Способы защиты конфиденциальной информации
Содержание:
- Что еще нужно знать
- Использование ключей для доступа и шифрование трафика
- Как утекает информация
- Каналы утечки
- Защита конфиденциальной информации
- Действенные способы предотвратить утечку
- Правила обращения с профессиональной тайной
- Аутентификация и идентификация
- Выбор методик
- Привлечение сторонних организаций для создания систем информационной безопасности
- Советы по грамотному использованию социальных сетей
- Угрозы и способы их распространения
- Аппаратный средства защиты информации
- Межсетевые экраны
- Информационная система на примере виртуального здания
- Признаки, которые могут навести на мысль о том, что рядом идет торговля «секретами фирмы»
- Как обеспечивается безопасность
Что еще нужно знать
В последнее время на рынке появились роутеры со встроенным VPN. Например, компания Intel выпускает криптографические маршрутизаторы с встроенным впн-агентом Express VPN. Однако этот вариант не подходит для мобильных пользователей, которые работают с ноутбука или планшета и заходят в Интернет, где угодно.
Есть также браузеры, например, Opera, которые уже имеют встроенные VPN. Но тут нужно учитывать, что вы не сможете сами выбрать продукт, он уже установлен по умолчанию. И если вам не подойдет его качество, все равно придется покупать и настраивать новый.
Также при выборе VPN следует учитывать способ шифрования информации. Сегодня используется два основных:
- IPsec – пакет различных протоколов, обеспечивающий надежную защиту данных, передаваемых по межсетевому IP. С его помощью можно проводить шифрование, проверку и аутентификацию передаваемых пакетов информации. Можно настроить для соединения локальных сетей с корпоративными. Минус – совмещается не со всеми продуктами, потому зачастую требует регулярного обслуживания специалистом;
- SSL VPN – строится на применении криптографического протокола для аутентификации, проверки и шифрования передаваемых пакетов информации. Такая защита надежнее и безопаснее, к тому же дешевле и не требует постоянных настроек. Хотя изначально SSL разрабатывали как альтернативную технологию первому способу, сегодня это отдельный пакет. Преимущество в том, что он совместим с любыми операционными системами, для его использования не нужно устанавливать дополнительный софт.
По мнению экспертов, использование частной виртуальной сети имеет большие перспективы и является отличным решением вопросов, связанных с защитой информации компании и снижением расходов на коммуникации с удаленными пользователями. С помощью локальных сетей VPN можно обеспечить безопасную передачу данных от отправителя к получателю, и наоборот, даже если они находятся на разных континентах. При этом расходы на коммуникационные связи будут значительно ниже, чем при использовании IP-телефонии и других стандартных инструментов связи.
Использование ключей для доступа и шифрование трафика
Первоначально беспроводные сети работали в открытом режиме, потом появился WEP (Wired Equivalent Privacy, который впоследствии оказался весьма ненадежным), потом WPA, WPA2…
Популярный сейчас WPA2-PSK (pre-shared key) использует единственный ключ для всех клиентов сети. Помимо того, что при компрометации злоумышленник получает доступ ко всей сети, такой ключ достаточно сложно менять — нужно перенастроить все клиенты. Тем не менее из-за простоты реализации такой метод защиты применяется в домашних сетях и малом бизнесе.
До появления WiFi 6 c WPA3 самым защищенным считался WPA2 Enterprise с использованием индивидуальных динамических ключей, которые могут периодически обновляться без разрыва соединения. Для организации работы с такими ключами используется сервер авторизации (обычно RADIUS).
В Nebula для точек AX появилась функция Dynamic Personal Pre-Shared Key (DPPSK) — усовершенствованная аутентификация через облако, позволяющая использовать разные пароли (PSK) для каждого клиента. Можно указать срок действия для каждого пароля, что позволяет гибко управлять доступом к сети WiFi для большого числа устройств.
