企業情報システム内の制限されたアクセス情報の包括的な保護。 企業の機能に必要な情報の漏洩および破壊のリスク
情報セキュリティの概念情報セキュリティ(IS)とは、情報の所有者またはユーザーに損害を与え、インフラストラクチャをサポートすることを目的とした、自然または人工的な性質の偶発的または故意の影響からの情報およびサポートインフラストラクチャのセキュリティを意味します。 ISのサポートが必要な主題の3つの主要なカテゴリ:州の組織、商業組織、個々の起業家。
可用性(許容される時間内に必要な情報サービスを取得する能力); 整合性(情報の関連性と一貫性、破壊および不正な変更からのセキュリティ); 機密性(不正アクセスに対する保護)。
情報へのアクセスとは、情報に精通し、その処理、特に情報のコピー、変更、破壊を意味します。 情報への許可されたアクセスとは、アクセスを制限するための確立されたルールに違反しない情報へのアクセスです。 情報への不正アクセスは、確立されたアクセス制御規則への違反によって特徴付けられます。 情報システム(ネットワーク)に対する攻撃は、システム内の特定の脆弱性を見つけて悪用するために攻撃者が行うアクションです。
不正アクセスの主な目的が機密情報のコピーの取得である場合、建設的、すなわち 不正アクセスがデータの損失(変更)またはサービスの終了につながる場合の破壊的影響の偵察の性質について話すことができます。
国際法の要件によるコンピューター犯罪との闘いに関する国内法の調和。 捜査官から司法制度までの法執行機関の高度な専門的訓練; さまざまな州の法執行機関の相互作用のための協力と法的メカニズム。
コンピュータ犯罪の発展段階1.盗難、危害、詐欺などの従来の犯罪行為の委託における情報技術の使用。 2.特定のコンピューター犯罪の発生。 3.コンピューター犯罪のコンピューターテロリズムと過激主義への拡大。 4.コンピューターテロリズムと過激主義の情報戦への転換。
オープン通信チャネルを介して送信される情報を保護するための保護された仮想プライベートVPNのソフトウェアおよび技術レベルアプリケーションの手段と手段、パブリック通信ネットワークに接続された場合の外部の脅威から企業ネットワークを保護するファイアウォールの使用; ユーザーレベルのアクセス制御と情報への不正アクセスに対する保護。 トークンの使用によるユーザー識別の保証。 ファイルレベルでの情報保護(ファイルとディレクトリの暗号化による); 抗ウイルスの予防と保護の特殊な複合体を使用したウイルス保護。 侵入検知技術と情報資源セキュリティの積極的な研究。 情報の整合性、信頼性、機密性を確保するための暗号データ\u200b\u200b変換
コンピュータシステムおよびネットワークの情報保護認証の方法および手段の組織的および経済的安全性標準化および保護システムの機能の安全な情報システムの組織的サポートにおける人員の行動を監視するコンピュータシステムおよびネットワークの機能に関連する情報リスクの情報保護保険の分野における活動の保護ライセンスの手段 情報。
法的セキュリティセキュリティ2006年7月27日のロシア連邦連邦法N149-ФЗ「情報、情報技術、および情報保護」。 文書化された情報および情報リソースの形成および使用の過程で生じる法的関係を規制します。 情報技術、自動または自動情報システムおよびネットワークの作成。 情報リソースを保護する手順と、情報化のプロセスに参加するエンティティの権利と義務を決定します。
定義組織の情報セキュリティとは、組織の情報環境のセキュリティの状態であり、組織の形成、使用、開発を保証します。 情報保護-保護された情報の漏洩、保護された情報に対する無許可で意図しない影響、つまりこの状態を達成することを目的としたプロセスを防ぐ活動です。 2
情報セキュリティコンポーネント。 守秘義務(英語の守秘義務)-特定のサークルの人々のみが情報を利用できること。 完全性-元の形式での情報の存在の保証。 可用性-許可されたユーザーが適切なタイミングで情報を受信できる能力。 信頼性-情報の著者を確立する能力。 魅力性-著者が主張された人物であり、他の誰でもないことを証明する能力。 3
機密性、整合性、可用性の使用のためのアクセス制御モデル:必須アクセス制御選択的アクセス制御ロールベースのアクセス制御4
資格情報アクセス制御。 必須アクセス制御、MAC-オブジェクトに含まれる情報に対する機密ラベルの割り当てと、このレベルの機密性の情報にアクセスするためのサブジェクトへの公式許可(承認)の発行に基づく、オブジェクトへのサブジェクトのアクセスの区別。 強制アクセス制御とも呼ばれます。 これは、権利の保護と制限を組み合わせた方法であり、コンピュータープロセス、データ、およびシステムデバイスに適用され、それらの不要な使用を防ぐように設計されています5
任意アクセス制御(DAC)-アクセス制御リストまたはアクセスマトリックスに基づいた、オブジェクトへのサブジェクトのアクセスの制御。 各ペア(サブジェクト-オブジェクト)に対して、許可されるアクセスの種類(読み取り、書き込みなど)の明示的かつ明確な列挙を指定する必要があります。つまり、このリソースに対する特定のサブジェクト(個人またはグループ)に対して許可されるアクセスの種類 (オブジェクト)7
8
役割ベースのアクセス制御(RBAC)-選択的アクセス制御のポリシーの開発。オブジェクトに対するシステムのサブジェクトのアクセス権は、アプリケーションの詳細を考慮してグループ化され、管理者、1ユーザーなどの役割を形成します。 ユーザーがアクセスを区別できるように、明確で理解可能なルールを定義することを目的としています。 9
送信中のセキュリティの確保実装-暗号化-信頼できないソースに重要な情報を保存したり、安全でない通信チャネルを介して転送したりするために使用される情報を変換する方法。 これには2つのプロセスが含まれます-暗号化と復号化の方法論的手法-暗号化。 10
キーの定義キーは、メッセージの暗号化/復号化、デジタル署名の設定と検証、および認証コード(MAC)の計算時に暗号アルゴリズムによって使用される秘密情報です。 同じアルゴリズムを使用する場合、暗号化の結果はキーに依存します。 最新の強力な暗号化アルゴリズムの場合、キーを紛失すると、情報を解読することが実質的に不可能になります。 キーの情報量は通常ビットで測定されます。 最新の暗号化アルゴリズムの場合、暗号強度の重要な特徴はキーの長さです。 キーなしの情報の復号化には強力なスーパーコンピューターの長年の作業が必要になるため、128ビット以上の長さのキーによる暗号化は強力と見なされます11
