Информационная безопасность предприятий

Федеральное государственное образовательное бюджетное
учреждение высшего профессионального образования
«Финансовый университет
при Правительстве Российской Федерации»
(Финансовый университет)
Кафедра «Информатика и программирование»
Реферат по дисциплине «Экономическая информатика»
на тему:
«Информационная безопасность предприятий»
Выполнил:
студент группы ФК1-8
Юсупов М-С.Г.
Научный руководитель:
Магомедов Р.М.
Москва 2012
План:
1.Введение
2.Описание компьютерной сети предприятия
3.Постановка задачи
4.Аналих защищенности сети
5.Возможные угрозы безопасности
6.Модель нарушителя
7.Список используемой литературы
1.ВВЕДЕНИЕ
С распространением электронно-вычислительных машин нетрудно
предсказать рост в потребности передачи данных. На сегодняшний день в
мире существует более 130 миллионов компьютеров и более 80 процентов из
них объединены в различные информационно-вычислительные сети от
малых локальных сетей в офисах до глобальных сетей типа Internet.
Всемирная тенденция к объединению компьютеров в сети обусловлена рядом
важных причин, таких как ускорение передачи информационных сообщений,
возможность
быстрого
обмена
информацией
между
пользователями,
получение и передача сообщений не отходя от рабочего места, возможность
мгновенного получения любой информации из любой точки земного шара, а
так же обмен информацией между компьютерами разных фирм и
производителей, работающих под разным программным обеспечением. В
каждой
организации
уже
есть
хотя
бы
автоматизирована
система
бухгалтерского учета - все это и многое другое разрабатывается,
обрабатывается и хранится при помощи компьютеров. А для передачи
данных используются компьютерные сети. Само собой разумеется, такая
информация может быть интересна для конкурирующих организаций, а
значит, появляется проблема ее защиты.
Выделяют три основных вида угроз безопасности - это угрозы
раскрытия, целостности и отказа в обслуживании.
Угроза раскрытия заключается том, что информация становится
известной тому, кому не следовало бы ее знать. В терминах компьютерной
безопасности угроза раскрытия имеет место всякий раз, когда получен
доступ
к
некоторой
конфиденциальной
информации,
хранящейся
в
вычислительной системе или передаваемой от одной системы к другой.
Иногда вместо слова "раскрытие" используются термины "кража" или
"утечка".
Угроза целостности включает в себя любое умышленное изменение
(модификацию или даже удаление) данных, хранящихся в вычислительной
системе или передаваемых из одной системы в другую. Обычно считается,
что угрозе раскрытия подвержены в большей степени государственные
структуры, а угрозе целостности - деловые или коммерческие.
Угроза отказа в обслуживании возникает всякий раз, когда в результате
некоторых
действий
блокируется
доступ
к
некоторому
ресурсу
вычислительной системы. Реально блокирование может быть постоянным,
так чтобы запрашиваемый ресурс никогда не был получен, или оно может
вызвать только задержку запрашиваемого ресурса, достаточно долгую для
того, чтобы он стал бесполезным. В таких случаях говорят, что ресурс
исчерпан.
Защиту сети можно организовать программным и аппаратным
способами. В первом случае на обычный компьютер устанавливается
специальная программа, которая контролирует всю поступающую и
отправляемую информацию. Этот способ относительно дешев, но в таком
случае необходим достаточно грамотный специалист, который будет следить
за функционированием защиты, периодически обновлять ее. Поэтому
затраты на обслуживание и сопровождение будут высокими. Аппаратный
способ предполагает установку специального конечного устройства защиты
сети. Фактически это протестированный и узкоспециализированный миникомпьютер.
2.ОПИСАНИЕ КОМПЬЮТЕРНОЙ СЕТИ ПРЕДПРИЯТИЯ
ОАО «Изумруд» является одним из крупнейших заводов на территории
Краснодарского края по производству сахара. Тимашевский сахарный завод,
высоко автоматизированное и механизированное предприятие, которое
вступило в строй 3 сентября 1963 года. Из истории: за производственный
период переработал 3410 тыс. центнеров свеклы и выработал 396 тыс.
центнеров белого сахара, перевыполнив план на 12000 центнеров.
Среднесуточная производительность составила 40120 центнеров свеклы и
5000 центнеров сахара. Коллектив завода выполнил годовую программу уже
в конец декабря. Завод окупился в течение одного сезона. Получено
сверхплановой прибыли 1617 тысяч рублей.
На предприятии организованна работа следующих отделов:
- бухгалтерия
- производственный цех
-отдел кадров
-отдел IT
-Удаленный офис( Брак. площадка)
Работа
этих
отделов
ведется
полностью
автоматизированным
способом. Компьютеры всех отделов объединены в общую сеть. Сеть
предприятия построена по топологии «Иерархическая звезда» .В приложении
1 представлена карта компьютерной сети ОАО «Изумруд». Сеть ОАО
«Изумруд» включает следующее оборудование:
1 Серевер IBM System x3650 M2 на котором установлена ОС Windows
2003 Server , СУБД Oracle 11. Сервер в сети используется в качестве файлсервера и сервера БД.
Аппаратные характеристики сервера:

