ 26

2.1.1. Механізми зміцнення безпеки Windows Server 2003 26

2.1.1.1. Зміцнення безпеки за допомогою майстра настройки безпеки 26

1.1.1.2. Зміцнення безпеки серверів за допомогою групових політик Active Directory 27

2.1.2. Політика домену 30

2.1.2.1. Огляд політики домену 31

2.1.2.2. Політики облікових записів 32

2.1.2.3.

Полі́тика (від грец. πολιτική діяльність самоуправління у полісі (місто, держава), а подалі - «мистецтво управління» державою і суспільством) - діяльність з управління та керівництва суспільством на основі публічної влади.
Обліковий запис (сленг. акаунт, обліковка або обліківка) у комп'ютерній системі - сукупність наданої інформації про користувача, засобів та прав користувача відносно багатокористувацької системи.
Політика блокування облікового запису 33

2.1.2.3. Політики Kerberos 33

2.1.2.4. Параметри безпеки 33



2.1.3. Базова політика рядових серверів 34

2.1.3.1. Базова політика Windows Server 2003 36

2.1.3.2. Політика аудиту 37

2.1.3.3. Призначення прав користувача 38

2.1.3.4 . Параметри безпеки 41

2.1.3.5. Групи з обмеженим доступом 42

2.1.3.6. Захист файлової системи 43

2.1.3.7.

Пара́метр (від дав.-гр. παραμετρέω) - відмірюю, розмірюю)(рос. параметр, англ. parameter, нім. Parameter m, Kennwert m, Kenngrösse f, Kennzahl f) - величина, що нею характеризують якусь властивість, стан, розмір або форму об'єкта, робочого тіла, процесу, явища або системи тощо.
Фа́йлова систе́ма - спосіб організації даних, який використовується операційною системою для збереження інформації у вигляді файлів на носіях інформації. Також цим поняттям позначають сукупність файлів та директорій, які розміщуються на логічному або фізичному пристрої.
Додаткові параметри безпеки 43

2.1.3.8. Перевірка політики за допомогою майстра настройки безпеки 45

2.1.4. Базова політика контроллерів домену 45

2.1.4.1. Параметри політики аудиту 47

2.1.4.2. Параметри призначення прав користувача 47

2.1.4.3. Параметри безпеки контролерів домену 48

2.1.4.4. Додаткові параметри безпеки 49

2.1.4.5. Створення політики за допомогою майстра настройки безпеки 50



2.1.5. Роль сервера інфраструктури 52

2.1.6. Роль файлового сервера 55



2.1.7. Роль сервера друку 59

2.1.8. Роль сервера IAS 62

2.1.9. Роль сервера служб сертифікації 65

2.1.10. Роль вузла-бастіону 69



2.2.1. Загальні положення 71

2.2.2. Архітектура системи безпеки SQL Server 73

2.2.3. Компоненти структури безпеки 74

2.2.4.
Поло́ження - нормативно-правовий або локально-правовий акт, що визначає основні правила організації та діяльності державних органів, структурних підрозділів органу, а також установ, організацій і підприємств (філій), що їм підпорядковуються, тимчасово створюваних комісій, груп, бюро і т. ін.
Компонент (англ. component, нім. Komponente f) - різновид, складова частина чогось.
Ролі сервера 78


2.2.5. Ролі баз даних 79

2.2.5. Ролі програми 81

2.2.6. Захист даних 84

2.2.3. Обмеження доступу до файлів SQL Server 85

2.2.3.1. Права доступу 86

2.2.3.2. Права на доступ до об'єктів баз даних 87

2.2.3.3. Заборона доступу 88



2.2.4. Підвищення рівня захисту Microsoft SQL Server 89

2.2.4.1. Захист мережевого обміну 90

2.2.4.2. Захист операційної системи 91

2.2.4.3.