Как утекает информация
Источников, через которые информация уходит из компании, предостаточно: различные мессенджеры (Skype, ICQ и пр.), электронная почта, открытые источники (социальные сети, форумы), бумага, флешки, диски, резервные копии. Причем и в случае со случайными утечками, и в случае с умышленным сливом источники одни и те же.
Кстати, для получения секретной информации существует чуть ли не целая отрасль – незаконная и конкурентная разведка. Первая подразумевает шпионаж: те, кому нужны сведения, вербуют сотрудников компании либо внедряют в штат своего человека. Конкурентная разведка действует открыто – через социальные сети, собеседования, открытые источники информации.
Каналы утечки
Информация не является предметом, ограниченным физическими и пространственными рамками, поэтому каналы ее утечки не могут быть только материальными. Она утекает буквально сквозь воздух, например, при считывании специальными закладными устройствами звуковых или электромагнитных волн. Классификация каналов утечки предполагает их первоначальное деление по инициатору создания на внешние и внутренние. К внешним относятся лица, проникающие на объект или в периметр защищенных данных извне при помощи современных технологий, к внутренним – сотрудники компании, инсайдеры, чьими действиями создается львиная доля утечек. Инсайдеры для хищения важных сведений пользуются следующими каналами:
- копирование конфиденциальной информации, хранимой в электронном виде, с жестких дисков компьютеров или МФУ на носители различного рода – от флеш-карт до карт памяти мобильных телефонов;
- распечатывание документов и вынос их в материальном виде за пределы территории офиса;
- передача данных по каналам внешней электронной почты, через мессенджеры, позволяющие прикреплять файлы, или социальные сети. Для предотвращения перехвата данные могут быть предварительно обработаны, конвертированы в графические или видеофайлы при помощи методов стеганографии;
- непосредственное хищение носителей;
- фотографирование или видеозапись документов или событий;
- звукозапись переговоров.
Большинство этих действий могут быть предотвращены путем реализации системы организационных и технических мер.
При хищении конфиденциальной информации извне добавляются такие способы:
- хакерское проникновение в хранилища конфиденциальных данных;
- перехват или получение у провайдера информации о телефонных переговорах;
- установка закладных устройств, перехватывающих звуковую информацию или электромагнитные волны, которые могут быть преобразованы в информацию;
- внедрение вирусных программ – червей, похищающих и передающих файлы;
- получение данных от контрагентов или при инспирировании заказной проверки контролирующими органами.
Бороться с этими способами организации утечек необходимо также организационно и технически, но уделяя основное внимание оперативной составляющей в деятельности служб внутренней безопасности
Защита конфиденциальной информации
Для того чтобы не произошла утечка конфиденциальной информации, необходимо предпринимать соответствующие меры, которые препятствовали бы этому. Законодатель закрепил правовые положения о защите данных в Федеральном законе «Об информации, информационных технологиях и защите информации» № 149.
Также существует несколько правовых способов защиты сведений ограниченного доступа. Законодательное регулирование по вопросам, связанным с защитой сведений ограниченного доступа, заключается также в закреплении юридической ответственности за разглашение такой информации.
Защита информации
Как упоминалось выше, положения, регламентирующие вопросы по защите конфиденциальной информации, закреплены в ФЗ № 149. В соответствии с законодательством, под защитой информации понимается:
- обеспечение защиты сведений ограниченного доступа от неправомерного посягательства;
- соблюдение режима ограниченного доступа к ограниченным данным;
- принятие мер по реализации права на доступ к ограниченной информации.
Законодательное координирование данных ограниченного доступа заключается также в том, чтобы принять меры по защите информации:
- предотвращение утечки информации;
- своевременное обнаружение попытки незаконно получить доступ к информации;
- предупреждение последствий, которые возникают при несанкционированном доступе к сведениям;
- постоянный мониторинг уровня защиты информации;
- возможность восстановить данные, которые были уничтожены;
- размещение информации ограниченного доступа в базах данных на территории РФ.