暗号化方法対称暗号化:権限のない人は暗号化アルゴリズムを知っているかもしれませんが、秘密情報のごく一部は不明です-キーはメッセージの送信者と受信者で同じです。 非対称暗号化:部外者は暗号化アルゴリズムと、場合によっては公開鍵を知っている可能性がありますが、秘密鍵は受信者だけが知っています。 12
真正性を確保する手段:署名デジタル署名署名は、特定のデザイン手法を使用して、人を識別するのに役立つ手書き文字の一意のコレクションです。 優れた署名偽造抵抗の特性。 再現性 識別可能性(署名は通常、名、姓に似ています)。 書き込み速度13
電子デジタル署名(EDS)-この電子文書を偽造から保護するために必要な電子文書。電子デジタル署名の秘密鍵を使用して情報を暗号変換し、署名鍵証明書の所有者を識別し、情報の歪みがないことを確認できる また、署名者の否認防止を保証します。 署名されたドキュメントの長さは可変で(かなり長い)、EDSスキームでは、署名はドキュメント自体ではなく、そのハッシュに配置されることがよくあります。 ハッシュを計算するために、暗号化ハッシュ関数が使用されますハッシュ-任意の長さの入力データ配列を固定長の出力ビット文字列に変換します。 このような変換は、ハッシュ関数とも呼ばれます。 文書に変更を加えると、ハッシュが変更されます14
電子署名スキームには次のものが含まれます。鍵生成アルゴリズム。 署名計算機能; 署名検証機能。 文書とユーザーの秘密鍵に基づく計算機能は、署名自体を計算します。 署名検証機能は、指定された署名がこのドキュメントとユーザーの公開鍵に一致するかどうかをチェックします。 ユーザーの公開キーには誰でもアクセスできるため、誰でもこのドキュメントの署名を確認できます15
デジタル署名は、ドキュメントソースIDを提供します。 文書の定義の詳細に応じて、「作成者」、「変更」、「タイムスタンプ」などのフィールドに署名することができます。 ドキュメント(または署名)の偶発的または故意の変更はハッシュを変更するため、署名は無効になります。 否認不可。 秘密鍵を知ることでしか正しい署名を作成できず、所有者だけが知っているため、所有者は文書の署名を拒否できません。 16
承認と認証の手段:パスワードは、IDまたは権限を確認するために設計された秘密の単語または文字セットです。 パスワードのハッキングはリソース集約的なタスクであり、通常、いわゆるブルートフォース方式、つまり単純な列挙によって解決されます。キー-限られた人々のサークルに知られている秘密情報は、通常暗号化された形式で使用されます。 バイオメトリクスは、被験者の生理学的パラメーター(指紋、虹彩など)を使用する人格識別技術です。 17
コンピュータネットワークのデータ保護は、現代の情報コンピューティングシステムで最も未解決の問題の1つになりつつあります。 現在までに、情報セキュリティの3つの基本原則が策定されており、そのタスクは次のことを保証することです。-データの整合性-情報の損失または破壊につながる障害に対する保護。 -情報の機密性。 -許可されたユーザーの情報の可用性。
保護手段-物理的保護手段; -ソフトウェア(ウイルス対策プログラム、権限の差別化システム、アクセス制御ソフトウェア); -管理上の保護手段(施設へのアクセス、会社のセキュリティ戦略の開発など)。
物理的保護手段とは、情報のアーカイブおよび複製のシステムです。 1つまたは2つのサーバーがインストールされているローカルネットワークでは、ほとんどの場合、システムは空きサーバースロットに直接インストールされます。 大規模な企業ネットワークでは、ネットワーク管理者が設定した特定の時間にサーバーおよびワークステーションのハードドライブから情報を自動的にアーカイブし、バックアップに関するレポートを発行する専用の専用アーカイブサーバーが優先されます。 最も一般的なアーカイブサーバーモデルは、IntelのARCserve for Windows Storage Express Systemです。
コンピュータウイルスに対抗するために、ウイルス対策プログラムが最も頻繁に使用されますが、それほど頻繁ではありません-ハードウェア保護。 しかし、最近では、ソフトウェアとハ\u200b\u200bードウェアの保護方法の組み合わせに向かう傾向があります。 ハードウェアデバイスの中で、標準のコンピューター拡張スロットに挿入される特別なウイルス対策ボードが使用されます。 Intel Corporationは、ネットワーク内のウイルスから保護するための有望な技術を提案しました。その本質は、コンピューターシステムを起動する前にスキャンすることです。 ウイルス対策プログラムに加えて、コンピューターネットワークの情報を保護する問題は、アクセス制御の導入とユーザー特権の制限によって解決されます。 このために、ネットワークオペレーティングシステムの組み込みツールが使用されます。その最大の生産者はNovell Corporationです。
コンピューターネットワークへの不正な侵入を防ぐために、パスワード+個人の「キー」を使用したユーザーIDを組み合わせたアプローチが使用されます。 「キー」とは、目の虹彩、指紋、手の大きさなどによって、生体認証情報によって人を識別するためのプラスチックカード(磁気または内蔵マイクロチップ—スマートカード)またはさまざまなデバイスです。サーバーおよびネットワークワークステーション、 スマートカードリーダーと特別なソフトウェアを搭載し、不正アクセスに対する保護の度合いを大幅に向上させます。 スマートアクセスコントロールカードを使用すると、アクセスコントロール、PCデバイスへのアクセス、プログラム、ファイル、コマンドなどの機能を実装できます。
Kerberosシステム-すべてのネットワークリソース、ユーザー、パスワード、情報キーなどに関する情報を含むデータベース。 -認証サーバー。特定の種類のネットワークサービスの提供に対するユーザー要求を処理するタスク。 要求を受信すると、彼はデータベースに目を向け、特定の操作を実行するユーザーの権限を決定します。 ユーザーパスワードはネットワークを介して送信されないため、情報セキュリティの度合いが高まります。 -チケット許可サーバーは、ユーザー名とネットワークアドレス、要求時間、および一意の「キー」を含む「パス」を許可サーバーから受け取ります。 「パス」を含むパケットも暗号化された形式で送信されます。 「パス」を受信して\u200b\u200b復号化した後に許可を発行するサーバーは、要求をチェックし、「キー」を比較し、同一の場合は、ネットワーク機器またはプログラムの使用を許可します。