Операці́йна систе́ма, скорочено ОС (англ. operating system, OS) - це базовий комплекс програм, що виконує управління апаратною складовою комп'ютера або віртуальної машини; забезпечує керування обчислювальним процесом і організовує взаємодію з користувачем.
Захист компонентів бази даних 93

2.2.4.4. Аудит сервера SQL Server 94

2.2.5. Створення гнучкої системи безпеки MS SQL Server 94

2.2.5.1. Вибір схеми аутентифікації 95

2.2.5.2.

Автентифікáція (з грец. αυθεντικός ; реальний або істинний) - процедура встановлення належності користувачеві інформації в системі пред'явленого ним ідентифікатора. .
Web-аутентифікация 95

2.2.5.3. Збір користувачів в групи 96

2.2.5.4. Надання доступу до баз даних 96

2.2.5.5. Призначення дозволів 97

2.2.5.6. Проста система безпеки 98

2.3. Захист web-серверів 100



2.3.1. Правила забезпечення захисту 100

2.3.2. Планування розгортання web-сервера 102

2.3.3. Безпека ОС, що лежить в основі Web-сервера 103

2.3.3.1. Безпечна інсталяція і конфігурація ОС 104

2.3.3.2. Видалення або заборона непотрібних сервісів і програм 104

2.3.3.3. Конфігурація аутентифікації користувача в ОС 106

2.3.3.4. Управління ресурсами на рівні ОС 110

2.3.4. Безпечна інсталяція і конфігурація web-сервера 110

2.3.4.1. Безпечна інсталяція web-сервера 111

2.3.4.2. Конфігурація управління доступом 112

2.3.4.3. Розмежування доступу для ПО web-сервера 113



2.3.5. Безпека програмного середовища 115

2.3.6. Захист web-портала від інформаційних атак 117

2.4. Захист поштових серверів Exchange Server 120



2.4.1. Основні рекомендації для забезпечення безпеки 120

4.4.1.1.1. Знання інфраструктури 120

2.4.1.2. Адміністративні ролі 122

2.4.1.3. Можливості по журналізації 124



2.4.2.
Адміністрáція - це: «державна адміністрація» у значенні певних органів державного управління. Розрізняють - А. центральну (Президент, Кабінет Міністрів, інші центральні відомства) та місцеву (решта органів державного управління); із запровадженням інституту президентства створено апарат при Президентові України, який має назву «Адміністрація Президента України».
Можливість - це дія, що може відбутися або ні (можливо, приїду, а, можливо, і ні). Можливість можна забезпечити чи покладатись на «авось» та якось буде. Альтернатива дає шанс, але не гарантує без відповідних дій забезпечення результату і адекватності та конструктиву діяльності.
Майстер настройки безпеки в Windows 2003 125


2.4.3. ISA-сервер 128

2.4.4. Захист від атак відмови в обслуговуванні (Denial of Service - DOS) 129



2.4.5. Фільтр повідомлень, що настроюється 130

2.4.6. Антивірус 132

2.4.7. Захист від підробки адрес 133

2.4.8. Захист клієнтів 135

2.4.9. Захист повідомлень 135

РОЗДІЛ 3. ЗАХИСТ ЛОКАЛЬНИХ МЕРЕЖ ВІД ВИТОКІВ КОНФІДЕНЦІЙНОЇ ІНФОРМАЦІЇ 137

3.1. Основні характеристики систем запобігання витокам інформації 137



3.1.1. Що таке DLP? 137

3.1.2. Перше покоління DLP: аналіз контенту 139

3.1.3. Друге покоління DLP: детерміністські методи 141

3.1.4. Третє покоління DLP 143

3.2. Забезпечення захисту конфіденційної інформації від витоків за допомогою програмних продуктів компанії InfoWatch 144



3.2.
Комерційна організація, також Компанія (англ. Company) - юридична особа, що ставить собі за основну мету своєї діяльності одержання прибутку, на відміну від некомерційної організації, яка не має на меті отримання прибутку і не розподіляє отриманий прибуток між учасниками.
1 Склад Traffic Monitor 144