Для защиты критичных данных существуют следующие виды защиты:
- Физическая. Физическая защита заключается в хранении информации в специальных сейфах или хранилищах, доступ к которым разрешен узкому кругу лиц.
- Аппаратная. Аппаратный способ защиты предполагает хранение информации на специальных компьютерах или серверах, которые постоянно контролируются с целью предотвращения несанкционированного доступа к данным.
- Программная. Защита информации осуществляется с помощью программного обеспечения, которое своевременно блокирует неразрешенные действия пользователей и предотвращает утечку сведений.
- Математическая (криптографическая). Математическая защита позволяет шифровать данные, делая их прочтение недоступным для третьих лиц.
Ответственность за правонарушения в сфере информации
Согласно ст. 17 Федерального закона № 149, за нарушение требований, установленных для конфиденциальных сведений, наступает юридическая ответственность.
Правовые нормы закрепляют следующие виды ответственности:
- Дисциплинарная. Данный вид ответственности применяется, когда работник совершил дисциплинарный проступок. Например, разгласил персональные данные коллеги третьим лицам.
- Гражданско-правовая. Указанный вид ответственности предполагает взыскание морального или материального вреда за разглашение сведений ограниченного доступа.
- Административная. К административной ответственности привлекается лицо, совершившее преступление, предусмотренное Кодексом об административной ответственности. Например, разглашение и распространение информации с ограниченным доступом.
- Уголовная. Уголовная ответственность за преступление в сфере информации может наступить вследствие незаконного способа получения информации, например, за взлом программного обеспечения.
Правовое регулирование конфиденциальной информации помогает обеспечивать ее сохранность и защиту. При этом гарантом защиты являются сразу несколько нормативных актов, регулирующих правовые вопросы, касающиеся сведений ограниченного доступа.
Действенные способы предотвратить утечку
Трудовой договор. В нем можно прямо прописать, что работодатель имеет полный доступ к информации на компьютерах работников, а в случае разглашения коммерческой тайны будет требовать возмещения убытков. Эти меры являются мощным сдерживающим психологическим фактором.
Высокая зарплата. Боязнь ее потерять скорее всего отобьет у сотрудника желание предавать свою компанию.
Слежка и прослушка. Существуют программы, которые контролируют все, что происходит на компьютере. Если сотрудники знают, что она у них установлена, у них вряд ли появится желание передавать секретную информацию с рабочего компьютера. Еще устанавливают свои «жучки» в кабинетах или переговорках, а «жучки» шпионов блокируют шумогенераторами, которые создают помехи и глушат сигнал.
Тренинг. Устраивают провокацию: сотрудникам рассылают письма с вирусами, просят по телефону выдать конфиденциальные сведения и т. п. В результате теста выясняется, как персонал реагирует на такие действия, и разрабатываются меры защиты.
DLP-система (Data Leak Prevention). Она отслеживает пересылку и распечатку файлов, внезапные всплески интернет-общения, посещение нехарактерных для работы сайтов и т. д. Также проводит лингвистический анализ переписки и документов и по ключевым словам устанавливает опасность утечки
Работу с DLP-системой важно поручить компетентному специалисту. Если в компании нет ИБ-отдела, настраивать систему и купировать инциденты может сотрудник на аутсорсинге.
Правила обращения с профессиональной тайной
К профессиональным тайнам можно отнести данные, которые человек получает в ходе исполнения своих трудовых, договорных либо служебных обязанностей. Условия обращения с информацией, которая содержит разные виды профессиональной тайны, определены в ряде законодательных актов. Чаще всего это законы, которые регулируют коммерческие и гражданские взаимоотношения в определенных сферах.
Так, закон «Об адвокатуре» разъясняет понятие «Адвокатская тайна». Любые данные, которые имеет адвокат в результате работы с доверителем после предоставления ему юридических услуг, являются адвокатской тайной. Адвоката нельзя допрашивать в качестве свидетеля в тех же судебных производствах, в которых он оказывал юридическую помощь.