企業の活動が拡大し、加入者の数が増え、新しい支店が出現するにつれて、リモートユーザー(ユーザーグループ)が企業センターへのコンピューティングまたは情報リソースへのアクセスを整理することが必要になります。 リモートアクセスを整理するには、ケーブル回線と無線チャネルが最もよく使用されます。 この点で、リモートアクセスチャネルを介して送信される情報の保護には、特別なアプローチが必要です。 パケットセグメンテーションは、ブリッジとリモートアクセスルーターで使用されます(2つのラインに沿って並列に分離および送信される)。これにより、ハッカーがラインの1つに不正に接続された場合、データを「傍受」できなくなります。 データ送信で使用される送信パケットの圧縮手順により、「傍受された」データの解読が不可能になります。 ブリッジとリモートアクセスルーターは、リモートユーザーが会社のセンターリソースのすべてにアクセスできないようにプログラムできます。
現在、ダイヤルアップ回線を介したコンピューターネットワークへのアクセスを制御するための特別なデバイスが開発されています。 例としては、AT&Tリモートポートセキュリティデバイス(PRSD)モジュールがあります。これは、通常のモデムのサイズの2つのブロックで構成されています。 RPSDキーとロックを使用すると、いくつかのレベルの保護とアクセス制御を設定できます。-生成されたデジタルキーを使用して、回線を介して送信されるデータの暗号化。 -曜日または時刻に基づいたアクセス制御
セキュリティとバックアップの戦略は、バックアップと復元の戦略に直接関連しています。 通常、これらの操作は、バッチモードで数時間後に実行されます。 ほとんどのDBMSでは、データのバックアップとリカバリは、幅広い権限(システム管理者またはDB所有者のレベルでのアクセス権)を持つユーザーにのみ許可されています。このような責任パスワードをバッチ処理ファイルで直接指定することは望ましくありません。 パスワードを明示的に保存しないために、コピー/復元ユーティリティを呼び出す単純なアプリケーションプログラムを作成することをお勧めします。 この場合、システムパスワードは、指定されたアプリケーションのコードに「配線」する必要があります。 この方法の欠点は、パスワードを変更するたびに、このプログラムを再コンパイルする必要があることです
各企業では、規模、資産の種類、活動分野に関係なく、保護システムのモデルを実装するのと同じ方法と保護方法が適用されます。 シールドの方法のブロックは、障害、規制、アクセス制御、マスキング、動機付け、および強制です。
障害物(物理的方法)、たとえば、企業の周りのフェンスの設置、建物や建物へのアクセスの制限、アラームの設置、セキュリティ。アクセスは物理的およびプログラム的に区別されます。マスキングには暗号化ソフトウェアの使用が含まれます。 動機は、情報の処理および使用における倫理基準のユーザーによる遵守です。 規制は、情報の処理に関する指示と規制の利用可能性を意味し、禁止は、規制文書に記された法的規範の存在を意味し、違反の場合の法的責任を決定します。
上記の方法と保護方法は、情報システムにインストールされる4つのサブシステムに結合されます。アクセス制御用のサブシステム、登録およびアカウンティング用のサブシステム、暗号化サブシステム、整合性を確保するためのサブシステム
アクセス制御サブシステムは、ソフトウェア(パスワード)とソフトウェアおよびハードウェア(電子キー、キーディスケット、生体認証機能に基づくユーザー認識デバイスなど)を使用して、情報システムへの入り口を保護します。
登録および会計サブシステムは、システム、ファイル、プログラム、またはデータベースへのアクセス権を取得したユーザーとプログラムの特別な電子ジャーナルに登録を実行し、システムへの出入りの時間、およびユーザーが実行するその他の操作を実行します。
暗号化サブシステムは、情報を暗号化および復号化する特別なプログラムのセットです。 電子ビジネスに使用される情報システムでは、暗号サブシステムの存在が特に必要です。
情報の整合性を確保するためのサブシステムには、コンピューター機器とメディアの物理的保護、プログラムとデータ用のテストツールの可用性、認定セキュリティ機能の使用が含まれます。
さまざまな組織、企業、銀行の活動範囲の不均一性により、重大な違反または危機が発生した場合に情報を保護し、管理するための戦略を明確に指定する必要があります。 このアプローチは、組織の規模(小、中、大)、活動分野(金融、銀行、製造、貿易)、国の地域特性に応じて、情報セキュリティのさまざまな概念の開発を促進します。 情報リスクの分析には、何を保護する必要があるか、誰から、どのように保護するかを決定することが含まれます。 合理的なレベルの情報セキュリティは、主に経済的実現可能性の理由から選択されます。
企業とは、銀行や銀行を含む大企業向けの合資会社の形態の1つである、共同の職業上の利益に基づいた組織、個人の団体です。
大企業は、マルチレベルおよびマルチリンク構造を持つ複雑で地理的に分散した構造によって特徴付けられます。 活動の範囲と製品およびサービスの量は、地域的なものである場合があります。
コーポレートコンピューティングネットワークの特徴的かつ特徴的な機能は、原則として数年にわたって構築が行われることです。 そのようなネットワークでは、異なるメーカーおよび異なる世代の機器が機能します。 機器は、最新のものでも時代遅れのものでも、最初は常にコラボレーション、送信、およびデータ処理向けではありませんでした。 企業ネットワークの定量的および定性的開発により、それらを管理するタスクはより複雑になり、企業全体のネットワークを管理するための新しいツールが必要になります。 そのようなツールは、プロトコルに依存せず、スケーラブルでなければならず、一元化されたネットワーク管理を提供する必要があります。
現在、消費者は、1つの企業内だけでなく、国内の地域全体で異種の支店を統一するソリューションを探しています。 ブランチの合併の主な目標は、単一の情報スペースと共通サービス機能の作成です。 最新のソリューションにより、消費者に企業ネットワークリソースの管理と制御(監視)の統合システムを提供し、コストを削減し、データネットワークとテレフォニーネットワークを組み合わせ、不正アクセスから保護できます。
企業レベルの情報リソースは特に脆弱であり、企業タイプの組織の情報構造は異種であり、一連の分散システム、技術、データベース、データバンク、およびローカルタスクで構成されているため、高品質で信頼性の高い保護が必要です。
大規模な組織では、さまざまな種類のアクティビティにさまざまな情報サポートがあります。 さまざまな部門のデータ(統合されていない場合)は、複製したり、さまざまな形式で保存したり、特定の分野で互いに補完したり、同時に専門家などがアクセスできないようにすることができます。 多くの場合、企業には、さまざまな情報リソースを最大限に活用する機会がありません。 この状況は、保護システムの作成と信頼性の高い運用のコストを複雑にし、複雑にし、増加させます。
