К вопросам информационной
Использование в ИТС системы связи WiFi
Download 0.77 Mb.
|
- Bu sahifa navigatsiya:
- Информационная
- Защита от утечек информации
- Создание комплексной системы защиты информации
Использование в ИТС системы связи WiFiВ настоящее время для обеспечения надежного механизма безопасности в системе связи WiFi, входящей в инфраструктуру ИТС, необходимо (и обязательно) использование устройств и программного обеспечения с поддержкой WPA2. Предыдущие поколения протоколов - WEP (Wired Equivalent Privacy) и WPA (WiFi Protected Access) содержат элементы с недостаточно сильными защитой и алгоритмами шифрования. Протоколы WPA2 работают в двух режимах аутентификации: персональном (Personal) и корпоративном (Enterprise). В режиме WPA2-Personal из введенной открытым текстом парольной фразы генерируется 256-разрядный ключ PSK (PreShared Key). Ключ PSK совместно с идентификатором SSID (Service Set Identifier) используются для генерации временных сеансовых ключей PTK (Pairwise Transient Key), для взаимодействия беспроводных устройств. Как и статическому протоколу WEP, протоколу WPA2-Personal присущи определенные проблемы, связанные с необходимостью распределения и поддержки ключей на беспроводных устройствах сети, что делает его более подходящим для применения в небольших сетях из десятка устройств, в то время как для ИТС оптимален WPA2-Enterprise . В режиме WPA2-Enterprise решаются проблемы, касающиеся распределения статических ключей и управления ими, а его интеграция с большинством сервисов аутентификации в ИТС обеспечивает контроль доступа на основе учетных записей. Для работы в этом режиме требуются такие регистрационные данные, как имя и пароль пользователя, сертификат безопасности или одноразовый пароль, аутентификация же осуществляется между рабочей станцией и центральным сервером аутентификации. Точка доступа или беспроводной контроллер проводят мониторинг подключений и направляют аутентификационные запросы на соответствующий сервер аутентификации (как правило, это сервер RADIUS, например, Cisco ACS). Базой для режима WPA2-Enterprise служит стандарт 802.1X, поддерживающий аутентификацию пользователей и устройств, пригодную как для проводных коммутаторов, так и для беспроводных точек доступа. Варианты решения: Symantec Network Access Control; Cisco NAC Appliance (Clean Access). Информационная безопасность периферийных устройств Периферийные устройства могут быть использованы как в одностороннем (передача данных мониторинга и измерений), так и в двухстороннем режиме (передача данных и получение управляющих команд). Обеспечивая информационную безопасность, мы должны решить 3 вида проблем: обеспечить конфиденциальность передаваемых данных; исключить подделку данных от периферийного устройства, которое «подменяет» злоумышленник; исключить возможность захвата управления периферийным устройством. Эффективно решить эти проблемы на уровне периферийных устройств можно с помощью криптографической защиты: шифрования и электронной цифровой подписи. Для этого открытые каналы связи периферийных устройств с центрами обработки данных должны быть защищены с помощью VPN (рис.5.4). Это может быть как дополнительный программно-аппаратный комплекс (например, если периферийное устройство размещено стационарно), так и специализированное встроенное решение (микроконтроллеры, выполняющие функции VPN при подключении к мобильным периферийным устройствам). Периферийное устройство Подпись ЭЦП VPN-туннель Система связи Система проверки ЭЦП Сервер сбора данных Рис. 5.4. Защита периферийных устройств Таким способом могут передаваться как данные мониторинга, так и управляющие команды. Для использования в ИТС механизма ЭЦП необходимо настроить работу Удостоверяющего центра и подсистем проверки ЭЦП. Защита от утечек информации Любая ИТС обрабатывает информацию, безопасность которой важно обеспечивать для успешной деятельности. Утечки конфиденциальной информации относятся к одной из наиболее актуальных угроз информационной безопасности. Реализация указанной угрозы может привести к следующим негативным последствиям: санкции курирующих и контролирующих организаций, следствием которым может быть, в том числе, персональная ответственность руководства и сотрудников согласно соответствующим статьям КоАП и УК РФ; снижение доверия к организации; судебные издержки в связи исками физических и юридических лиц, связанные с разглашением персональных данных и иной конфиденциальной информации; нарушение процессов деятельности организации. Ежегодная статистика утечек информации подтверждает общую тенденцию к увеличению объема утечек, в сравнении с предыдущими годами. Инициировать утечку конфиденциальных данных могут как внешние, так и внутренние злоумышленники. Последние представляют большую опасность, так как имеют легальный доступ к информационным ресурсам, обладают информацией о номенклатуре и структуре информации, об используемых средствах защиты и, как правило, пользуются доверием руководства. Таким образом, защита от утечек данных, вызванных действиями внутренних нарушителей, является приоритетной задачей. Для предотвращения перечисленных угроз необходимо реализовать систему, позволяющую контролировать правомерность перемещения конфиденциальных данных, в частности: передачи конфиденциальных данных по сети Интернет, электронной почте; копирования конфиденциальных данных на съемные носители информации (flash-накопители, CD-диски, мобильные телефоны и т.д.); печати на принтерах. Контроль перемещения конфиденциальных данных позволит санкционировать доступ легальных пользователей и блокировать несанкционированные действия по передаче и печати информации, подлежащей защите. Кроме того, легальные действия подлежат фиксированию с целью возможности их анализа в дальнейшем. Для реализации указанных механизмов защиты от утечек конфиденциальной информации предлагается использовать систему контроля и предотвращения утечек информации, позволяющую решить следующие задачи: контроль и блокирование несанкционированной передачи конфиденциальной информации посредством сети Интернет и электронной почты за пределы контролируемой информационной среды; предотвращение несанкционированного доступа к конфиденциальной информации в случае потери или кражи ноутбуков, съемных носителей информации; контроль и предотвращение несанкционированного перемещения конфиденциальной информации на съемные носители и мобильные устройства. контроль и предотвращение несанкционированной печати конфиденциальной информации, а так же информации, не относящейся к рабочему процессу; уведомление службы безопасности об утечках защищаемой информации; архивирование всей конфиденциальной информации, передаваемой за пределы информационной среды посредством сети Интернет и электронной почты, для последующего расследования утечек конфиденциальной информации. Создание комплексной системы защиты информации Download 0.77 Mb. Do'stlaringiz bilan baham: 
|