Нотариусам и работникам нотариальных контор нельзя предавать огласке сведения или документы, к которым они получили доступ в ходе совершения нотариальных действий. Более того, нотариус находится под действием такого запрета даже если ушел из профессии и отказался от нотариальной практики. Запрет распространяется и на бывших сотрудников нотариальных контор. Справочные сведения, оригиналы и копии документов, связанных с информацией о нотариальных актах, могут получить исключительно клиенты, от имени которых были совершены такие действия.
Законодательство РФ предписывает особое обращение с данными, в которых содержится врачебная тайна. К таким данным относятся:
- факт обращения в медицинское учреждение. Это в равной степени относится к клиникам и практикам всех форм собственности;
- общие данные о состоянии здоровья человека, его биологических характеристиках и анамнезе;
- диагноз заболевания, предыдущие диагнозы и сведения о методах лечения;
- любой иной комплекс данных, который был получен в ходе диагностики и лечения.
Закон запрещает разглашение подобных данных врачами, медработниками и персоналом учреждений здравоохранения. Запрет касается также лиц, обладающих такой информацией в результате учебной, профессиональной или любой другой законной деятельности.
Закон «О почтовой связи» предусматривает ряд правил и средств защиты корреспонденции. Соблюдение этих правил способствует сохранности личной информации во время ее обработки. Закон защищает тайну корреспонденции, в том числе почтовых посылок, телеграмм и сообщений. Под действие ограничений, связанных с тайной связи, подпадают данные:
- об имени и месте проживания клиентов почтовых сервисов;
- о времени оформления почтовых посылок и адресах получателей;
- о факте получения или пересылки почтовых переводов. Не подлежат разглашению и получаемые или отправляемые суммы;
- о времени пересылки и содержании телеграмм, обрабатываемых представителем сервиса связи.
Выдачу посылки, переведенных средств, телеграмм и прочих сообщений до востребования работник отделения обязан производить только адресатам или их законным представителям. Нарушение тайны связи согласно ст. 138 УК Российской Федерации карается штрафными санкциями либо лишением свободы на срок до 5 лет.
Аутентификация и идентификация
Чтобы исключить неправомерный доступ к информации применяют такие способы, как идентификация и аутентификация.
Идентификация – это механизм присвоения собственного уникального имени или образа пользователю, который взаимодействует с информацией. Аутентификация – это система способов проверки совпадения пользователя с тем образом, которому разрешен допуск.
Эти средства направлены на то, чтобы предоставить или, наоборот, запретить допуск к данным. Подлинность, как правила, определяется тремя способами: программой, аппаратом, человеком. При этом объектом аутентификации может быть не только человек, но и техническое средство (компьютер, монитор, носители) или данные. Простейший способ защиты – пароль.
Выбор методик
Объем мер, предпринимаемых для сохранности конфиденциальной информации, зависит от особенностей работы организации, размеров бизнеса, степени важности и секретности сведений, которыми она владеет. В небольшой фирме для предотвращения утечки конфиденциальных сведений достаточно установить порядок их обработки и хранения, а также ограничить доступ персонала к охраняемой информации
Необходимо правильно организовать работу с персоналом, проводить инструктаж по обращению с важной информацией. Важно анализировать и контролировать организационные действия, направленные на предотвращение утечки конфиденциальных сведений
В небольшой фирме для предотвращения утечки конфиденциальных сведений достаточно установить порядок их обработки и хранения, а также ограничить доступ персонала к охраняемой информации
Необходимо правильно организовать работу с персоналом, проводить инструктаж по обращению с важной информацией. Важно анализировать и контролировать организационные действия, направленные на предотвращение утечки конфиденциальных сведений
В крупных организациях используется комплексная многоуровневая система засекречивания материалов. Используемые методы и средства периодически обновляют, чтобы их не смогли распознать злоумышленники.