2 шестиядерных процессоров Intel® Xeon® серии 5600 3,33 ГГц
(четырехъядерных скорость доступа к памяти 1 333 МГц

Конструкция с низковольтными (675 Вт) и эффективными (до
92%) источниками питания, 6 вентиляторами охлаждения, новой системой
UEFI BIOS, альтиметром, который отслеживается с помощью встроенного
модуля управления (Integrated Management Module) и ПО IBM Systems
Director Active Energy Manager

192 ГБ RDIMM*

8 2,5-дюймовых жестких дисков Serial Attached SCSI по 500 ГБ

Поддержка встроенного гипервизора VMware ESXi 4.0 при
использовании дополнительного USB-ключа 2 ГБ для виртуализации
2. Компьютеры пользователей Huper BL641 количество 29 штук на
которых установлена ОС WINDOWS XP и ПО MS office 2007, Oracle Client.
Аппаратные характеристики компьютер пользователей:

Процессор 36933 AMD DURON 1600MHz (266MHz FSB)

Плата 40289 MB SocketA ELITEGROUP L7VMM2 VIA KM266

Память
31343
DIMM
128Mb
DDR
SDRAM
HYNIX
(PC2700,333MHz,CL2.5)

HDD 35162 HDD 40 Gb IDE SAMSUNG "SP0411N" 7200rpm U-
ATA 100

Видео - Встроенное
3.ПОСТАНОВКА ЗАДАЧИ.
Требуется
построить подсистему информационной безопасности
компьютерной сети ОАО «Изумруд» . Для того что бы обеспечить надежную
защиту компьютерной сети ОАО «Изумруд» необходимо реализовать
следующие функции по защите компьютерной сети.
ПИБ КС ОАО «Изумруд»
Защитамна уровне
Локальной рабочей
станции
Аутентификация
пользователей
Защита
локальной сети
Защита
межсетевого
взаимодействия
Защита от удаленных
атак
Защита внутренних
каналов связи
Защита информ.
Ресурсов рабоч.
станции
Защита внешних
каналов связи
Разграничение
доступа
Рис.2
Аутентификация пользователей данная задача позволяет предотвратить
«вход» в злоумышленника. Данная задача реализуется в Windows 2003 server
с помощью службы Active Directory.
Разграничение доступа данная задача реализуется так же в Windows
2003 server с помощью организации политики безопасности.
Защита информационных ресурсов рабочей станции цель данной
задачи ограничение доступа пользователей к различным ресурсам .
Защита
внутренних
каналов
связи
данная
задача
позволяет
организовать анализ трафика сети, используя сигнатуры атак и так
называемый анализ «на лету». Этот метод заключается в том, что трафик
анализируется в реальном времени, и используются различные алгоритмы
обнаружения атак.
Защита от удаленных атак данная задача реализует защиту сервера и
рабочих станций от нарушителей из вне. Такой тип защиты основывается на
использование антивирусных программ как на сервере так и на рабочих
станциях.
Защита внешних каналов связи цель данной задачи является защита
внешних каналов связи от возможного проникновения из среды Интернет в
сеть предприятия. Для реализации данной задачи используются Firewall а так
же Proxy серверы.
4.АНАЛИЗ ЗАЩИЩЕННОСТИ СЕТИ
Проведя анализ всех компонентов сети ООО «Изумруд» был выявлен
ряд следующих недостатков:

Отсутствие политики безопасности

Отсутствие защиты информационных ресурсов рабочей станции

Отсутствие антивирусных программ на рабочих станциях.