3.2.1.1. Traffic Monitor Server 145

3.2.1.2 Traffic Monitor ISA Server Plugin 146

3.2.1.3 Traffic Monitor Security Administrator 146

3.2.1.4. Traffic Monitor Security Officer 147

3.2.1.5. Traffic Monitor DB Administrator 147

3.2.1.6. Traffic Monitor Analyser 147

3.2.1.7. Traffic Monitor Eraser 147



3.2.2 Принципи фільтрації 148

3.2.
Принцип (лат. principium - начало, основа) - це твердження, яке сприймається як головне, важливе, суттєве, неодмінне або, принаймні, бажане. У повсякденному житті принципами називають внутрішні переконання людини, ті практичні, моральні та теоретичні засади, якими вона керується в житті, в різних сферах діяльності.
Фільтра́ція (рос. фильтрация, англ. filtration, нім. Filtration f, Filtern n, Filterung f, Filtrierung f) - процес проходження розчину чи суспензії через пористу перегородку (мембрану) за різницею гідростатичного тиску з обох боків мембрани, причому розмір профільтрованих часточок обмежується діаметром пор.
3 Фільтрація Web-пошти 148


3.2.4 Профілі фільтрації 149

3.2.5 Робота з Traffic Monitor Security Administrator 149

3.2.6 База профілів 150

3.2.7 Робота з Traffic Monitor Security Officer 151

3.2.8. Робота з Traffic Monitor DB Administrator 151

3.2.10 Робота з Traffic Monitor Analyser 152

3.2.11 Робота з Traffic Monitor Eraser 153

3.2.12 Утиліта архівування 153

РОЗДІЛ 4. ТИПОВЕ ТЕХНІЧНЕ ЗАВДАННЯ НА КОМПЛЕКСНУ СИСТЕМУ ЗАХИСТУ ІНФОРМАЦІЇ ОРГАНІЗАЦІЇ ЧИ УСТАНОВИ НАН УКРАЇНИ 154

4.1. Порядок створення КСЗІ 154

4.2. Склад Типового Технічного завдання на комплексну систему захисту інформації 156

ВИСНОВКИ 159

ПРОПОЗИЦІЇ ЩОДО ПРОДОВЖЕННЯ ПРОЕКТУ 159

ПЕРЕЛІК ПОСИЛАНЬ 161




Перелік основних позначень та умовних скорочень

DB – (Data Base) - база даних;

DNS – (Domain Name Serves) – служба домених імен;

IDS - (Intrusion Detection Systems) - системи виявлення комп'ютерних атак;

ISA-сервер – (Microsoft Internet Security and  Acceleration Server) – хешуючий сервер та брандмауер (використовується для спільної роботи з Інтернетом);

Посилання (англ. reference), також поклик - посилання у паперових і електронних документах - уривок, витяг з якого-небудь твору, на який посилаються у викладі, з точною назвою джерела й вказівкою на відповідну сторінку.
Пра́ця - цілеспрямована діяльність людей зі створення матеріальних і духовних благ, необхідних для задоволення потреб кожного індивіда і суспільства в цілому.

FTP - (File Transfer Protocol) — протокол передачі файлів;

HTTP - (HyperText Transfer Protocol) - протокол передачі гіпертексту;

MIME-заголовок – закодований заголовок листа;

POST-запит – передача даних до сервера по протоколу HTTP;

Proxy-сервер - хешуючий сервер (використовується для спільної роботи з Інтернетом);

RBL-сервер – зберігає в собі список зі спам-ретрансляторами;

Regular expression – сучасна систем пошуку текстових фрагментів у електронному документі;