かつて情報セキュリティの問題は主に国家の秘密を保護するためにわが国で解決されていたため、銀行やその他のビジネスを保護するという特定の問題に緊急に対処する必要があり、現在のみ世界システムに統合されています。 経済活動の特定の領域における情報保護には、情報セキュリティの組織への影響に関連する多くの重要な機能があります。 それらの中で最も重要なのは:
優先的な経済、市場要因、財産関係。
オープンシステムの使用、市場で広く利用可能な手段から情報を保護するためのサブシステムの作成。
ロシア連邦の法律に従って文書、情報リソース、情報処理プロセスの法的保護を提供する情報の法的重要性。
企業の地理的に分散したユーザー間だけでなく、外の世界と情報を交換する必要があるため、グローバルなグローバルネットワークを使用する必要があります。 インターネットに接続されている場合、そのサービスを使用すると、企業が処理する情報の脅威分野が大幅に増加します。
インターネットサービスは、オープンとクローズに分かれています。 オープンサービスには、企業のユーザーと外部構造との相互作用が含まれます。 クローズドサービスは、リモートのユーザーを含む企業のネットワークユーザーにまで及びます。 統合インターネットサービスは、クローズドサービスとオープンサービスの両方を提供します。
企業の情報セキュリティのために、必要なインフラストラクチャが作成され、インターネットとやり取りするための信頼できるプログラムが使用されます。これには、企業がインターネットを使用する場合、次のルールへの準拠が必要です。
パスワードを慎重に保存し、疑わしい場合は変更します。
通信セッション中にコンピューターを放置しないでください。
必要な情報を受け取ったら、他のサイトにアクセスする前に通信セッションを完全に終了します。
ネットワークなどで発生するメッセージのエンコードを使用します。
企業ネットワークを作成するとき、情報の保護に関する立法行為が考慮され、情報セキュリティの侵害に対する責任の基準が開発されます。 ネットワークの現代のコンピューター化されたグローバル化は、事実上誰もが管理するスペースではなく、さまざまな情報がメガバイト単位で常に補充されています。 有用な情報を装って、コンピューターはさまざまなウイルス(マルウェア)の影響を受けます。 機密データは、インターネットを介して攻撃されたり、盗まれたり、データベースが破壊されたりする可能性があります。
企業ネットワークと情報オブジェクトを悪意のあるプログラムから保護するために、次の基本要件を策定できます。
ライセンスされたクリーンなソフトウェア、ハードウェア、およびセキュリティツールの使用。
宣言されていない機能の存在のテストを含む、保護に関する規制文書の要件に準拠するための情報オブジェクトの認証。
使用可能なソフトウェアツールのリストの定義と修正、パッケージに含まれていないソフトウェアの使用のカテゴリ的禁止。
最新のウイルス対策マルウェア対策ツールを保護し、それらのタイムリーな更新を保証するために使用します。
悪意のあるプログラムからオブジェクトを保護するために必要な組織および管理ドキュメントの開発と、ネットワークへの侵入を防ぐための防止方法の具体化により、悪意のあるプログラムの出現の一般的な兆候をユーザーに認識させます。
ソフトウェアおよび情報リソースの初期サンプルを安全な場所に確実に保存しながら、ウイルスやウイルスによる感染の場合にソフトウェアおよび情報リソースをバックアップ、保存、復元する方法の開発。
マルウェア感染のコンピューターツールの定期的なチェックを提供します。
立法に加えて、管理レベルも同様に重要です。 各企業の経営者は、セキュリティ体制を維持し、これらの目的に適切なリソースを割り当てる必要性を認識している必要があります。 管理レベルで実装しなければならない主なことは、企業の一般的な方向に対応する情報セキュリティを確保するためのポリシーを開発することです。
管理レベルで講じられる対策の主な目標は、情報セキュリティの分野で作業プログラムを策定し、その実装を確実にすることです。 管理タスクには、必要なリソースの割り当てと状況の監視が含まれます。 プログラムの中心は、情報資産と利益を保護するための組織のアプローチを反映したマルチレベルのセキュリティポリシーです。 情報システムの使用は、特定のリスクに関連付けられています。 リスクが容認できないほど高い場合、保護対策を講じる必要があります。 セキュリティ活動の有効性を監視し、状況の変化に対応するには、リスクの定期的な再評価が必要です。
情報セキュリティ体制を維持するために、コンピューターシステムに対する主な脅威はハードウェア障害、ソフトウェアエラー、ユーザーと管理者のミスなどにあるため、ソフトウェアとハ\u200b\u200bードウェアの手段とツールは特に重要です。
企業ネットワークの情報セキュリティを確保するための主要なメカニズムは次のとおりです。
識別と認証。
アクセス制御。
ロギングと登録。
暗号化とネットワーク保護。
シールド。
企業ネットワークでのシールドは、ファイアウォールを使用して実行されます。 ファイアウォールは、ユーザーが管理者によって設定された情報セキュリティ規則に違反することを防ぎます。 この画面では、ユーザーの職務を実行する必要のないサーバーへのアクセスは許可されません。
ファイアウォールは、ソフトウェアとハ\u200b\u200bードウェアに実装できます。 ソフトウェアの実装は安価ですが、生産性が低く、かなりのコンピューターシステムリソースを必要とします。 ハードウェアファイアウォールは、保護機能を実行するように変更された特殊なオペレーティングシステムまたは従来のオペレーティングシステムの制御下で動作する特別なハードウェアおよびソフトウェア技術システムとして作成されます。
1.認証製品のみに焦点を合わせる必要があります。
2.すべてのサービスを提供するセキュリティシステムのサプライヤーを選択する必要があります。 全員が提供する販売と保証だけでなく、設置および構成サービス(必要な場合)、従業員の保護装置の使用方法のトレーニング、および付属の取得システムも含まれます。
3.さまざまなオペレーティングシステムでアクセス制御を提供するセキュリティシステムを選択します。
4.高い信頼性、さまざまなソフトウェアとの互換性、ワークステーションの生産性の低下の最小化、セキュリティ管理者の職場からの保護メカニズムの集中管理の必須可用性、すべてのNSDイベントに関する管理者への迅速な通知など、最高の運用特性を備えたシステムに導かれる必要があります ワークステーションで。