В список сотрудников, имеющих доступ к засекреченным материалам, не включаются лица-разработчики системы безопасности и соответствующих компьютерных программ.
Для передачи секретной коммерческой информации через Интернет используются защищенные каналы связи. Данные передаются в зашифрованном или замаскированном виде.
Привлечение сторонних организаций для создания систем информационной безопасности
Самостоятельная разработка и внедрение систем защиты информации доступны не всем предприятиям. Существуют специализированные организации, которые оказывают помощь в создании комплексных охранных систем. Необходимо создать специальную группу, которая проводит аудит и оценивает риски. Определить наиболее опасные источники угроз, разработать план действий. Он обсуждается с руководством предприятия, после чего следует приступить к созданию (или реорганизации) подразделения информационной безопасности.
Провести инструктаж всех сотрудников, по необходимости организовать обучающие занятия по информационной безопасности и использованию массивов данных. Все организационные мероприятия следует производить в соответствии со спецификой предприятия. Основной упор нужно сделать на опасные каналы утечки данных, проинформировать сотрудников об ответственности за преднамеренные несанкционированные действия с информацией. В течение первых месяцев работы потребуется консультационное сопровождение деятельности ИБ-службы, отработка важных методик и приемов работы.
09.10.2019
Советы по грамотному использованию социальных сетей
Активное общение в социальных мессенджерах может стать причиной потери личных данных, которые перейдут в руки мошенникам. Коммуникация через виртуальные сети должна быть максимальной безопасной, и для этого следует соблюдать правила:
- Предпочесть проверенный онлайн-сервис.
- Личный профиль заполнять по минимуму. Важную информацию о себе и родственниках не размещать.
- Ограничить возможность рассылок и предложений от неизвестных пользователей.
- Сразу удалять подозрительные ссылки и файлы.
- Составить сложную кодовую фразу, хранить ее в недоступном для других людей месте.
- Выходить из системы после завершения общения.
Инфобезопасность возможно обеспечить самостоятельно, но необходимо владеть сведениями о потенциальных рисках и постоянно соблюдать ряд базовых правил пребывания в интернете. Самый лучший план действий — подобрать комплекс активных средств, работающих на нескольких уровнях защиты персональных данных.
Последнее обновление — 18 сентября 2021 в 15:37
Все о IT
Самое интересное и полезное. информационно-коммуникационные технологии Ежедневно новое ПЕРЕЙТИ телеграмм канал ITUMNIK
Угрозы и способы их распространения
Доступ в Интернет открыт для всех пользователей. Любой компьютер или иное устройство, подключенное к Сети, может стать объектом атаки мошенников. Владелец не всегда имеет представление о том, что его файлы находятся под угрозой и нужно только уметь до них добраться. Они могут быть похищены, изменены или удалены. Физические способы защиты информации от несанкционированного доступа в данном случае малоэффективны.
Чаще всего несанкционированный доступ к чужой информации реализуется с помощью программного обеспечения, которое засылается на компьютер пользователя разными способами:
Принцип работы вредоносного ПО (или, как его обычно называют, компьютерных вирусов) заключается в том, что в оперативную память или на жесткий диск загружается небольшой самораспаковывающийся архив. Когда файл, содержащий вирус, загружен и запущен, вирус восстанавливает свой объем и встраивается в операционную систему. После этого его программа запускается и начинает действовать. Например, сканирует специальные разделы операционных систем и находит пароли, после чего отсылает их злоумышленнику. Примечательно, что большинство подобных вирусов действует вслепую, т. е. мошенник не всегда знает, кто оказался его жертвой.
Описанный вид враждебного ПО – лишь пример. Подобных программ огромное множество. Некоторые из них создаются из хулиганских побуждений, так как их функция может заключаться в переименовании папок, изменении настроек монитора, запуске некоторых программ, открывании лотка дисковода и прочих нелепых действиях. Авторами подобных «шуток» обычно являются студенты-программисты, для которых создание вирусов – лишь способ развлечься и отработать навыки кодирования.