Фрагмент (лат. fragmentum - уламок, шматок, скалка) - яка-небудь частина цілого.
Протоко́л - (фр. protocole, пізньолат. protocollum з пізньогрец. Πρωτόκολλον (Πρώτο+κολλάω) - перший, передній+приклеюю) - перший лист, приклеєний до звитку папіруса чи нотаріального документа, на якому була написана дата.
Гіперте́кст (англ. Hypertext) - текст для перегляду на комп'ютері, який містить зв'язки з іншими документами («гіперзв'язки» чи «гіперпосилання»); читач має змогу перейти до пов'язаних документів безпосередньо з вихідного (первинного) тексту, активувавши посилання.
Текст (від лат. textus - тканина, з'єднання) - загалом зв'язана і повністю послідовна сукупність знаків. Наука, що вивчає тексти називається герменевтикою.
HTTP - протокол передачі даних, що використовується в комп'ютерних мережах. Назва скорочена від Hyper Text Transfer Protocol, протокол передачі гіпер-текстових документів
Електро́нний докуме́нт - документ, інформація в якому зафіксована у вигляді електронних даних, включаючи обов'язкові реквізити документа. Електронний документ може бути створений, переданий, збережений і перетворений електронними засобами у візуальну форму.

SMTP – (Simple Mail Transfer Protocol) — простий протокол передачі пошти;

TCP/IP - (Transmission Control Protocol/Internet Protocol) - стек протоколів різних рівнів, що використовуються в мережах;

Web-пошта – поштовий сервер використовується за допомогою веб-браузера;

БД - база даних;

ОС – обчислювальна система;

Офіцер безпеки – програма доступу до листів затриманих сервером контентної фільтрації;

ПЗ – програмне забезпечення.

Бра́узер, також веб-переглядач (англ. browser МФА: [ˈbraʊ̯zɚ] - переглядач) - програмне забезпечення для комп'ютера або іншого електронного пристрою, як правило, під'єднаного до Інтернету, що дає можливість користувачеві взаємодіяти з текстом, малюнками або іншою інформацією на гіпертекстовій веб-сторінці.
Обчи́слювальна систе́ма (англ. computer system) - сукупність ЕОМ та їх програмного забезпечення, що призначені для організації ефективного обчислювального процесу;
Програ́мне забезпе́чення (програ́мні за́соби) (ПЗ; англ. software) - сукупність програм системи обробки інформації і програмних документів, необхідних для експлуатації цих програм.


ВСТУП

Одне з основних завдань сучасного бізнесу полягає в тому, щоб забезпечити безпеку своїх інформаційних активів. Комерційні й технологічні секрети, конфіденційні документи, персональні дані персоналу та клієнтів організації - всю цю класифіковану інформацію необхідно захистити від самих різних загроз.

В сучасну еру високих технологій велика кількість інформації зберігається в електронному вигляді в середовищі локальних та корпоративних обчислювальних мереж.

Секрет (фр. secret від лат. secretum - таємниця) - те що не підлягає розголошенню, що приховується від інших обмеженим колом осіб або особою; (лат. secretus - виділенний) - утаєна від неозброєного ока речовина.
Сьогодення - частина лінії часу, що складається з подій, які відбуваються нині, тобто певна ділянка просторово-часового інтервалу. При певних умовах під теперішнім часом розуміються поточні дні, місяці та навіть роки.
Необхідність - система зв'язків і відносин, що зумовлює зміну, поступальний рух, розвиток у жорстко визначеному напрямку з жорстко визначеними результатами. Іншими словами, необхідність - це такий зв'язок, що обов'язково призводить до певної події.
Докуме́нт - базова теоретична конструкція, яка відноситься до всього, що може бути збережене або представлене, щоб служити як доказ для певної мети.
Технологічність (рос. технологичность, англ. adaptability to manufacture, нім. Fertigungsgerechtheit f) - відповідність продукції вимогам економічної технології її використання. Технологічність забезпечується при розробці конструкції виробу.
Персонал (від лат. persona - особистість) - колектив працівників або сукупність осіб, що здійснюють трудові функції на основі трудового договору (контракту).
Кількість - в Арістотелівській логіці друга з 10 категорій (класів, розрядів, які спрощують процес розумового визначення будь-якої речі), побічна обставина матеріальних речей , за допомогою якої вони поширюються в просторі, вимірюються якоюсь математичною нормою і здатні бути поділеними на окремі частини.
Висо́кі техноло́гії (англ. high technology, high tech, hi-tech) - найновіші і найпрогресивніші технології сучасності. До високих технологій належать найбільш наукомісткі галузі промисловості.
Методів захисту, які використовуються в наш час велика кількість, але для того, щоб уникнути несанкціонованого доступу до конфіденційної інформації або мінімізувати ризик успішних атак, необхідно знайти найефективніший варіант поєднання цих методів.