5.選択するときは、そのような資金のコストだけでなく、運用と保守の推定コストのレベルにも注意してください。
企業秘密を構成する情報を処理するには、IPを作成する段階で安全性と注意深い設計作業を確保する必要があります。 設計には次のものが含まれます。自動化されたシステムの検査と組織および管理文書の開発。 保護具の選択、取得、設置、構成、および操作。 利用可能な保護具を使用する作業員のトレーニング。 セキュリティ情報サービス; 情報セキュリティシステムの定期的な監査。
情報セキュリティシステムの検査と設計の段階での計算ミスは、その構築と運用に重大な問題と損失をもたらす可能性があるため、このような作業は専門家が行うことが望ましい。
開発されたドキュメントは、企業ネットワークの機能を考慮して、次のタスクのソリューションを提供する必要があります。
企業ネットワークへの侵入および通信チャネルを介したネットワークからの情報漏洩に対する保護。
ネットワークセグメント間の情報フローの差別化。
通常の機能プロセスにおける干渉から最も重要なネットワークリソースを保護します。
重要な職場とリソースを不正アクセス(NSD)から保護します。
最も重要な情報リソースの暗号保護。
現在、上記のすべてのタスクの機能の実装を同時に提供する単一の既製のソリューション(ハードウェア、ソフトウェアなど)はありません。
これは、一方では、特定の保護手段の実装に対する特定のユーザーごとの要件が大幅に異なり、他方では、各タスクが特定の手段によって解決されるという事実によって説明されます。 これらの機能を実装するツールのいくつかを検討してください。
ネットワークへの侵入およびネットワークからの情報漏洩に対する保護。 このような脅威を実現する主な手段は、企業ネットワークをグローバルインターネットに接続するチャネルです。
ファイアウォールの使用は、最も一般的なソリューションです。 これにより、企業ネットワークの外部ユーザーと内部ユーザーの両方にアクセス制御ルールを定義および実装し、必要に応じて外部ユーザーからネットワーク構造を隠し、「禁止」アドレスへの情報送信をブロックし、最後にインターネットの使用を簡単に制御できます。
ネットワークセグメント間の情報フローの差別化。 ネットワークの特定のセグメントで処理される情報の性質と、セグメント間の相互作用の方法に応じて、さまざまなオプションが実装されます。 最も一般的なのはファイアウォールの使用です。これは、インターネット経由でセグメント間の相互作用を整理するときに推奨されます。 原則として、この方法は、内部ネットワークとインターネット間の情報の流れを制御するように設計されたファイアウォールが既にネットワーク上にある場合に使用され、不要なコストを防ぐのに役立ちます-利用可能なツールの機能がより完全に使用されます。
最も重要なネットワークリソースを通常の機能プロセスを妨げることから保護することが優先事項です。 企業ネットワークで最も重要なリソースはサーバーです。 機能の通常のプロセスを妨害する主な方法は、ネットワークのハードウェアとソフトウェアの脆弱性を使用して攻撃を行うことです。 この場合、攻撃は外部(インターネット)と内部ネットワークの両方から、たとえばスタッフの1人によって実装できます。 主な問題は、多くのツールで許可されている攻撃のタイムリーな検出と登録だけでなく、攻撃に対抗することにもあります。 攻撃を成功させるために。
重要なジョブとリソースを不正アクセスから保護するには、次の機能があります。 これまで、多くの自動システムが機能しており、さまざまなオペレーティングシステム(通常はネットワーク)の組み込みの保護メカニズムのみに焦点を当てて機能し、サーバー上の情報を(適切に管理して)十分に保護します。 ただし、企業ネットワーク内のサーバーの数は、保護された情報が処理されるワークステーションの総数の1〜3%です。 同時に、ワークステーションの大部分(約90%)はMS DOSまたはWindowsの制御下で動作し、セキュリティ対策がありません。これらのオペレーティングシステムには保護メカニズムが組み込まれていないためです。
状況が発生します-保護されていない職場では、重要な情報を処理できますが、アクセスは無制限です。 このような場合、追加の保護手段、特に暗号化による保護手段(暗号化キーを保護するため)を使用することをお勧めします。 ユーザーアクションの規制とログ ローカルリソースへのアクセスに対するユーザー権利の差別化。
最も重要な情報リソースは暗号保護にさらされています。 暗号化は、他の人が自分の目的のためにデータを読み取ったり使用したりするのを防ぐための信頼できる方法です。 ロシアでのそのような資金の特徴は、その使用が法律によって厳密に規制されていることです。 現在、企業ネットワークでの暗号化を目的とした情報製品は、非常に重要な情報が保存されている、または電子マネーの支払いが処理されるワークステーションにのみインストールされています(たとえば、銀行クライアントシステム)。
企業の情報システムおよび技術を包括的に保護するには、大企業のソフトウェアおよびハードウェアツールの使用が推奨されます。 彼らは、より完全な範囲のサービスと施設を、より技術的な設計で提供することができます。
企業内の情報の保護は複雑な問題であるため、他の保護コンポーネントを考慮しない場合、デジタル署名と暗号化の手段は役に立ちません。 ほとんどの企業構造は、実際には、技術チャネル(電源システム、電話回線、エンジニアリング構造、情報を読み取るための暗黙のデバイスなど)を介した情報漏洩の脅威を現実とは見なしませんが、情報保護に関与する多くの組織によると、これは1つです 今日の情報窃盗の最も一般的なチャネルの。
施設の情報セキュリティの品質管理は、特別な専門知識を持ち、一般的な認証システムで認定されている組織によって管理されています。 彼らは自分の行動に対して完全な法的および財政的責任を負います。 現在、この分野のサービス市場には2つのカテゴリの組織があります。認可されているが、国家技術委員会(現在は技術および輸出管理のための連邦サービス)の認定機関ではありません。 それらの違いは、どちらも最初のカテゴリ(ほとんどの場合、下請け業者)に属する組織の検査を実行できますが、適合証明書を承認する権利がなく、このために認証機関の1つに適用する必要があることです。 国家技術委員会に直接。
各企業、銀行は、その仕事の特定の条件に応じて、個人情報保護システムを必要とします。 そのようなシステムの構築は、この種の活動の認可を受けた企業によってのみ可能です。
