Определение 5. Класс защиты – характеристика степени защищенности объектов доступа, основанная на выделении определенной совокупности требований по защите информации в автоматизированных системах. В некоторых работах вместо данного термина используется термин «уровень безопасности».
Определение 6. Категория доступа – один из классов, к которым может быть отнесен оператор АСУ или субъект доступа при классификации их по предоставленным полномочиям.
Определение 7. Классификация объекта – отнесение ресурса АСУ к одному из классов защиты при определении его значимости в системе, грифа секретности поддерживаемых этим ресурсом данных и множества разрешенных операций.
Лекция 11
Основные направления обеспечения информационной безопасности компьютерных сетей учебных заведений
Учебные вопросы:
1. Состояние вопросов обеспечения информационной безопасности.
2. Угрозы и уязвимости КСУЗ.
3. Этапы построения БКСУЗ.
4. Направление исследований
Введение
В настоящее время противоречие между требованиями к защите ресурсов компьютерных сетей учебных заведений (КСУЗ) и ростом компьютерных преступлений определяет одну из важных задач – построение интегрированной системы безопасности КСУЗ. Данная проблема включает в себя комплексное решение задач определения нормативно-правовой базы, формирование концепции безопасности, разработку мероприятий, планов и процедур по безопасной работе, проектирование, реализацию и сопровождение технических средств защиты информации в процессе обучения. Несмотря на видимую схожесть задач защиты корпоративных сетей и компьютерных сетей вузов, задача по обеспечению безопасности вузовских сетей не получила окончательного решения и, в рамках динамичности развития процесса безопасности информационных технологий, находится в процессе постановки.
Кроме общих проблем внедрения технологий безопасности для вузовских сетей можно отметить две специфические:
– отсутствие единой технической политики информационной безопасности (ИБ) в области образования, в том числе унифицированных вузовских технологий;
– в вузах, как известно, сосредоточены наиболее вероятные потенциальные нарушители безопасности компьютерных систем.
Решение задач ИБ осложняется: текучестью кадров, разнородностью специалистов, большим количеством пользователей, отсутствием больших финансовых ресурсов, часто, недооценкой вопросов физической защиты и обработкой условно (декларировано) открытой информации.
В данной работе рассмотрены проблемные вопросы и общие направления построения интегрированной системы безопасности КСУЗ.
Вопрос 1. Состояние вопросов обеспечения информационной безопасности
В настоящее время вопросы ИБ в вузах стали принимать все более актуальное значение. Следует вспомнить, что проблема компьютерных правонарушений зародилась именно в вузах (например, вирус Морриса). По оценкам МВД число компьютерных преступлений за предыдущий год в России возросло в 4 раза. Анализ сообщений в Интернет относительно уголовных правонарушений по статьям компьютерных преступлений показал, что фактически все они были совершены студентами. Кроме того, множество инцидентов находятся на грани компьютерных преступлений. Помимо сетевых атак, в последнее время возникло такое явление, как информационное противостояние студентов в Интернет, например: ведение неофициальных сайтов вузов (mgtu.ru), выкладывание компрамата на преподавателей, «реферативная» поддержка и т. д.
В настоящее можно насчитать около двух десятком вузов, где активно ведутся работы в области ИБ и создали подготовку по специальностям ИБ. Пять вузов имеют действительные лицензии Гостехкомиссии России на преподавание спецкурсов, а также разработку средств защиты информации. Однако в большинстве вузов вопросам всестороннему обеспечению ИБ уделяют недостаточное внимание. Представленный в Интернет обзор по ИТ-технологиям в вузах (http://www.cnews.ru/education) позволяет сделать вывод, что их внедрение находится на самом раннем этапе развития.
Вопрос 2. Угрозы и уязвимости КСУЗ
Под КСУЗ понимается совокупность рабочих станций и устройств, использующих общие сетевые ресурсы и сетевые услуги в интересах учебной деятельности. Следует отметить, что современные КСУЗ являются чрезвычайно неоднородными по своей сути. Однако их можно разделить на:
– большие объединенные гетерогенные TCP/IP-сети вуза, поддерживаемые на уровне технологий различными западными компаниями (например, Learning Spaсe), в таких вузах как, правило имеются соответствующие учебные центры;
– ЛВС или объединение ЛВС с выходом в Интернет;
– изолированные от Интернет ЛВС и АРМ.
