Подходы и этапы проектирования системы защиты

Подходы к встраиванию системы защиты в АС и тенденции совершенствования защиты АС

Существуют два основных подхода к практической реализации ЗАС (защищенных автоматизированных систем).

Первый подход состоит в разработке и внедрению новых информационно-вычислительных систем (АС), в рамках которых решается весь комплекс проблем информационной безопасности. Этот подход является наиболее перспективным, однако в процессе функционирования уже созданных ЗАС может понадобиться встраивание новых элементов защиты, что уже относится ко второму подходу.

Второй подход состоит в разработке подсистем защиты информации, объединении их в единую систему защиты, налагаемую на уже созданную АС, в которой изначально не предусматривался полный комплекс защитных механизмов. На практике данный подход до настоящего времени является достаточно распространенным, поскольку большое число широко используемых ОС, СУБД и других информационных систем изначально были созданы без должного отношения к проблеме защиты информации.

В настоящее время наблюдаются следующие тенденции в совершенствовании элементов системы защиты:

• создание систем, характеризующихся комплексностью, функциональной полнотой и целостностью, включая совокупность правовых, организационных, физических, технических и аппаратно-программных средств;
  
• интеллектуализация системы обеспечения информационной безопасности, представляющая собой обеспечение процессов управлений средствами защиты в сложных распределенных системах интеллектуальной поддержкой, в качестве которой выступают специализированные экспертные системы поддержки принятия решений, в том числе на базе искусственного интеллекта;
  
• использование многоагентных систем для распределенного решения задач информационной безопасности в распределенных ЗАС;
  
• замена пассивных устройств защиты (Магнитные или другие элементы памяти с ключевой или парольной информацией) активными устройствами защиты (интеллектуальные электронные карточки или электродные ключи с встроенными процессорами), которые обеспечивают качественно новый уровень защиты в системах и сетях ЭВМ;
  
• широкое применение криптографических преобразований для решения задач обеспечения подлинности, аутентификации и целостности
  
• применение двухключевых криптографических систем для обеспечивания анонимности (системы электронных денег и тайного электронного голосования.)
  
• совершенствование системы защиты в процессе эксплуатации как реакция на изменение условий функционирования ЗАС и появлением новых способов и методов нападений.
  

Большое число различных используемых средств защиты можно разбить на следующие большие группы:

• Системы контроля доступа (СКД).
  
• Криптографические средства, обеспечивающие конфиденциальность, аутентификацию и целостность информации
  
• Генераторы и устройства, осуществляющие генерацию и хранение индивидуальной информации пользователей для их опознания и подтверждения подлинности.
  

С точки зрения комплексного обеспечения защиты информации в ЗАС наибольший интерес представляют системы СКД и разграничения полномочий

Этапы проектирования ЗАС

Процесс построения системы защиты включает следующие этапы:

• Анализ возможных угроз безопасного функционирования ЗАС.
  
• Планирование системы защиты.
  
• Реализация системы защиты.
  
• Сопровождение системы защиты.
  

Этап анализа возможных угроз необходим для фиксации состояния АС (конфигурации аппаратных и программных средств, технологии обработки информации) и определения учитываемых воздействий на компоненты АС и рисков, связанных с реализацией угроз безопасности. Практически невозможно обеспечить защиту АС от всех воздействий, поскольку невозможно полностью установить все угрозы и способы их реализации. Поэтому из множества вероятных воздействий выбирают только такие воздействия, которые могут реально произойти и нанести серьезный ущерб.

На этапе планирования формулируется система защиты как единая совокупность мер противодействия угрозам различной природы.

На этапе реализации осуществляется выбор конкретных мер и средств обеспечения информационной безопасности и их интеграция в единую систему. Определяется стоимость системы защиты и ее эффективность.

Этап сопровождения системы защиты состоит в обеспечении непрерывного ее функционирования в жизненном цикле ЗАС и совершенствования элементов защиты, включая их модернизацию и дополнение новыми элементами и средствами защиты.

При создании ЗАС на основе открытых широко используемых сетей, что в настоящее время является типичным при построении корпоративных АС требуется учитывать появление новых технологий и сервисов, а также удовлетворять требованиям, которые предъявляются сегодня к элементам корпоративных информационных систем:

• Использование интегрированных решений. Интеграция должна быть реализована в различных аспектах 1) интеграция средств защиты с остальными элементами АС - операционными системами, маршрутизаторами, службами каталогов и т.п., 2) интеграция различных технологий защиты в целях обеспечения комплексной безопасности информационных ресурсов предприятий, например интеграция межсетевого экрана с VPN-шлюзом и трансляторов IP-адресов.
  
• Обеспечение масштабирования в широких пределах. Масштабируемость средств защиты позволяет подбирать оптимальное по стоимости и надежности решение с возможностями постепенного наращивания системы защиты. По мере роста и развития АС подсистема информационной безопасности должна иметь возможность легко масштабироваться без потери целостности и управляемости. Масштабируемость обеспечивает эффективную работу предприятия при наличии у него многочисленных филиалов, десятков предприятий-партнеров, сотен удаленных сотрудников и миллионы потенциальных клиентов.
  
• Применение открытых стандартов. Переход на открытые стандарты составляет одну из основных тенденций развития систем и средств защиты. Такие стандарты как IP-Sec и PKI обеспечивают защищенность внешних коммуникаций предприятия и совместимость с соответствующими продуктами предприятий-партнеров. Цифровые сертификаты Х.509 также являются на данное время стандартным и эффективным решением для аутентификации пользователей и устройств. Перспективные средства и системы защиты должны поддерживать эти стандарты.
  

При проектировании ЗАС следует ориентироваться на прогрессивные технологии обеспечения информационной безопасности, к которым относятся:

• Комплексный подход, предполагающий рациональное сочетание технологий и средств защиты информации.
  
• Применение защищенных виртуальных частных сетей VPN для защиты информации, передаваемой по открытым каналам связи.
  
• Использование криптографического преобразования данных для обеспечения целостности, юридической значимости и конфиденциальности информации.
  
• Применение межсетевых экранов для защиты корпоративной сети, от внешних угроз при подключении к общедоступным сетям связи.
  
• Управление доступом на уровне пользователей и защита от несанкционированного доступа (НСД).
  
• Гарантированная идентификация и аутентификация пользователей путем применения электронных устройств идентификации и аутентификации (смарт-карт, электронных ключей и т.п.)
  
• Поддержка инфраструктуры управления открытыми ключами.
  
• Защита информации на файловом уровне (путем шифрования файлов и каталогов) для обеспечения ее надежного хранения.
  
• Защита от вирусов с использованием специализированных комплексов антивирусной профилактики и защиты.
  
• Использование технологии обнаружения вторжений для активного исследования защищенности информационных ресурсов и АС в целом.
  
• Централизованное управление средствами защиты.
  

При создании ЗАС на основе открытых широко используемых сетей построение системы защиты можно разбить на следующие этапы:

• Экспертиза защищенности корпоративной информационной системы.
  
• Разработка концепции и политики информационной безопасности компании.
  
• Проектирование корпоративной информационно-вычислительной системы в защищенном исполнении.
  
• Поставка и ввод в опытную эксплуатацию средств защиты.
  
• Сопровождение системы информационной безопасности.
  
• Модернизация и развитие системы информационной безопасности.