Отсутствие программных и аппаратных средств защиты от
проникновения из вне.
Используя данные недостатки злоумышленник может осуществить
несанкционированное проникновение в сеть с целью получения информации,
или ее искажения.Так же невозможно проследить за установленными
программами на рабочих станциях, что может привести к выходу из строя
рабочей станции, а так же невольной передачи информации. Результатом
анализа сети ООО «Изумруд» является выявление несоответствия сети
требованиям безопасности.
Далее необходимо перейти к выбору технических и программных
средств
решения
поставленной
задач
подсистемы
информационной
безопасности компьютерной сети.
5.ВОЗМОЖНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ
Информационная безопасность любой автоматизированной системы
обработки информации (в том числе и рабочих станций под управлением
любой ОС) - это состояние, в котором она:

способна
противостоять
угрозам
(как
внешним,
так
и
внутренним) на обрабатываемую информацию;

не является источником угроз для собственных элементов и
окружающей среды.
Под угрозой вообще обычно понимают потенциально возможное
событие, действие (воздействие), процесс или явление, которое может
привести к нанесению ущерба чьим-либо интересам. Соответственно угрозой
информационной
безопасности
считается
возможность
реализации
воздействия на информацию, обрабатываемую в компьютерной системе,
приводящего к искажению, уничтожению, копированию, блокированию
доступа к информации, а также возможность воздействия на компоненты
системы, приводящего к утрате, уничтожению или сбою функционирования
носителя информации, средства взаимодействия с носителем или средства
его управления.
В настоящее время рассматривается достаточно обширный перечень
угроз информационной безопасности, насчитывающий сотни пунктов. Для
удобства их группируют в зависимости от свойств информации, которые
могут быть нарушены в результате их реализацию. Обычно выделяют три
группы:

Угроза нарушения конфиденциальности. Заключается в том, что
информация становится известной тому, кто не располагает полномочиями
доступа к ней, т.е. угроза нарушения конфиденциальности имеет место
всякий раз, когда получен доступ к некоторой секретной информации,
хранящейся в вычислительной системе или передаваемой от одной системы к
другой. Иногда, в связи с угрозой нарушения конфиденциальности,
используется термин "утечка".

Угроза
незапланированное
нарушения
и
целостности.
несанкционированное
Предполагает
изменение
любое
информации,
хранящейся в системе или передаваемой из одной системы в другую.
Санкционированными
изменениями
считаются
те,
которые
сделаны
уполномоченными
лицами
с
обоснованной
целью
(например,
запланированное изменение документов или базы данных). Целостность
может быть нарушена в результате преднамеренных действий человека, а
также - в результате возникновения случайной ошибки программного или
аппаратного обеспечения.

Возникает
Угроза нарушения доступности (или угроза отказа служб).
всякий
раз,
когда
в
результате
некоторых
событий
(преднамеренных действий или ошибки) блокируется доступ к некоторому
ресурсу вычислительной системы. Блокирование может быть постоянным запрашиваемый ресурс никогда не будет получен, или оно может вызывать
только задержку выдачи ресурса, достаточно долгую для того, чтобы он стал
бесполезным.
Обычно причинами возникновения угроз безопасности могут быть:

целенаправленные действия злоумышленника;

объективные воздействия со стороны среды эксплуатации,
например, перепады напряжения в сети электропитания, природные явления
и т.п.;

стихийные бедствия и чрезвычайные ситуации;

ошибки человека:
o
разработчика
-
ошибки
в
реализации
алгоритмов
функционирования программного и аппаратного обеспечения;
o
администратора - ошибки в настройке системы;
o
пользователя - неквалифицированнее действия.
Разрушающие программные воздействия
В настоящее время достаточно важным разделом компьютерной
безопасности
является
борьба
с
так
называемыми
разрушающими
программными воздействиями (РПВ). Под разрушающим программным
воздействием понимается программа, реализующая угрозы безопасности. В
настоящее время существуют три типа РПВ:

Компьютерные
вирусы
(computer
virus)
-
деструктивные
программы, которые способны в определенном окружении (например, под
управлением конкретной ОС или другого ПО) создавать свои копии и
внедрять их в объекты информационной системы, например файлы программ
или документов. При этом термин "копия" употребляется весьма условно,
поскольку на уровне последовательности выполняемых команд созданная
"копия" может существенно отличаться от "оригинала-родителя". Важно, что
сохраняется общая функциональная эквивалентность, а также способность к
дальнейшему "размножению". Вирусы обычно классифицируются по
управляющей среде. Выделяют следующие типы:
o
загрузочные вирусы - вирусы, поражающие загрузочные области
дисков (например, MBR) и работающие под управлением BIOS; как правило,
функциональность
таких
вирусов
определяется
системой
команд
микропроцессора;
o
файловые вирусы - вирусы, заражающие исполняемые файлы ОС
и работающие под управлением ОС; функциональность этих вирусов также
определяется системой команд микропроцессора и зависит от структуры
исполняемых файлов ОС;
o
макровирусы, скрипт-вирусы и т.п. - вирусы, написанные на
макроязыках
или
скрипт-языках
и
управляемые
пользовательскими
приложениями (например, Microsoft Word); функциональность вирусов этого
типа вирусов определяется мощностью макроязыка (скрипт-языка) и не
зависит от ОС.