Существуют другие разновидности вирусов. Наиболее опасны те, которые устанавливают на устройство пользователя клиентское приложение для удаленного доступа
Злоумышленник получает доступ к файлам и папкам с важной информацией. Это дает вору возможность использовать все сведения данного компьютера – скопировать, удалить, изменить их по своему усмотрению
Если на жестком диске хранятся научные исследования, дипломные или курсовые работы, списки должников или лиц, находящихся в розыске, и другая важная информация, она находится под серьезной угрозой и нуждается в надежной защите.
В общем смысле специалисты различают следующие виды вредоносного ПО:
- Вирусы. Способны размножаться, копируя себя на всех носителях, где оказываются;
- Черви. Разновидность вирусов, способная к самостоятельному проникновению на другие носители, поскольку всегда находится в активном состоянии;
- Троянские программы. Предназначены для передачи информации злоумышленникам. Способны маскироваться под обычные программы. Обеспечивают удаленный доступ злоумышленникам.
Также выделяют специализированные вредоносные программы:
- Снифферы. Способны перехватывать трафик и использовать чужую информацию;
- Сканеры. Выполняют поиск паролей, логинов соцсетей и прочих конфиденциальных данных;
- Кейлоггеры. Это клавиатурные шпионы, отслеживающие порядок нажатия на клавиши. Запоминают всю последовательность, позволяя отследить набранные пароли или иные важные сведения.
Существуют еще и руткиты – утилиты, спутники вредоносного ПО. Это специальные программные средства, скрывающие следы присутствия вирусов в системе. Удалить их довольно сложно, поскольку они внедряются в систему перед загрузкой ядра ОС.
Распространение вирусного ПО и руткитов происходит разными способами. Иногда это нестандартные пути проникновения на компьютер. Вредоносные программы могут быть записаны на внешне безопасные носители. Например, новая флешка в упаковке может быть заражена вирусом. Поэтому надо быть осторожнее при первом использовании накопителей и других внешних носителей информации. Первый раз флешку надо подключить в компьютер с установленной и обновленной антивирусной программой. При этом, носитель не следует открывать, а сразу отформатировать, как только он определится системой.
Перечислить все виды вредоносных программ невозможно. Их очень много, и каждый день появляются модификации известных вирусов, разрабатываются новые, ранее не известные образцы. Сайт, электронное письмо, скачанная песня или фильм могут заразить систему, о чем сам пользователь не будет иметь понятия. Например, необновленный флеш-плеер или вредоносное содержимое необдуманно открытого электронного письма способны передать в компьютер пользователя вредоносный скрипт.
Аппаратный средства защиты информации
Аппаратный средства защиты информации
– это любые устройства, которые либо затрудняют несанкционированный съем
информации, либо помогают обнаружить потенциальные каналы утечки
информации. Это самый узкоспециализированный класс средств защиты
информации.
Одних только технических каналов утечки информации насчитывается более
десятка: акустические, виброакустические , оптико-электронные, паразитные
электронно-магнитные импульсы и так далее и тому подобное. Соответственно,
и борьба с утечкой ведется также весьма экзотическими средствами:
генераторы шума, сетевые фильтры, сканирующие радиоприемники и т.д.
Более подробно про аппаратные средства защиты можно прочитать
здесь и
здесь.
Съем информации через технические каналы утечки возможен только при
использовании специального, часто очень дорогостоящего оборудования. Стоит
ли ваша информация столько, сколько готовы потратить злоумышленники на ее
несанкционированное получение?
В обычной деятельности компании из всех видов утечек информации по
техническим каналам актуальными скорее всего будут просмотр информации с
экранов дисплеев, бумажных и иных носителей информации, возможно даже с
помощью оптических средств и прослушивание конфиденциальных переговоров, в
том числе телефонных и радиопереговоров.
