Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Звіт по проекту "Розробка та впровадження типових рішень щодо комплексної системи захисту інформації в аіс нану" Частина Основні технічні рішення Київ-2004 зміст 5 Стратегія багатошарової безпеки 4

Звіт по проекту "Розробка та впровадження типових рішень щодо комплексної системи захисту інформації в аіс нану" Частина Основні технічні рішення Київ-2004 зміст 5 Стратегія багатошарової безпеки 4




Сторінка1/7
Дата конвертації16.03.2017
Розмір1.03 Mb.
ТипЗвіт
  1   2   3   4   5   6   7


НАЦІОНАЛЬНА АКАДЕМІЯ НАУК УКРАЇНИ

ІНСТИТУТ ПРОГРАМНИХ СИСТЕМ

ЗВІТ

по проекту “Розробка та впровадження типових рішень щодо комплексної системи захисту інформації в АІС НАНУ”
Частина 2.

Основні технічні рішення

Київ-2004

ЗМІСТ


5 Стратегія багатошарової безпеки 4

5.1 Загальні відомості 4

5.2 Захист даних 5

5.3 Захист додатків 5

5.4 Захист хостів 5

5.5 Мережний захист 6

5.6 Захист периметра 6

5.7 Фізична безпека. 7

6 Архітектура комплексної системи захисту інформації 8

6.1 Структура комплексів засобів захисту 8



6.1.1 Підсистема ідентифікації/автентифікації 9

6.1.2 Підсистема керування доступом 10

6.1.3 Підсистема реєстрації дій користувачів 10

6.1.4 Підсистема контролю цілісності 11

6.1.5 Підсистема антивірусного захисту 11

6.1.6 Підсистема копіювання/відновлення інформації та програм 11

6.1.7 Підсистема керування 12

6.2 Архітектура програмно-технічних засобів 12



6.2.1 Склад програмно-технічних засобів 12

6.2.2 Операційна система Microsoft Server 2003 13

6.2.3 Забезпечення безпеки в операційній системі Windows XP 20

6.2.4 Забезпечення безпеки в Microsoft Office XP 32

6.2.5 Засоби антивірусного захисту 37

6.2.6 Аналізатор основних елементів захисту Microsoft - Microsoft Baseline Security Analyzer 40

6.2.7 Засоби резервного копіювання/відновлення - BrightStor Enterprise Backup 51

6.2.8 Електронний ключ eToken 52

Переваги операційної системи UniCOS 64

7 Витрати на створення КСЗІ 72

7.1 Витрати на придбання засобів антивірусного захисту - AVP Kaspersky 72

7.2 Витрати на придбання eToken 73

7.3 Витрати на придбання засобів резервного копіювання/відновлення - BrightStor Enterprise Backup 75

7.4 Сумарні витрати по роках 76

8 Заходи щодо підготовки об’єкта автоматизації до вводу системи в дію 77

8.1 Організаційні заходи 77

8.2 Структура служби захисту 77

5 Стратегія багатошарової безпеки

5.1 Загальні відомості


Щоб зменшити ризик у інформаційно-телекомунікаційному середовищі і захистити свої ресурси від зовнішніх і внутрішніх загроз, необхідно використовувати стратегію «багатошарової безпеки”. Термін «багатошарова безпека» (іноді також використовують термін «глуха оборона», «глибокий захист» або «глибока безпека»), запозичений з військової термінології і використовується для опису ієрархічної побудови заходів безпеки, формування взаємозв'язаного середовища безпеки без єдиного недоліку. Шари безпеки, які формують стратегію «багатошарової безпеки», повинні включати розгорнені захисні заходи на протязі всього шляху від кожного зовнішнього джерела до власних ресурсів, і всіх пунктів, що знаходяться між ними.