銀行の例では、個人情報保護システムは、情報の重要性と機密性のレベルに適切でなければなりません。 その値は、保護された情報のセキュリティの侵害による損害の可能性を超えてはなりません。 しかし、同時に、保護された情報へのアクセス、破壊、変更、またはブロックを得る可能性のある利点と比較して、保護システムの克服は経済的に実行可能ではありません。 保護システムのコストの妥当性を判断するには、損害の規模と損害の可能性を、保護を提供するコストの規模と比較する必要があります。 情報の実際の価値を評価するのはかなり難しいため、高品質の専門家による評価がしばしば使用されます。 情報リソースは、ビジネスなどで特に重要な場合、ビジネスを行う上で重要であると分類されます。
情報セキュリティのレベルは、処理された情報の機密性のレベル、保護違反による損害のレベルに基づいて正式に決定する必要があります。 必要な機密レベルの決定は、銀行の経営者の特権です。 銀行の戦略的および戦術的な目標、使用される情報処理技術、経営陣の個人的な意見、スタッフのスタッフ、自動化ツールの構成、および他の多くの理由によって大きく異なります。 情報の機密性のレベルを決定する上で重要なのは、立法の枠組みと政府機関の要件です。
自動化された銀行システムの情報セキュリティの程度は、機密性に対する脅威の特定の分野によっても決定されます。 現代のコンピュータ化された世界における脅威の完全なリストは、1ページ以上です。 特定の銀行システムで、各脅威の発生確率の特定の評価を決定する必要があります。
情報保護方法に関して市場に出回っている既存のソフトウェア製品には、アクセスを制限するシステムが含まれています。 組織の観点からシステムに新しいユーザーを入力する手段は、セキュリティサービスの裁量に留まります。 例としては、機能的タスクのリスト、特定の機能的タスクでの操作のリスト、オペレーターが実行できるアクションのリストを含むシステムへのアクセス権に関するアンケートへの記入があります。 アンケートは銀行管理、セキュリティサービス、エスコートサービスによって承認されます。 これらのステップの後、オペレーターはシステムに入るための2つのパスワードを知っている必要があります。コンピューターへの物理的な入り口のスーパーバイザーパスワードとシステムに入るための個人パスワードです。
ほとんどの場合、コンピューター犯罪は銀行員によって行われます。 一部の銀行は、ソフトウェア開発者のスタッフを維持することを好みます。 システム設計者は、システムに関するすべての弱点をすべて知っており、誰も情報を知らないように情報を変更する方法を知っています。 彼以外の誰もシステムを維持できません。 実践が示すように、コンピューター犯罪の実施は、情報のアーカイブに関する規制や規則の違反に寄与します。
現在、社会全体はコンピューターに依存しているため、今日の情報セキュリティの問題は社会全体の問題です。
情報セキュリティは、独立した動的に発展する科学、工学、技術の分野になりました。 情報保護の現在の傾向は、コンピューターシステムとテクノロジーの開発における一般的な傾向、つまり統合、標準化、移植性、透明性に続きます。
情報セキュリティの分野における開発は急速に発展し続けています。 情報セキュリティが保証されたソフトウェア製品の需要が高まっています。 ネットワークの問題が最も関連性が高いままです。
ベラルーシ州立大学
卒業作品
「情報技術の基礎」
学部
サイバネティックス学科
コズロフスキーユージーン
リーダー:
アニシェンコウラジミールヴィクトロヴィッチ准教授、
アート。 先生Kozhich Pavel Pavlovich
ミンスク-2008
ERP-エンタープライズリソースプランニングシステム
MRP II -資材所要量計画
Mrp II -製造資源計画
ソフトウェア-ソフトウェア
KIS -企業情報システム
SVT-コンピューター設備
不正アクセス-不正アクセス
企業情報システムは私たちの生活にしっかりと定着しています。 現代の世界では、このようなシステムに参加せずに管理された成功した開発企業を想像することは非常に困難です。
情報は企業情報システムに保存されるため、その完全性または機密性の侵害は企業全体の崩壊につながる可能性があるため、企業情報システムの情報を保護するという問題は深刻な問題です。
この作業にはいくつかの目標があります。 それらの1つは、企業情報システムの構造の分析です。 この分析に基づいて、それらは分類されます。 また、この作業の目標の1つは、さまざまなクラスの企業情報システムのデータ保護メカニズムを研究することです。 さらに、企業情報システムに対する既存の脅威を調査し、それらを最小化または完全に排除する方法を分析することも目標です。 これに関連して、特定の条件下での既存のアクセス制御方法とその適用性の分析に関する調査が実施されます。
企業という用語はラテン語に由来します 法人 -関連付け。 企業とは、一元管理の下で運営され、一般的な問題を解決する企業の団体を意味します。 原則として、企業には、さまざまな地域、さらにはさまざまな州にある企業(多国籍企業)が含まれます。
企業情報システム(CIS)は、詳細なデータ分析、意思決定支援情報システムの広範な使用、電子文書管理、および書類業務に基づいた、地理的に分散した企業向けの統合管理システムです。
企業情報システムを実装する理由:
・信頼できる便利な情報への迅速なアクセス。
・単一の情報スペースの作成。
・データの記録と処理の簡素化。
・同じデータの二重登録を取り除く。
・リアルタイムでの情報の登録。
・人件費の削減、会計、計画、管理システムのすべての参加者への均一な配布。
・分散した組織構造のデータ統合を自動化します。
すべての企業情報システムは、2つの大きなサブグループに分割できます。 そのうちの1つには、モジュールベースで組み立てられた高レベルの統合を備えた単一のシステムが含まれます。 もう1つはアプリケーションのセットです。サービスとインターフェイスを使用して相互に統合されていますが、依然として異種です。
最初のクラスには、主に最新のERPシステムが含まれます。
ERPシステム(エンタープライズリソースプランニングシステム-エンタープライズリソースプランニングシステム)-会計および管理を自動化するために設計された企業情報システム。 原則として、ERPシステムはモジュラーベースで構築されており、企業のすべての主要プロセスをある程度カバーしています。
歴史的に、ERPの概念は、MRP(資材所要量計画)およびMRP II(製造資源計画)のより単純な概念に進化してきました。 ERPシステムで使用されるソフトウェアツールを使用すると、生産計画を実行し、注文の流れをシミュレートし、企業のサービスおよび部門での実装の可能性を評価して、販売に関連付けることができます。