Против этого хорошо работают как физические средства защиты информации из
предыдущего пункта так и организационные мероприятия. Перечислим их:
- не рекомендуется располагать защищаемые помещения на первых этажах зданий;
-
независимо от этажа следует закрывать окна жалюзи или экранами, в идеале
для конфиденциальных переговоров использовать помещения вообще без окон; - использовать двойные двери с тамбурами;
-
исключить пребывание посторонних в местах, где происходят
конфиденциальные переговоры или обрабатывается конфиденциальная информация; -
ввести запрет использования мобильных телефонов, смартфонов, диктофонов и
прочих устройств как минимум при конфиденциальных переговорах; - располагать мониторы таким образом, чтобы исключить просмотр информации с их посторонними;
- всегда блокировать рабочие станции при оставлении рабочего места;
Межсетевые экраны
Неотъемлемым элементом защиты сети крупной организации от вторжения злоумышленников является корпоративный межсетевой экран (МЭ). Предложение на этом рынке представлено десятками компаний, готовых предоставить решения для любых сред: настольных систем, малого и домашнего офиса (SOHO), среднего и малого бизнеса, телекоммуникационных компаний и т. д.
Поэтому для принятия правильного решения о выборе межсетевого экрана необходимо понимание потребностей бизнеса в обеспечении сетевой безопасности и принципов действия этих продуктов.
Межсетевой экран (firewall, брандмауэр) — это комплекс аппаратных и/или программных средств, предназначенный для контроля и фильтрации проходящего через него сетевого трафика в соответствии с заданными правилами. Основной задачей этого класса продуктов является защита компьютерных сетей (или их отдельных узлов) от несанкционированного доступа.
В общем случае, межсетевой экран использует один или несколько наборов правил для проверки сетевых пакетов входящего и/или исходящего трафика. Правила межсетевого экрана могут проверять одну или более характеристик пакетов, включая тип протокола, адрес хоста, источник, порт и т. д. Существует два основных способа создания наборов правил: «включающий» и «исключающий». Правила, созданные первым способом, позволяют проходить лишь соответствующему правилам трафику и блокируют все остальное. Правила на основе исключающего способа, напротив, пропускают весь трафик, кроме запрещенного. Включающие межсетевые экраны обычно более безопасны, чем исключающие, поскольку они существенно уменьшают риск пропуска межсетевым экраном нежелательного трафика.
Использование межсетевых экранов может быть эффективно при решении следующих задач:
- Защита и изоляция приложений, сервисов и устройств во внутренней сети от нежелательного трафика, приходящего из интернета (разделение сетей);
- Ограничение или запрет доступа к сервисам сети для определенных устройств или пользователей;
- Поддержка преобразования сетевых адресов, что позволяет использовать во внутренней сети частные IP-адреса либо автоматически присваиваемые публичные адреса.
Одна из главных тенденций на рынке межсетевых экранов — увеличение функционала и стремление к универсальности. Кроме непосредственного контроля трафика и разделения сетей функционал современных решений включает в себя:
- Глубокий анализ пропускаемого трафика (deep packet inspection);
- Шифрование трафика;
- Организацию удаленного доступа пользователей к ресурсам локальной сети (VPN);
- Аутентификацию пользователей.
Современные МЭ предоставляют возможность построения виртуальных частных сетей, которые позволяют компаниям создавать безопасные каналы передачи данных через публичные сети, предотвращая тем самым перехват и искажение передаваемой информации, а также обеспечивая контроль целостности передаваемых данных. При организации VPN-сетей могут применяться различные методы аутентификации, в том числе сертификаты PKI X.509, одноразовые пароли, протоколы RADIUS, TACACS+.
В настоящее время межсетевые экраны все чаще предлагаются не в виде отдельных решений, а как компоненты более сложных систем защиты. Потребности рынка продуктов для малых и средних предприятий и удаленных офисов послужили стимулом к созданию специализированных аппаратных устройств с функциями межсетевых экранов. Такие устройства, как правило, представляют собой выделенные серверы с предварительно установленным и сконфигурированным на них программным обеспечением межсетевого экрана, виртуальной частной сети и операционной системой.