Под безопасностью КСУЗ понимается свойство системы быть защищенной от угроз целостности, доступности и конфиденциальности сетевых ресурсов. Под угрозой обычно понимается некоторое потенциальное событие (нарушение), реализация которого способно привести к снижению степени безопасности ресурсов КСУЗ. Преднамеренную реализацию в сетевой среде угроз ИБ принято называть атакой на ресурсы сетей. При этом известны классификации угроз ИБ на внутренние и внешние, преднамеренные и случайные, реализационные и эксплуатационные и др… К наиболее актуальным сейчас угрозам относят наличие уязвимостей (дефектов безопасности) в программных ресурсах, на базе которых реализуется до 98 % сетевых атак и 99 % вирусных эпидемий. Очевидно, что для КСУЗ наиболее типовыми являются внутренние угрозы.
Вопрос 3. Этапы построения БКСУЗ
Задача построения интегрированной системы безопасности КСУЗ в общем случае включает 3 уровня:
1. Определение законодательно-правовой базы;
2. Разработку организационных документов, мер и процедур;
3. Разработку, внедрение, сопровождение подсистем и средств защиты информационно-программных ресурсов.
3.1. Определение законодательно-правовой базы
Пакет правовых документов в области ИБ, главным образом, включает: Уголовный кодекс РФ, Гражданский кодекс РФ, ФЗ «О правовой охране программ для электронных вычислительных машин и баз данных», ФЗ «О сертификации продуктов и услуг», ФЗ "О Государственной тайне", ФЗ "Об информации, информатизации и защите информации", ФЗ "Об электронной цифровой подписи", Указ Президента РФ "Об утверждении перечня сведений конфиденциального характера". В целом законодательная база учебной деятельности касается определения необходимости лицензий на деятельность в сфере ИБ, использования сертифицированных средств, соблюдения соответствующих требований УК РФ и ФЗ РФ. Следует заметить, что в связи с реформой системы лицензирования несколько упрощены требования некоторым видам деятельности и услугам в области ИБ.
К нормативным документам в области ИБ относят РД Гостехкомиссии РФ и следующие стандарты:
– ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования;
– ГОСТ 45.127-99. Система обеспечения информационной безопасности Взаимоувязанной сети связи РФ. Термины и определения;
– ГОСТ 51583-2000. Порядок создания АС в защищенном исполнении. Общие положения;
– ГОСТ Р 34.10–94. ИТ. Криптографическая защита информации. Процедуры выработки и проверки электронной подписи на базе асимметричного криптографического алгоритма;
– ГОСТ Р 34.11–94. ИТ. Криптографическая защита информации. Функция хэширования;
– ГОСТ Р 50739-95. СВТ. Защита от НСД к информации;
– ГОСТ Р 50922-96. ЗИ. Основные термины и определения; – ГОСТ Р 51188-98. Испытания ПС на наличие компьютерных вирусов;
– ГОСТ Р 51275-99 ЗИ. Объект информатизации. Факторы, воздействующие на информацию;
– ГОСТ Р 51624-00. ЗИ. АС в защищенном исполнении. Общие требования;
– ГОСТ Р ИСО/МЭК 15409-2001. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ;
– ГОСТ Р ИСО 7498-2-99. ИТ. ВОС. Базовая эталонная модель. Часть 2. Архитектура защиты информации;
– ГОСТ Р ИСО/МЭК 9594-8-98. ИТ. ВОС. Справочник. Часть 8. Основы аутентификации;
– ГОСТ Р ИСО/МЭК 9594-9-95. ИТ. ВОС. Справочник. Часть 9. Дублирование. ГОСТ Р ИСО/МЭК 15408-2001. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ.
Особое внимание представляет международный ГОСТ 15408, планируемый на смену РД Гостехкомиссии РФ. ГОСТ 15408 предназначен для анализа и оценки безопасности и качества ИТ и СЗИ. ГОСТ определяет типовые требования к функциям безопасности (девять классов, 76 семейств, 184 компонента и 380 элементов), требования доверия безопасности – семь классов, 25 семейств, 72 компонента, и 9 уровней гарантии. Типовой алгоритм оценки ИБ по ГОСТу представлен на рис. 1.
3.2. Организационные меры
Организационные меры в общем случае включают:
1. Проведение аудита ИБ КСУЗ и экспертиза вуза по требованиям безопасности;