Вход

Предложение по структуре и функционированию системы информационной безопасности строительной организации.

Рекомендуемая категория для самостоятельной подготовки:
Реферат*
Код 154052
Дата создания 2009
Страниц 52
Источников 11
Покупка готовых работ временно недоступна.
500руб.

Содержание

Введение
1. Основные характеристики организации ЗАО «Стройкад» и ее информационной системы
2. Специфика, классификация и краткий анализ основных угроз информационной системе организации
3. Цели и задачи предлагаемого к разработке реферата
4. Формулировка основных задач СИБ и средства их возможной реализации
5. Средства разграничения доступа к глобальным сетям, данным и программам
6. Средства идентификации и аутентификации пользователей информационной системы организации
7. Обоснование необходимости и предполагаемой эффективности использования ЭЦП и предложения по ее внедрению в информационный процесс организации
8.Предложения по структуре СИБ и размещению ее элементов в АПКУ организации
9. Основные экономические характеристики СИБ и предложения по этапности ее внедрения
Выводы и предложения
Список реферированных источников

Фрагмент работы для ознакомления

"Внешним контуром" для информационной системы современного предприятия являются точки соединения внутренней локальной сети с внешней или с Интернетом, если брать наиболее распространенный случай. А роль "забора с воротами" здесь выполняет Firewall, или межсетевой экран, или брандмауэр - все это разные названия одного и того же средства информационной безопасности.
Firewall - это программно-аппаратный комплекс, который позволяет пользователю закрыть все порты входа-выхода, кроме тех, которые нужны ему для работы. В классическом случае это компьютер с двумя сетевыми картами, одна из которых соединена с внутренней сетью, а вторая - с внешней. В память этого компьютера загружена программа, которая управляет TCP/IP-портами и контролирует, кто или что имеет право пользоваться этими портами и в каких целях.
На рынке существует множество готовых устройств и программ, реализующих функцию Firewall, а также есть "конструкторы" типа бесплатных ОС Linux или FreeBSD, из которых опытный пользователь может самостоятельно собрать Firewall. В качестве примера готового устройства можно привести 3Com OfficeConnect Internet Firewall компании 3Com Corporation, который представляет собой небольшое устройство с несколькими портами для подключения к внешней и внутренней сети. Настраивается этот Firewall через любой Интернет-браузер. Примером готовой программы может служить eTrust Firewall компании Computer Associates International, Inc.
Преимуществом готовых продуктов является простота установки и настройки, а также расширенный набор полезных функций. Например, eTrust Firewall, наряду с выполнением стандартных функций Firewall, позволяет:
управлять несколькими Firewall из единого интерфейса;
использовать существующую информацию о легальных пользователях NT или RADIUS-серверов;
применять готовые фильтры для популярных сетевых служб, таких как FTP, RealAudio и др.;
информировать администратора о внештатных ситуациях, посылая сообщения на пейджер или факс;
предоставлять и другие удобные функции, облегчающие контроль за безопасностью "внешних границ" любой информационной системы.
Но построив "забор с воротами" вокруг нашего предприятия, рано успокаиваться. Нужно поставить в воротах систему наблюдения, которая будет следить, не пытаются ли под видом своих проникнуть внутрь чужие. Нужно также установить в воротах "металлодетекторы", чтобы предотвратить пронос через ворота (в любом направлении) запрещенных материалов.
Такой системой наблюдения в информационной безопасности служит Intrusion Detection System - система обнаружения попыток вторжения. А роль "металлодетектора" выполняет Content Inspection System - система проверки содержимого входящего и исходящего сетевого трафика.
Как работает Intrusion Detection System? Упрощенно говоря, такая система хранит в памяти набор шаблонов, описывающих типичные признаки, присущие той или иной попытке незаконного проникновения в информационную систему. Intrusion Detection System отслеживает текущее состояние компьютеров и сетевого трафика и сравнивает его с шаблонами. При обнаружении совпадения с одним из шаблонов Intrusion Detection System предпринимает заранее запрограммированные действия, сложность и эффективность которых зависит от совершенства Intrusion Detection System. Простейшая система может проинформировать администратора(ов) и зарегистрировать попытку вторжения в журнале, более совершенные системы могут предпринять определенные действия для предотвращения вторжения.
Но защита, основанная на анализе содержимого сетевых пакетов, может не выявить опасности, которая станет реальной только после того, как пакеты соберутся в программный код на компьютере клиента. В этом случае нужна система, способная обнаруживать присутствие опасных программ в легальном сетевом трафике и блокировать их распространение, то есть Content Inspection System.