ERPシステムの中心にあるのは、すべての企業のビジネス情報を含む単一のデータウェアハウスを作成し、適切な権限を持つ必要な数の企業従業員の同時アクセスを提供するという原則です。 データは、システムの機能(機能)によって変更されます。 ERPシステムの主な機能:製造された製品の構成を決定する設計と技術仕様、および製造に必要な材料資源と操作を維持する。 販売および生産計画の形成。 生産計画を満たすための材料とコンポーネント、タイミングと供給量の計画要件。 在庫および調達管理:契約の維持、集中調達の実施、倉庫およびワークショップ在庫の会計および最適化の確保。 統合計画から個々の機械および機器の使用までの生産能力の計画。 財務計画の準備とその実施、財務および管理会計の監視を含む、日々の財務管理。 計画段階とリソースを含むプロジェクト管理。
それらは通常、いくつかの主要なモジュールで構成されるコアを備えており、これがないとシステムは動作しません。 とりわけ、このセットには、システム全体、特に各組み込みモジュールの情報保護に関連するほとんどの機能を引き継ぐセキュリティシステムが含まれています。 このアプローチは、いくつかの理由で非常に便利です。
このようなシステムでデータの機密性、整合性、および可用性を確保するためのメカニズムは、可能な限り統一されています。 これにより、管理者はシステムのさまざまなモジュールを構成する際のエラーを回避でき、セキュリティホールが形成される可能性があります。
このシステムには高度な集中管理機能があり、企業情報システムの保護を簡単かつ確実に管理できます。
このようなシステムの利点は次のとおりです。
ERPシステムを使用すると、複数の異なるプログラムの代わりに1つの統合プログラムを使用できます。
ERPシステムに実装された情報へのアクセスを制限するシステムは、外部の脅威(たとえば、産業スパイ)と内部(たとえば、盗難)の両方に対抗するように設計されています(企業の他の情報セキュリティ対策と組み合わせて)。
主に国営のユニオン州の大学の研究では、最も自動化された分野である財政において、42%がオフィスアプリケーションのみを使用するか、古い方法で紙を使用していることが示されました。 ただし、自動化のレベルが比較的高い場合でも、原則として、モジュールは決して接続されません。 そして、そのようなサブシステムが約10個あるはずです:財務計画、不動産、プロジェクト、品質管理、レポート、機器環境など。 最も保守的な見積もりによると、それぞれの開発には約2万5千ドルが費やされますが、ソフトウェア製品の作成にかかる総コストの25〜40%が開発に費やされることを考慮すると、見積もりを少なくとも2.5増やす必要があります 4回。 実装されたシステムのサポートには、さらに年間140〜24万ドルの費用がかかります。 したがって、自分の開発は安価であるという意見は、コスト管理の効果的な手段がない場合に生じる幻想です。
現代のERPシステムは、教育機関の仕事に非常にうまく適応させることができます。 ただし、このようなシステムを実装する場合、そのような機関の情報システムに固有の機能の一部を考慮する必要があることに注意してください。
非常に独立したタスクを解決するいくつかの専用サブシステムの存在。 各サブシステムで使用されるデータは高度に専門化されています。 他の情報システムアプリケーションから独立しています。 たとえば、大学の枠組み内で、会計のサブシステム、図書館、編集および出版部門、教育プロセス処理アプリケーションなどを区別することができます。 一方、すべてのサブシステムは同じ情報スペースに配置され、相互に接続されています(単一の参照データシステム、1つのアプリケーションの結果が別のアプリケーションの機能の基礎として機能するなど)。
サードパーティのユーザーが企業情報システムのデータにアクセスするためのインターフェイスを提供し、IP情報の重要な部分を公開するための要件。
私の意見では、2番目のクラスのシステムは、アプリケーションのセキュリティシステムの構成のエラーに起因するセキュリティギャップの形成をはるかに起こしやすいです。 すでに述べたように、一部の統合にもかかわらず、そのようなシステムは実際には、独立した独立した製品のセットです。 したがって、それぞれが独自のアプローチを使用して、データの整合性、機密性、およびアクセシビリティを確保し、個別の構成が必要です。 そのようなシステムの一部が常に相互に互換性があるわけではないという事実も考慮すると、アプリケーション間のコラボレーションでは、セキュリティを犠牲にすることが必要な場合があることが明らかになります。 このようなシステムの分散化により、管理者がシステム内のアクセス権の区別を監視できないことがよくあります。
企業情報システムの脆弱性を検討する前に、いくつかの定義を紹介します。
下 情報へのアクセス これは、情報、その処理、特に情報のコピー、変更、または破壊に慣れることを意味します。
情報への許可されたアクセスと許可されていないアクセスがあります。
- 確立されたアクセス制御規則に違反しないのは、情報へのアクセスです。
オブジェクトにアクセスするためのアクセスサブジェクトのアクセス権を規制します。
確立されたアクセス制御規則への違反が特徴です。 情報への不正アクセスを実行する個人またはプロセスは、アクセス制御の規則に違反します。 不正アクセスは、最も一般的なタイプのコンピューター違反です。
データのプライバシー -これは、データに提供され、必要な保護の程度を決定するステータスです。 本質的に、情報の機密性は、承認および検証された(承認された)システムエンティティ(ユーザー、プロセス、プログラム)のみが知っている情報のプロパティです。 システムの他の部分では、この情報は不明です。
件名 -これはシステムのアクティブなコンポーネントであり、オブジェクトからサブジェクトへの情報の流れやシステムの状態の変化を引き起こす可能性があります。
対象 -情報を保存、受信、または送信するシステムの受動的なコンポーネント。 オブジェクトへのアクセスとは、オブジェクトに含まれる情報へのアクセスを意味します。
誠実さ 情報の システム内のデータが、ソースドキュメントで指定されたデータと意味的に異ならない場合、つまり、 偶発的または意図的な歪みや破壊が発生していない場合。
誠実さ コンポーネントまたはリソース システム-これは、システムがランダムまたは意図的な歪みまたは破壊的な影響の条件下で機能する場合、意味的な意味で変化しないコンポーネントまたはリソースのプロパティです。