Щоб зменшити ризик у інформаційно-телекомунікаційному середовищі і захистити свої ресурси від зовнішніх і внутрішніх загроз, необхідно використовувати стратегію «багатошарової безпеки”. Термін «багатошарова безпека» (іноді також використовують термін «глуха оборона», «глибокий захист» або «глибока безпека»), запозичений з військової термінології і використовується для опису ієрархічної побудови заходів безпеки, формування взаємозв'язаного середовища безпеки без єдиного недоліку.

Страте́гія - (дав.-гр. στρατηγία, страта тегів - ранг вищого керівника військовими підрозділами які мають марку, тег, прапор, знак та пов'язуеться з талантом управління стратега полководця вищоі страти) - мистецтво керівництва суспільною боротьбою, загальний для очільника і деталізований в процесі управління план певної діяльності з ведення цієї боротьби, який є незмінним в своїй основі охоплює тривалий період, та направлений на досягнення головної, складної цілі.
Терміноло́гія - це: Сукупність термінів, тобто слів або словосполучень, що висловлюють специфічні поняття з певної галузі науки, техніки чи мистецтва, а також сукупність усіх термінів, наявних у тій чи іншій мові.
Шари безпеки, які формують стратегію «багатошарової безпеки», повинні включати розгорнені захисні заходи на протязі всього шляху від кожного зовнішнього джерела до власних ресурсів, і всіх пунктів, що знаходяться між ними.

Розгортаючи шари багатошарової безпеки, можна бути упевненими, що, у випадку якщо один шар пробитий, інші шари забезпечать безпеку, необхідну для захисту загальних ресурсів. Наприклад, проходження крізь захист організації не повинне забезпечити нападаючому вільний доступ до найбільш важливих даних організації.

Проходження (в астрономії) - видиме пересування небесного тіла на тлі видимого диска іншого.
Кожний шар захисту повинен забезпечити різні форми контрзаходів, щоб запобігти використовуванню того ж самого методу проникнення в декількох шарах.

Діаграма показує ефективну стратегію глибокого захисту.



У складі даного проекту вже розроблена політика інформаційної безпеки для організацій НАН України, що, окрім інших, включає рішення щодо забезпеченню фізичної безпеки. Розроблені рішення щодо захисту периметру систем та мережного захисту.

Тому в першій частині даного звіту розглядаються рішення щодо захисту хостів (серверів) до яких належать: Windows Server 2003, MS SQL Server, Web-сервери та поштові сервери Exchange Server.

На сьогодні найнебезпечнішою загрозою є витік конфіденційної інформації. За останні роки актуальність цієї загрози зросла настільки, що сьогодні крадіжка класифікованих відомостей стабільно посідає перші місця у всіх рейтингах погроз ІТ-безпеки.

Актуа́льність (від лат. actualis - справжній, теперішній, сучасний, важливий у даний момент, злободенний, назрілий) - абстрактний іменник до прикметника «актуальний». Актуальність - важливість, значимість чого-небудь на сьогодні, сучасність, злободенність.
Ре́йтинг (англ. rating) - це числовий або порядковий показник успішності або популярності, який відображає важливість або вплив певного об'єкта або явища.
По оцінках ФБР і Інституту комп'ютерної безпеки (див. «2005 CSI/FBI Computer Crime and Security Survey»),середній збиток кожної компанії, що зареєструвала витік в 2006 році, склав 355,5 тис. доларів. А в дослідженні 2007 року (див. «2006 CSI/FBI Computer Crime and Security Survey») експерти ФБР відзначають, що небезпека витоку конфіденційної інформації за минулий рік зросла ще сильніше.
Небезпе́ка - можливість виникнення обставин, за яких матерія, поле, інформація або їхнє поєднання можуть таким чином вплинути на складну систему, що призведе до погіршення або неможливості її функціонування і розвитку.
Крім того, число багатомільйонних втрат внаслідок крадіжки класифікованих даних постійно росте. Наприклад, компанія ChoicePoint втратилася майже 60 млн. доларів, DSW Shoe Warehouse - 6,5 млн. доларів, Chipotle - 5,6 млн. доларів, а CardSystems Solutions просто збанкрутувала.