Чтобы понять природу опасности, от которой защищает Content Inspection System, давайте рассмотрим простой пример. Сотрудник предприятия, сидящий за компьютером в офисе, запускает браузер и выходит в Интернет. Он заходит на web-сайт, и в окно браузера загружается заинтересовавшая его HTML-страница. Включенный в HTML-страницу код JavaScript может работать только в окне браузера и не имеет доступа к файловой системе клиентского компьютера. Однако код VBScript и имеющий цифровой сертификат код JavaScript уже имеют доступ к файловой системе. Поэтому оба типа скриптов (а также элементы ActiveX) представляют определенный риск не только для содержимого компьютера этого пользователя, но и для всей информационной системы, поскольку данный компьютер включен в локальную сеть. Content Inspection System предотвращает выполнение вредоносного кода, позволяя пользователю фильтровать все типы скриптов на основе набора правил фильтрации.
В качестве примера Content Inspection System можно назвать SurfinGate компании Finjan Software Ltd. или eTrust Content Inspection.
Последняя обладает такими особенностями:
Защита в реальном времени - работающая в режиме реального времени система, которая сочетает в себе высокую производительность с надежной защитой от вредоносных исполняемых файлов
Защита на основе цифровых сертификатов - eTrust Content Inspection выполняет анализ цифровых сертификатов, проверяя "подписанные" Java-апплеты, компоненты ActiveX и др. Базовый список известных сертификатов (Certificates of Authority) поставляется вместе с продуктом. Новые сертификаты можно добавить в список, импортировав их из реестра, файла сертификатов или из других объектов, имеющих цифровую подпись
Централизованное управление - упрощает создание и внедрение правил защиты
Шаблоны - позволяют легко создавать гибкие правила защиты.
Средства аудита - eTrust Content Inspection имеет полный набор средств для аудита и создания отчетов
Блокировка "неблагонадежных" URL-пользователей - можно ограничивать или блокировать доступ к определенным URL на основании списка "неблагонадежных" слов
Поддержка всех основных протоколов - eTrust Content Inspection поддерживает три основных протокола Интернета - SMTP, FTP и HTTP, обеспечивая защиту от вредоносного кода, распространяемого через e-mail, при скачивании файлов с web-сайта и при передаче файлов
Эвристический механизм обнаружения вирусов - благодаря этому механизму eTrust Content Inspection может обнаруживать даже неизвестные макровирусы.
Таким образом, установив Firewall, Intrusion Detection System и Content Inspection System, мы защитим информационную систему предприятия по "внешнему контуру". Теперь можно переходить к обеспечению внутренней защиты, которая по важности не уступает, а, может, и превосходит внешнюю, поскольку известно, что львиная доля потерь, связанных с нарушением секретности, происходит по вине сотрудников предприятия. Поэтому очень важно не только разработать эффективные правила информационной безопасности и довести их до сведения каждого сотрудника, но и строго следить за их выполнением. В сфере информационных технологий эти задачи значительно усложняются в связи с бурным развитием и массовым распространением таких технологий. И тут уже не обойтись без специальных средств безопасности, которые позволяют облегчить и частично автоматизировать труд ИТ-администраторов, отвечающих за информационную безопасность.
Начнем с азов. В информационной системе современного предприятия каждый пользователь имеет идентификационное имя (одно или несколько) и пароль, используя которые, он получает доступ к различным информационным ресурсам - серверам, принтерам, базам данных и т. д. Права доступа к этим ресурсам назначаются администратором информационной системы. Аналогом в традиционной системе безопасности может служить пропускная система: одному сотруднику пропуск позволяет попасть только на свое рабочее место, а другому - пройти в любое помещение предприятия. Чем больше ресурсов и пользователей, тем сложнее избежать ошибок в распределении прав доступа к ресурсам, последствия которых могут быть самыми разнообразными: от несанкционированного использования сетевого цветного принтера (сопутствующие убытки: повышение расходов на цветной тонер и качественную бумагу) до доступа к файлам, содержащим секретную информацию (сопутствующие убытки: прямые коммерческие, вплоть до полного разорения фирмы).
Необходима удобная система контроля за тем, кто, когда, к каким ресурсам и с какими правами имеет доступ. В принципе, в любой сетевой операционной системе или грамотно написанном приложении ведется такой контроль, но если на предприятии используется не одна операционная система и не одно сетевое приложение, то синхронизировать такую систему становится очень трудно.