Программы
типа
"червь"
(worm)
-
программы,
которые
используют для своего распространения сеть. В отличие от вируса,
классический "червь" не сохраняет своих копий на носителях и не внедряет
их в такие объекты, как программы, документы или почтовые сообщения,
копии передаются на удаленный компьютер и сразу исполняются в памяти.
Весьма плодотворной средой для распространения "червей" некоторое время
назад были сети под управлением ОС UNIX. В настоящее время, особенно в
сетях Windows, где обычно не используется полноценная распределенная
обработка классические "черви" не распространяются, но при этом
достаточно "популярны" сетевые вирусы, использующие в качестве носителя
передаваемые по сети файлы и сообщения электронной почты. Поэтому в
настоящее время в понимании большинства пользователей размываются
границы между двумя типами РПВ - "червями" и "сетевыми вирусами".
Программы типа "троянский конь" (trojan) - программы, которые
наряду с объявленными (документированные) разработчиками функциями
выполняют недокументированные. Такого рода программы представляют
собой обычное прикладное или системное программное обеспечение,
например текстовый редактор, драйвер какого-либо устройства и не имеют
средств самораспространения.
Удаленные атаки на компьютерную сеть можно условно разделить на
следующие виды:
Анализ сетевого трафика
Анализ сетевого трафика путем его перехвата (сниффинга) является
внутрисегментной атакой и направлен на перехват и анализ информации,
предназначенной для любого ПК, расположенного в том же сегменте сети,
что и злоумышленник. Злоумышленник может захватить все проходящие
через себя пакеты путем перевода своей сетевой платы в смешанный режим
(promiscuous mode).
Реализация данной атаки позволяет злоумышленнику изучить логику
работы сети (для получения информации, помогающей ему осуществить
последующий взлом) либо перехватить конфиденциальную информацию,
которой обмениваются узлы компьютерной сети. Многие протоколы
(например, POP3, FTP и пр.) передают информацию об используемых
паролях доступа по каналу связи в открытом виде. Анализ трафика позволяет
злоумышленнику перехватить эти пароли доступа (например, к электронной
почте, к FTP серверу) и использовать их в дальнейшем для выполнения
несанкционированных действий.
Для защиты от анализа сетевого трафика с использованием снифферов
известны следующие подходы:
1. диагностика перевода сетевой платы удаленного ПК в смешанный
режим путем установки различных средств мониторинга; данный подход к
защите достаточно трудоемок, и не является универсальным, поэтому
используется недостаточно часто;
2. сегментация сетей – чем больше сегментов, тем меньше вероятность
и последствия реализации внутрисегментной атаки;
3. шифрование сетевого трафика и использование безопасных
протоколов удаленной аутентификации пользователей (S/KEY, CHAP и т.д.);
Подмена доверенного субъекта
Подмена доверенного субъекта и передача сообщений по каналам связи
от его имени позволяет получить злоумышленнику доступ к удаленной
системе от имени этого доверенного субъекта. Подобные атаки эффективно
реализуются в системах с нестойкими алгоритмами идентификации и
аутентификации хостов и пользователей. Например, подобные атаки
эффективны для систем, использующих аутентификацию источника по его IP
адресу, для злоумышленника в этом случае нетрудно формировать пакеты с
IP адресами, которым «доверяет» удаленный узел.
Для защиты от подобных атак необходимо применение стойких
алгоритмов идентификации и аутентификации хостов и пользователей.
Нельзя допускать в компьютерную сеть организации пакеты, посланные с
внешних ПК, но имеющих внутренний сетевой адрес.
Введение ложного объекта компьютерной сети
Реализация данной атаки позволяет навязать ложный маршрут потока
информации
так,
чтобы
этот
маршрут
лежал
через
компьютер
злоумышленника, позволяет «заманить» легального пользователя на ПК
злоумышленника (например, подменив WEB-сайт) с целью получения
конфиденциальной информации.
Для защиты от данных атак необходимо использовать более стойкие
протоколы идентификации и аутентификации хостов и устройств. Подобные
протоколы рассмотрены в главе 7.
Отказ в обслуживании (DoS)
Реализация данной атаки направлена на нарушение работоспособности
некоторой службы удаленного хоста, либо всей системы. Как правило,
реализация предполагает посылку направленного «шторма запросов»,
переполнение очереди запросов, в силу чего удаленный ПК либо
перезагружается, либо неспособен заниматься ничем, кроме обработки
запросов. Примерами данных атак является SYN-Flooding, Ping of Death и пр.
Для защиты от данных атак необходимо использовать стойкие
протоколы аутентификации, ограничивать доступа в сеть с использованием
межсетевых
экранов,
разрабатывать
поддержки
применять
адекватные
сервисов
системы
политики
программные
обнаружения
безопасности,
продукты,
в
вторжений,
использовать
которых
для
устранены
уязвимости, позволяющие выполнить подобные атаки.
В настоящее время большую актуальность представляет защита от
распределенных
DoS
атак
(DDoS),
реализуемых
путем
заражения
(«зомбирования») множества ничего не подозревающих ПК, которые в
заданный момент времени начинают посылать «шторм запросов» на объект
атаки. В 2003 году таким образом был атакован сайт SCO Group.
Сканирование компьютерных сетей
Сетевое
сканирование
осуществляется
злоумышленником
на
предварительной стадии атаки. Сканирование компьютерной сети позволяет
получить
злоумышленнику
такую
информацию,
необходимую
для
дальнейшего взлома, как типы установленных ОС, открытые порты и
связанные с ними сервисы, существующие уязвимости. Сам факт сетевого