Розгортаючи шари багатошарової безпеки, можна бути упевненими, що, у випадку якщо один шар пробитий, інші шари забезпечать безпеку, необхідну для захисту загальних ресурсів. Наприклад, проходження крізь захист організації не повинне забезпечити нападаючому вільний доступ до найбільш важливих даних організації. Кожний шар захисту повинен забезпечити різні форми контрзаходів, щоб запобігти використовуванню того ж самого методу проникнення в декількох шарах.

Діаграма показує ефективну стратегію глибокого захисту.

Важливо пам'ятати, що ресурсами є не тільки дані, а все у середовищі, що може бути об'єктом нападу. Як частину стратегії управління ризиками, необхідно досліджувати ресурси, які необхідно захищати, і визначати, чи має кожний користувач достатній ступінь захисту для кожного з них. Звичайно, ступінь безпеки, який можна застосувати, буде залежати від оцінки ризику, а також аналізу вартості і вигод розгортання контрзаходів. Проте, необхідно переконатися в тому, що нападаючий буде також потребувати подібного знання, часу і ресурсів, щоб обійти всі контрзаходи і отримати доступ до ресурсів, що повинні бути захищені.

Розглянемо більш докладніше кожний шар стратегії глухої оборони.

5.2 Захист даних


Для багатьох організацій один з найбільш цінних ресурсів - це дані. Якщо ці дані потраплять в руки конкурентів, або виявляться пошкодженими, можуть виникнути серйозні неприємності.

На клієнтському рівні, дані, що зберігаються окремо, особливо уразливі. Якщо портативний комп'ютер вкрадений, дані можуть бути скопійовані, відновлені і прочитані, навіть якщо злочинець нездатний підключитися до системи.


5.3 Захист додатків


Захист додатків є необхідною частиною будь-якої моделі безпеки. Система безпеки Windows 2003 містить механізми захисту додатків, проте, відповідальність розробника полягає в тому щоб правильно реалізовувати і використовувати ці механізми в додатках. Додаток існує в межах операційної системи, так що необхідно завжди розглядати захист всього середовища при розгляді захисту додатків.

Кожний додаток, що використовується в організації, повинен бути ретельно перевірений на безпеку у випробувальному середовищі перш, ніж можна дозволити цьому додатку працювати в системах організації.


5.4 Захист хостів


Необхідно оцінити кожний комп'ютер, що підключається до інформаційно-телекомунікаційного середовища і виробити політику, яка обмежує кожний сервер тільки тими задачами, якими він повинен займатися. Таким чином, створюється ще один бар'єр захисту, який доведеться обходити зловмиснику, перш ніж завдати якого-небудь збитку.

Перший крок в досягненні цього полягає в тому, щоб створити індивідуальну політику, засновану на класифікації і типах даних, що містяться на кожному сервері. Наприклад, в політиці організації може бути передбачено, що всі Web-сервери призначені для спільного використовування і, тому, можуть містити тільки інформацію для спільного користування. Для серверу баз даних інформація може бути позначена як конфіденційна, що означає, що інформація повинна бути захищена за всіляку ціну. Це відображено в класифікаціях, наведених в наступній таблиці.

Таблиця: Класифікація серверів.

Призначення

Визначення

Для спільного використовування

Розповсюдження цього матеріалу не обмежено. Туди включена наукова інформація, комерційні матеріали і інформація, призначена для спільного користування. Дані спільних серверів Інтернет повинні бути визначені як для спільного використовування.

Тільки для внутрішнього використовування

Розкриття цієї інформації безпечно для внутрішнього розподілу, але, будучи опублікованою, може завдати значного збитку організації. Щонайменше, один міжмережевий екран повинен існувати між цією інформацією і Інтернет.

Конфіденційно

Розкриття цієї інформації принесло б серйозний збиток організації в цілому. По своїй природі ця інформація найвідчутніша, і надається тільки при необхідності. Щонайменше, два міжмережеві екрани повинно бути поміщено між цією інформацією і Інтернет.



  1   2   3   4   5   6   7



  • 5 Стратегія багатошарової безпеки
  • 5.2 Захист даних
  • 5.3 Захист додатків
  • 5.4 Захист хостів