Помочь может универсальная система контроля доступа, например, Cisco Secure Access Control Server или eTrust Access Control. Отметим некоторые возможности таких систем:
Файлы - защищает безотносительно к ограничениям ОС. Например, если пользователь не имеет доступа к какому-либо файлу, то он его и не получит, даже если зайдет суперпользователем
Процессы - критические системные и прикладные процессы могут быть завершены только авторизованными пользователями
Привилегированные программы - Access Control позволяет контролировать запуск программ, запускающихся с правами конкретного пользователя
Сетевые соединения - Access Control контролирует доступ к сетевым программам с помощью ограничения доступа к портам
Терминалы - Access Control позволяет контролировать, кто и с какого терминала может войти в систему
Ресурсы - с помощью Access Control администраторы могут создавать собственные правила для контроля доступа к любым ресурсам.
Теперь вспомним, что каждый пользователь может иметь несколько сетевых имен. Например, различные имена для доступа к различным информационным ресурсам. И он должен все время помнить, какое имя и пароль нужно ввести в ответ на запросы разных систем. Но даже если он имеет одно имя и пароль, при обращении к новым ресурсам ему, может быть, придется каждый раз заново вводить одно и то же. А ведь правила безопасности требуют периодически менять пароли. И в случае увольнения сотрудника администратор должен последовательно удалить все его регистрационные данные во всех ресурсах, к которым он имел доступ. Потому что если будет пропущен хотя бы один ресурс, то он станет потенциально уязвимым местом в системе информационной безопасности предприятия. Решением этой проблемы являются модули единого входа в информационную систему, такие как Focal Point компании Okiok Data или eTrust Single Sign-On.
Дальнейшее усиление защиты информационной системы предприятия в современных условиях невозможно без использования новейших технологий. Одной из наиболее широко используемых сегодня технологий аутентификации для обеспечения безопасного использования информационным ресурсам является Public Key Infrastructure (PKI) - "инфраструктура публичных ключей". В двух словах, это работает так: существуют доверительные организации, которые выдают каждой обратившейся к ним организации два специальных кода: public key (публичный ключ) и private key (частный ключ). При обмене информацией между двумя сторонами используются зашифрованные цифровые сертификаты, подтверждающие легальность сторон. Шифрование и расшифровка сертификатов происходят с использованием этих кодов-ключей.
Архитектура PKI является широко принятым в мире стандартом для обеспечения защиты пользователей, данных и прикладных программ.
Итак, мы внедрили на нашем предприятии автоматизированную "пропускную систему", позволяющую проникать внутрь информационной системы и перемещаться по ней только легальным пользователям. На этом, казалось бы, можно и завершить создание системы информационной безопасности современного предприятия, если бы не одно очень существенное обстоятельство, о котором я уже упоминал: широкое разнообразие и быстрое развитие информационных технологий.
Употребив прилагательное "современное", мы обязаны учитывать это в своем проекте создания комплексной системы безопасности. На современном предприятии и в его информационной системе эксплуатируются разнообразное оборудование и технологии. В одной информационной системе может использоваться несколько служб каталогов конкурирующих производителей, в которых тем не менее нужно поддерживать актуальные списки пользователей и ресурсов. Сотрудники предприятия используют для работы (а часто не только для работы) носители информации, которые могут содержать вирусы.
Отправляясь в командировки или работая на дому, пользователи информационной системы предприятия будут нуждаться в удаленном доступе к ее ресурсам. Чтобы соответствовать этим и другим требованиям современных информационных технологий и не жертвовать при этом безопасностью, приходится использовать дополнительные средства.
Предположим, что в информационной системе предприятия в разных подразделениях используются:
Windows 2000 Active Directory;
Novell NDS;
служба каталогов для финансовых транзакций, разработки местного поставщика ПО и т. п.
Каждая из этих служб в отдельности относительно легко контролируется и управляется с помощью встроенных инструментов. Но вместе они составляют очень сложную для администрирования систему, в которой инструмент управления одной службой не может использоваться для управления другой. Администратор, внеся изменения в одну службу каталогов, вынужден каждый раз дублировать эти изменения во всех других службах. Все это не только чревато непродуктивными потерями рабочего времени, но и неизбежно ведет к ошибкам, которые влияют на эффективность работы и безопасность информационной системы предприятия. Чтобы избежать этого, нужно использовать автоматизированную систему интеграции служб каталогов от различных производителей в единое дерево каталогов.
Наше описание комплексной системы информационной безопасности предприятия было бы неполным, если мы забыли о таком важном и широко используемом сегодня понятии, как виртуальные частные сети - virtual private network (VPN).