С появлением технологий беспроводных ЛВС понятие «защищаемого периметра» теряет свое значение. В этой связи наиболее уязвимым местом корпоративной сети становятся мобильные рабочие станции. Для защиты от подобного рода угроз производители разрабатывают технологии типа Network Access Protection (Microsoft), Network Admission Control (Cisco), Total Access Protection (Check Point).
На сегодняшний день на рынке представлено значительное количество межсетевых экранов различной функциональности
Однако при выборе того или иного решения в первую очередь стоит обратить внимание на управление подобной системой. Так или иначе, качество работы межсетевого экрана напрямую зависит от качества установленного системным администратором набора правил
Кроме того, следует понимать, что межсетевой экран — не панацея от всех угроз и его использование эффективно лишь в связке с другими продуктами, среди которых самое заметное место занимают антивирусы.
Информационная система на примере виртуального здания
Информационная система (ИС) – это комплекс средств, используемых для хранения, обработки и выдачи информации. Современное понимание этого термина предполагает использование компьютера в качестве основного технического средства переработки данных.
ИС также можно представить в виде здания. Хотя оно и виртуальное, но также нуждается в защите. В качестве средств, обеспечивающих защиту, можно использовать те же устройства физической безопасности. Отличие заключается в том, что они должны быть разработаны с учетом IT-технологий.
Если вход в физическое помещение преграждает турникет или сотрудник охраны, в ИС для этого используются устройства аутентификации или межсетевой экран, контролирующие входящий трафик в ИС.
Признаки, которые могут навести на мысль о том, что рядом идет торговля «секретами фирмы»
Во-первых, от компании уходят клиенты – вероятнее всего конкурентам кто-то слил клиентскую базу.
Во-вторых, очевидная перемена в поведении некоторых сотрудников: внезапное улучшение материального положения, снижение заинтересованности в работе, активизировавшаяся переписка в интернете, частая пересылка графических или запароленных архивированных файлов.
В-третьих, «кучкование». Так, в одной компании 30 из 40 сотрудников, которые занимались заключением договоров, сговорившись, зарегистрировали собственную организацию и фактически работали на нее. Сотрудники предлагали клиентам, с которыми напрямую общались, те же услуги, но немного дешевле и перезаключали с ними договоры уже от имени собственной организации.
Как обеспечивается безопасность
Для сохранения конфиденциальных сведений от разглашения используются следующие приемы:
1. Сертификация данных. При разработке мер по защите информации учитывают требования нормативных документов. В них регламентируются средства, обеспечивающие конфиденциальность данных. Сертификация – это проверка соответствия защитных мер установленным нормам работы с секретной информацией.2. Лицензирование – выдача разрешения на определенный вид деятельности или использование изобретения. Если дело касается информации, не подлежащей разглашению, осуществляется контроль за соблюдением условий и требований конфиденциальности, оговоренных в лицензии.3. Категорирование – разделение объектов на категории секретности и с учетом опасности утечки данных при работе с секретной информацией.4. Аттестация – проверка помещений, в которых хранятся конфиденциальные материалы, на соответствие требованиям безопасности и наличие необходимых технических средств.
Руководители компаний, владеющих секретной информацией, должны иметь перечень сведений, не подлежащих разглашению, а также поименный список лиц, имеющих допуск к таким материалам. При приеме на работу новых сотрудников предупреждают о недопустимости разглашения служебной информации и о грозящей ответственности.
Если дело не касается государственных тайн, руководители предприятий сами устанавливают степень конфиденциальности информации, а также выбирают методики и средства ее защиты. При этом руководство берет на себя ответственность за неправильное обращение с ценной информацией и определяет возможные последствия. Все мероприятия по информационной защите осуществляются в соответствии с федеральным законом и указами президента Российской Федерации.