Російські підприємства точно так само стурбовані проблемою захисту своїх інформаційних активів. Відповідно до дослідження компанії InfoWatch (див. «Внутренние ИТ-угрозы в России 2007»),у ході якого наприкінці 2007 року були опитані більше 400 російських підприємств, саме крадіжка конфіденційної інформації була визнана самою небезпечною погрозою ІТ-безпеки. На користь цієї точки зору висловилися 64% респондентів, у той час як на шкідливі коди та хакерскі атаки вказали лише 49% і 48% відповідно.

Респондент (від лат. respondere - відповідати, реагувати) - учасник інтерв'ю, соціологічного опитування, або психологічних тестів. Особа, яка відповідає на запитання інтрев'юєра, корреспондента або анкети.
Підприє́мство - самостійний суб'єкт господарювання, зареєстрований компетентним органом державної влади або органом місцевого самоврядування, для задоволення суспільних та особистих потреб шляхом систематичного здійснення виробничої, науково-дослідної, торговельної, іншої господарської діяльності в порядку, передбаченому Господарським кодексом України та іншими законами.
Аспект (лат. aspectus - вигляд, погляд) - поняття філософії (онтології, теорії пізнання). У філософії аспект розглядається
Тим часом, конфіденційна інформація може покинути внутрішню корпоративну мережу декількома шляхами. У розпорядженні інсайдерів перебувають, як поштові ресурси компанії, так і вихід в Інтернет (веб-пошта, чаты, форуми та інше). Однак найнебезпечнішим каналом витоку представники російського бізнесу назвали комунікаційні можливості робочих станцій, до яких варто віднести цілий ряд портів (USB, LPT, COM, IrDA), різні типи приводів (CD/ DVD-RW, ZIP, Floppy), бездротові мережі (Bluetooth, Wi-Fi) і т.д.
Представни́цтво 1 - правовідношення, в якому одна сторона (представник) зобов'язана, або має право, вчинити правочин від імені другої сторони, яку вона представляє. Не є представником особа, яка хоч і діє в чужих інтересах, але від власного імені, а також особа, уповноважена на ведення переговорів щодо можливих у майбутньому правочинів.
Комуніка́ція (від лат. communicatio - єдність, передача, з'єднання, повідомлення, пов'язаного з дієсловом лат. communico - роблю спільним, повідомляю, з'єдную, похідним від лат. communis - спільний) - це процес обміну інформацією (фактами, ідеями, поглядами, емоціями тощо) між двома або більше особами, спілкування за допомогою вербальних і невербальних засобів із метою передавання та одержання інформації.
Бездротова мережа - тип комп'ютерної мережі, яка використовує бездротове з'єднання для передачі даних й підключення до мережевих вузлів.

Бізнес стурбований проблемою витоку класифікованих даних саме через мобільні накопичувачі. Широко відомий інцидент із японською телекомунікаційною компанією KDDI. Інсайдери спокійно скопіювали на CD і USB-флешки персональні дані 4 млн. клієнтів корпорації, а потім вимагали від свого роботодавця викуп у розмірі 100 тис. доларів. У противному випадку інсайдери обіцяли оголосити факт витоку напередодні зборів акціонерів. Крім того, у військової кампанії в Афганістані військові сили США допустили витік персональних відомостей солдат, офіцерів і генералів армії США, а також ряду документів під грифом «секретно».