К сожалению, межсетевые экраны (Firewall) не могут решить всех проблем безопасности, связанных с использованием Интернет-каналов. Причем некоторые проблемы - такие как защита информации от прослушивания при ее прохождении по каналам Интернета, могут быть решены путем добавления в программное обеспечение межсетевых экранов возможности шифрования данных (целый ряд программных межсетевых экранов включают в себя так называемую клиентскую часть, что позволяет шифровать весь сетевой трафик между клиентом и сервером). Однако по мере развития информационных систем в сторону все более широкого использования Интернета значительную роль начинают играть технологии, созданные без привязки их к использованию совместно с межсетевыми экранами. Имеется в виду последняя мода на Интернет-порталы, используемые в том числе и в CRM-системах. Так вот, одной из непреодолимых сложностей для межсетевых экранов с их статической конфигурацией портов становится использование RMI (remote method invocation) в современных системах, ориентированных на широкое использование Java, когда неизвестно заранее, какие и сколько сетевых портов понадобится открыть для каждого конкретного запроса. Одним из решений подобной проблемы может быть создание виртуальной частной сети с помощью аппаратных (Cisco) или программных (eTrust VPN) средств. В этом случае весь сетевой обмен по всем сетевым портам между компьютерами, организованными в VPN, осуществляется по открытым каналам в шифрованном виде, образуя таким образом подобие локальной сети внутри Интернета/интранета. Важно, что для работы в VPN не требуется внесения каких-либо изменений в используемое программное обеспечение - все выглядит как обычная работа в сети. Но надо учитывать, что в большинстве случаев VPN не заменяет межсетевой экран. Вы не можете установить VPN клиента на каждый компьютер, с которого обращаются на ваш корпоративный web-сервер. Оптимальным представляется совместное использование межсетевых экранов и VPN, там, где это возможно. Например, eTrust Firewall и eTrust VPN можно настроить таким образом, что они будут дополнять друг друга, т. е. с помощью eTrust Firewall в список открытых портов добавляется еще один, через который eTrust VPN осуществляет зашифрованный обмен с компьютерами, организованными в VPN. При этом порт можно открыть не для всех, а для конкретной группы компьютеров.
Построение системы информационной безопасности современного предприятия, которая состоит, как мы увидели, из целого ряда компонентов, - это сложный и ответственный процесс, требующий приложения серьезных знаний, опыта, времени и средств. Сегодня на рынке существует множество продуктов от разных производителей, призванных облегчить и ускорить этот процесс. Один производитель награжден за лучший Firewall, другой - за Intrusion Detection System, третий - за Antivirus. Можно отобрать лучшие продукты разных производителей и построить из них систему безопасности. Однако управлять такой системой будет нелегко. Простота управления системой является одним из важных условий информационной безопасности.
Именно поэтому мы на протяжении всего обзора использовали в качестве примера продукты компании Computer Associates из семейства eTrust.
9. Основные экономические характеристики СИБ и предложения по этапности ее внедрения
1. CA eTrust Firewall Workgroup Edition 3.1SP2 Government License Program ETrust Firewall.
Назначение: является брандмауэром, защищающим сеть предприятия как от проникновения снаружи, так и от недобросовестных сотрудников внутри предприятия, если они захотят нанести урон корпоративной информации. eTrust Firewall позволяет фильтровать сетевой трафик по множеству критериев, например по целевому приложению, сетевым службам, адресам источника и назначения. eTrust Firewall позволяет с помощью простых правил быстро и эффективно защитить сеть.
Цена реализации: 48 209,00 руб
2. CA eTrust Intrusion Detection 3.0 Management Console Option 3.0 Government License Program ETrust Intrusion Detection (eTrust ID)
Назначение: это комплексная система защиты, реализующая сразу три основные функции: обнаружение вторжений, мониторинг сетевых сеансов и контентная фильтрация web-трафика.
Цена реализации: 40 945,70 руб.
Общая стоимость = 48209,00+40945,70 = 89154,7 руб.
Стоимость системы безопасности будет равна 89154,7 рублей. Установка и обслуживание оборудования составляет 15 % от всей стоимости (13373,2). Общая стоимость системы для ЗАО «Сторойкад» будет равна 102527,90 рублей.
Выводы и предложения
Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому решение вопроса о разработке эффективной политики информационной безопасности на современном предприятии обязательно связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации. Вследствие этого, в дополнение к требованиям и рекомендациям стандартов, Конституции, законам и иным руководящим документам приходится использовать ряд международных рекомендаций. В том числе адаптировать к отечественным условиям и применять на практике методики международных стандартов, таких, как ISO 17799, ISO 9001, ISO 15408, BSI, COBIT, ITIL и другие, а также использовать методики управления информационными рисками в совокупности с оценками экономической эффективности инвестиций в обеспечение защиты информации предприятия. Современные методики управления рисками позволяют решить ряд задач перспективного стратегического развития современного предприятия. Во-первых, количественно оценить текущий уровень информационной безопасности предприятия, что потребует выявления рисков на правовом, организационно-управленческом, технологическом, а также техническом уровнях обеспечения защиты информации.