сканирования лишь говорит о реализации стадии, предваряющей атаку, и
является важной информацией для сетевого администратора.
Для защиты от сетевого сканирования необходимо применять подходы,
позволяющие скрыть внутреннюю структуру сети и идентифицировать факт
сканирования,
например,
использовать
межсетевые
экраны,
системы
обнаружения вторжений.
6. МОДЕЛЬ НАРУШИТЕЛЯ
Нельзя не учитывать существование множества угроз безопасности,
которые могут быть направлены на искажение информации, её хищение, на
нарушение работоспособности сети. Источники угроз безопасности могут
находиться как внутри предприятия (внутренние источники), так и вне него
(внешние источники). Деление источников угроз безопасности оправдан тем,
что для одной и той же угрозы методы парирования будут разными для
внешних и внутренних источников. Все источники угроз безопасности
информации, циркулирующей в корпоративной сети, можно разделить на три
основные группы:
1)
угрозы, обусловленные действиями субъекта;
2)
угрозы, обусловленные техническими средствами;
3)
угрозы, обусловленные стихийными источниками.
В данном случае нас интересуют первых тип угроз. Первая группа
самая обширная. Субъекты, действия которых приводят к нарушению
информационной
безопасности,
могут
быть
внешними:
конкуренты,
политические противники; и внутренними: персонал учреждения, филиалов,
лица с нарушенной психикой и специальные агенты. Действия субъектов
могут привести к ряду нежелательных последствий, среди которых
применительно к корпоративной сети можно выделить следующие:
1)
кража
технических
средств,
носителей
информации,
информационных средств доступа;
2)
подмена (модификация) ОС, СУБД прикладных программ,
паролей и правил доступа;
3)
уничтожение технических средств, носителей информации,
программного обеспечения, ключевой информации и паролей;
4)
нарушение нормальной работы: изменение объёма обработки
информации, пропускной способности каналов связи, объёма свободной
ОЗУ, ПЗУ, нарушение электропитания технических средств;
5)
ошибки: инсталляции и эксплуатации программного обеспечения
и технических средств;
6)
несанкционированный перехват информации: засчёт наводок по
линиям электропитания; засчёт электромагнитного излучения; засчёт
наводок по посторонним проводникам и по акустическому каналу; от средств
вывода при подключении и каналам передачи информации; засчёт
установленных прав доступа. Вторая группа содержит угрозы менее
прогнозируемые, напрямую зависящие от свойств техники. Технические
средства
(ТС),
содержащие
потенциальные
угрозы
безопасности
информации, также могут быть внутренними (некачественные технические
средства, программное обеспечение, вспомогательные средства и другие
техсредства) и внешними (средствами связи, близко расположенные опасные
производства, сети, коммуникации, транспорт). Последствиями применения
таких техсредств, напрямую влияющих на безопасность информации могут
быть:
1)
нарушение нормальной работы:
-
работоспособности САИ;
-
нарушение работоспособности связи и телекоммуникаций;
-
стирание носителей информации средств его обработки;
-
электромагнитное воздействие на технические средства;
2)
уничтожение или разрушение:
-
ПО, ОС, СУБД;
-
средств обработки информации;
-
носителей информации, заражение персонала;
3)
модификация:
-
ПО
коммуникациям.
нарушитель
и
информации
Для
может
при
передачи
осуществления
использовать
выше
по
каналам
перечисленных
различные
методы,
связи
и
действий
реализуемые
техническими и программными средствами. Данный перечень угроз является
весомым
аргументом
для
реализации
защиты
сети.
Отрицательное
воздействие угроз безопасности можно свести к минимуму с помощью
следующих четырёх методов: организационного, инженерно-технического,
технического и программно-аппаратного. Организационные методы в
основном ориентированы на работу с персоналом; на выбор местоположения
и
размещения
объектов
сети;
организацию
систем
физической
и
противопожарной защиты; осуществление контроля выполнения принятых
мер; возложение персональной ответственности за выполнение мер защиты.
Инженерно-технические методы связаны с построением оптимальных сетей
инженерных
коммуникаций.
При
учёте
требований
безопасности
информации являются довольно дорогостоящими решениями, но как
правило, реализуются ещё на этапе строительства или реконструкции
объекта; способствуют повышению его общей живучести и дают высокий
эффект при устранении некоторых угроз безопасности информации.
Технические методы ориентированы на применение специальных ТС защиты
информации и контроля обстановки дают значительный эффект при
устранении угроз безопасности, связанных с действиями злоумышленника.
Программно-аппаратные методы нацелены на устранение угроз связанных с
процессом обработки и передачи данных. Без этих методов невозможно
построение системы информационной безопасности компьютерной сети.
угроза безопасность компьютерный сеть
7.СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ
1.
Кравченко С.В. Информационная безопасность предприятия и
защита коммерческой тайны. Журнал «Экономика и производство», №3,
1999.
2.
Баутов
А.
Стандарты
и
оценка
эффективности
защиты
информации. Доклад на Третьей Всероссийской практической конференции
«Стандарты в проектах современных информационных систем». Москва, 2324 апреля 2003 г.
3.
Вихорев С., Кобцев Р. Как определить источники угроз. Журнал
«Открытые системы», № 7-8, 2002.
4.
Гражданский кодекс РФ, часть I.
5.
Ярочкин В.И. Безопасность информационных систем. М.: изд.
"Ось-89", 1996.
6.
Ярочкин В.И. Система безопасности фирмы. М.: изд. "Ось-89",
7.
Тарас А.Е. Безопасность бизнесмена и бизнеса. Практическое
1998.
пособие,
Минск:"Сэкай", 1996