Інцидент (від лат. incidentis) - неприємна подія, непорозуміння, випадок, зіткнення. Також, зважаючи на політкоректність, і, з мотивів обережності щодо попередніх неекспертних висновків, інцидентом можуть позначати збройні конфлікти [джерело не вказане 1306 днів].
Військовослужбо́вець, військо́вий або військови́к - людина, що служить у Збройних силах країни (англ. military serviceman або англ. military personnel).
Генераліте́т - загальна назва осіб вищого командного і начальницького складу збройних сил країн світу, у сухопутних військах, повітряних силах та на флоті, а також й в інших силових структурах, які належать та мають вищі військові звання генералів.
Роботода́вець - власник підприємства, установи, організації або уповноважений ним орган, незалежно від форм власності, виду діяльності, господарювання, і фізична особа, яка використовує найману працю, яка найняла працівника за трудовим договором (контрактом).
Акціонер (Shareholder) - Власник частки в акціонерному капіталі корпорації чи взаємного фонду / інвестиційної компанії відкритого типу / фонду взаємного інвестування. У корпораціях разом із правом власності акціонеру надається право одержання дивідендів і право голосу при прийнятті рішень, що впливають на діяльність корпорації, у тому числі при виборі правління директорів.
Япо́нія (яп. 日本, にっぽん / にほん, МФА: [nip̚.poɴ] / [nihoɴ]) - держава у Східній Азії. Офіційна назва - Япо́нська Держа́ва. Розташована на Японському архіпелазі, у північно-західній частині Тихого океану. Складається з 47 адміністративних одиниць - префектур.
Військова кампанія - етап війни, у ході якого досягається її проміжна мета. У кожній військовій кампанії проводиться низка стратегічних операцій та інших форм військових дій, об'єднаних загальним задумом і що проводяться на одному або декількох стратегічних напрямах або в цілому на театрі воєнних дій.
Вся ця інформація витекла за допомогою USB-флешек, на які обслуговуючий персонал записав класифіковані відомості.

Однак, слід зазначити, що конфіденційні дані часто витікають не внаслідок навмисних дій нечистих на руку службовців. Дійсно, деякі співробітники воліють брати роботу додому або переписують класифіковані документи на портативний накопичувач, щоб вивчити їх на своєму ноутбуці у відрядженні. Нарешті, службовці можуть просто помилитися й переплутати закриті дані з публічними файлами. Саме такий витік відбувся в американському штаті Огайо, де службовці виборчкому просто переплутали файли та розіслали по політичних об'єднаннях компакт-диски з персональними даними 7 млн.

Службо́вець - найнятий працівник, який належить до соціальної групи, що включає всіх зайнятих за наймам нефізичною працею в різних сферах суспільної зайнятості: в промисловості (інженери, бухгалтери, секретарі тощо), в сфері послуг (охороні здоров'я, торгівлі), освіті та на військовій службі.
Відря́дження - поїздка працівника за розпорядженням керівника підприємства, установи, організації для виконання службового доручення поза місцем постійної роботи.
Компа́кт-ди́ск (англ. compact disc) (CD) - переносний оптичний диск для збереження інформації (даних) у цифровому вигляді, тобто формату зберігання даних. Цей формат було спочатку розроблено для записування та відтворення лише звукозаписів, але пізніше, його було пристосовано для зберігання даних: (CD-ROM).
громадян. Інакше кажучи, службовцями можуть рухати й благі спонукання, які на практиці просто приведуть до компрометації конфіденційної інформації організації.
Практика (грец. πράξις «діяльність») - доцільна і цілеспрямована діяльність, яку суб'єкт здійснює для досягнення певної мети. Практика має суспільно-історичний характер і залежить від рівня розвитку суспільства, його структури.

Враховуючи все вищєзазначене, у другій частині звіту розглядаються засоби захисту локальних мереж організацій та установ НАН України від витоків конфіденційної інформації.

В третій частині звіту наведені вимоги до комплексної системи захисту інформації в АІС організацій НАН України. Вимоги викладені як Типове Технічне завдання на КСЗІ.



  1   2   3   4   5   6   7   8   9   ...   18