Во-вторых разработать политику безопасности и планы совершенствования корпоративной системы защиты информации для достижения приемлемого уровня защищенности информационных активов компании. Для этого необходимо:
- обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения;
- выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы;
- определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности компании, создать необходимый пакет организационно-распорядительной документации;
- разработать и согласовать со службами организации, надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий;
- обеспечить поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.
Решение названных задач открывает новые широкие возможности перед должностными лицами разного уровня.
Руководителям верхнего звена это поможет объективно и независимо оценить текущей уровень информационной безопасности компании, обеспечить формирование единой стратегии безопасности, рассчитать, согласовать и обосновать необходимые затраты на защиту компании. На основе полученной оценки начальники отделов и служб смогут выработать и обосновать необходимые организационные меры (состав и структуру службы информационной безопасности, положение о коммерческой тайне, пакет должностных инструкций и инструкции действия в нештатных ситуациях). Менеджеры среднего звена смогут обоснованно выбрать средства защиты информации, а также адаптировать и использовать в своей работе количественные показатели оценки информационной безопасности, методики оценки и управления безопасностью с привязкой к экономической эффективности компании.
Практические рекомендации по нейтрализации и локализации выявленных уязвимостей системы, полученные в результате аналитических исследований, помогут в работе над проблемами информационной безопасности на разных уровнях и, что особенно важно, определить основные зоны ответственности, в том числе материальной, за ненадлежащее использование информационных активов компании. При определении масштабов материальной ответственности за ущерб, причиненный работодателю, в том числе разглашением коммерческой тайны, следует руководствоваться соответствующими положениями Трудового кодекса.
Список реферированных источников
Агальцов В.П., Титов В.М., Информатика для экономистов: Учебник. – М.: ИД «Форум», ИНФРА – М, 2006. – 448 с.: ил.
Завгородний В.И., Комплексная защита информации в компьютерных системах: Учебное пособие. - М.: Логос; ПБОЮЛ Н.А. Егоров, 2001. -264 с: ил.
Федеральный закон от 20 февраля 1995 г. № 24 – ФЗ «Об информации, информатизации и защите информации»
http://www.sec4all.net/konf2.html
http://www.searchinform.ru/main/full-text-search-information-security.html
http://www.college.ru/UDP/texts/index.html
ФЕДЕРАЛЬНЫЙ ЗАКОН «Об электронной цифровой подписи», http://www.college.ru/UDP/texts/pril1.html
http://www.strongdisk.ru/
www.e-nigma.ru
www.Intel.ru
www.inside-zi.ru
53

Список литературы

1.Агальцов В.П., Титов В.М., Информатика для экономистов: Учебник. – М.: ИД «Форум», ИНФРА – М, 2006. – 448 с.: ил.
2.Завгородний В.И., Комплексная защита информации в компьютерных системах: Учебное пособие. - М.: Логос; ПБОЮЛ Н.А. Егоров, 2001. -264 с: ил.
3.Федеральный закон от 20 февраля 1995 г. № 24 – ФЗ «Об информации, информатизации и защите информации»
4.http://www.sec4all.net/konf2.html
5.http://www.searchinform.ru/main/full-text-search-information-security.html
6.http://www.college.ru/UDP/texts/index.html
7.ФЕДЕРАЛЬНЫЙ ЗАКОН «Об электронной цифровой подписи», http://www.college.ru/UDP/texts/pril1.html
8.http://www.strongdisk.ru/
9.www.e-nigma.ru
10.www.Intel.ru
11.www.inside-zi.ru
Пожалуйста, внимательно изучайте содержание и фрагменты работы. Деньги за приобретённые готовые работы по причине несоответствия данной работы вашим требованиям или её уникальности не возвращаются.
* Категория работы носит оценочный характер в соответствии с качественными и количественными параметрами предоставляемого материала. Данный материал ни целиком, ни любая из его частей не является готовым научным трудом, выпускной квалификационной работой, научным докладом или иной работой, предусмотренной государственной системой научной аттестации или необходимой для прохождения промежуточной или итоговой аттестации. Данный материал представляет собой субъективный результат обработки, структурирования и форматирования собранной его автором информации и предназначен, прежде всего, для использования в качестве источника для самостоятельной подготовки работы указанной тематики.
© Рефератбанк, 2002 - 2019