在庫状況 成分 または 資源 system-これは、システムの認可された法人向けに利用できるコンポーネントまたはリソースのプロパティです。
下 セキュリティリスク 企業情報システムは、それに影響を与える可能性があることを理解しており、そのようなシステムのセキュリティを直接的または間接的に損なう可能性があります。
セキュリティ被害 企業情報システムに含まれ処理されている情報のセキュリティ状態の違反を意味します。 セキュリティの脅威の概念は、企業情報システムの脆弱性の概念と密接に関連しています。
脆弱性 企業情報システム-これはシステムの特性であり、脅威の出現と実装を可能にします。
攻撃 コンピューターシステム上-これは攻撃者が行うアクションで、特定のシステムの脆弱性を見つけて使用することから成ります。 したがって、攻撃はセキュリティの脅威の実装です。
セキュリティの脅威に対抗することは、情報処理システムを保護する目的です。
安全な または 安全なシステム -これは、セキュリティの脅威に適切かつ効果的に対抗するセキュリティ機能を備えたシステムです。
保護手段の複合体 これは、企業情報システムの情報セキュリティを確保するために作成および保守されるソフトウェアとハ\u200b\u200bードウェアの組み合わせです。 複合体は、組織が採用したセキュリティポリシーに従って作成および維持されます。
セキュリティポリシー -これは、所定のセキュリティ脅威のセットから企業情報システムを保護する手段の運用を管理する一連の規範、ルール、および実践的な推奨事項です。
企業情報システムは、他の情報システムと同様に、セキュリティの脅威にさらされています。 これらの脅威を分類します。
1.企業情報システムの情報の機密性の侵害
2.企業情報システムの情報の整合性の侵害。
3.企業情報システムのサービス拒否
これらの脅威をより詳細に検討してください。
機密性に対する脅威は、機密情報または機密情報を開示することを目的としています。 これらの脅威が認識されると、情報にアクセスするべきではない人に情報が知られるようになります。 コンピューターのセキュリティに関しては、コンピューターシステムに保存されている、またはあるシステムから別のシステムに送信される独自の情報への不正アクセスが取得されるたびに、機密性の脅威が発生します。
コンピューターシステムに保存された、または通信チャネルを介して送信された情報の整合性に対する脅威は、情報の変更または歪曲を目的としており、その品質の侵害または完全な破壊につながります。 情報の整合性は、システムを取り巻く環境からの客観的な影響の結果と同様に、攻撃者によって意図的に侵害される可能性があります。 この脅威は、特に情報伝送システム、コンピューターネットワーク、および通信システムに関連しています。 情報の完全性の故意の違反は、正当な目的で許可された人によって行われる許可された変更と混同されるべきではありません(たとえば、そのような変更はデータベースの定期的な修正です)。
サービスの中断(サービス拒否)の脅威は、特定の意図的なアクションがCISの効率を低下させるか、そのリソースへのアクセスをブロックするような状況を作り出すことを目的としています。 たとえば、システムのあるユーザーが特定のサービスへのアクセスを要求し、別のユーザーがこのアクセスをブロックするアクションを実行すると、最初のユーザーはサービス拒否を受け取ります。 リソースへのアクセスのブロックは、永続的でも一時的でもかまいません。
脅威は、いくつかのパラメーターに従って分類できます。
・引き起こされた損害の量:
o限界、その後会社は破産する可能性があります。
o重要だが破産には至らない。
o重要でない、会社はしばらくの間補償することができます。
・発生確率別:
o非常にありそうな脅威。
oありそうな脅威。
oありそうもない脅威。
・発生理由:
o自然災害
o意図的なアクション。
・引き起こされた損害の性質:
o素材;
o道徳;
・影響の性質により:
oアクティブ;
oパッシブ。
・オブジェクトに関連して:
o内部;
o外部。
・外部の脅威のソースは次のとおりです。
o不公平な競合他社。
o犯罪グループおよび形成。
o管理および管理装置の個人および組織。
・内部の脅威の原因は次のとおりです。
o企業の管理。
oスタッフ;
o生産および労働活動を確保する技術的手段。
平均レベルでの外部と内部の脅威の比率は、次のように特徴付けることができます。
脅威の82%は、直接または間接的に参加する会社の従業員によってコミットされています。
脅威の17%は外部からの脅威-外部の脅威。
脅威の1%はランダムな個人によってコミットされています。
ほとんどの場合、被害の規模に関して最も危険なのは、情報の機密性の侵害です。 そのような違反の考えられる方法を検討してください。
開示とは、機密情報を使用した意図的または無謀な行動であり、機密情報を許可されていない人がそれらに慣れることにつながります。 開示は、ビジネス情報および科学情報との通信、移転、提供、移転、公開、損失、およびその他の形式の交換および行動で表されます。 情報を広めるための公式および非公式のチャネルを通じて開示が実施されています。 正式なコミュニケーションには、ビジネス会議、会議、交渉、および同様の形式のコミュニケーションが含まれます。公式情報(メール、電話、電信など)の送信による公式ビジネスおよび科学文書の交換。 非公式のコミュニケーションには、個人的なコミュニケーション(会議、通信)、展示会、セミナー、会議、その他の大規模なイベント、メディア(印刷物、新聞、インタビュー、ラジオ、テレビ)が含まれます。 原則として、機密情報の開示の理由は、企業秘密を保護するための規則に関する従業員の知識の欠如と、彼らの注意深い遵守の必要性の理解の欠如(または誤解)です。 ここで、このプロセスのサブジェクトは保護された秘密のソース(所有者)であることに注意することが重要です。 このアクションの情報機能に注意する必要があります。 情報は、有益で、意味があり、整然としており、合理的で、膨大であり、しばしばリアルタイムで伝達されます。 多くの場合、対話の可能性があります。 情報は特定の主題分野に焦点を合わせて文書化されています。 攻撃者が関心のある情報を取得するために、攻撃者はほとんど最小限の労力で、簡単な法的技術的手段(ボイスレコーダー、ビデオ監視)を使用します。
リークとは、組織またはそれが信頼されている人々のサークルの外に機密情報が制御されずに存在することです。
情報漏えいは、さまざまな技術チャネルを通じて行われます。 一般に、情報はエネルギーまたは物質によって転送または送信されることが知られています。 これは、音波(音)、電磁放射、または紙(書かれたテキスト)などのいずれかです。これを念頭に置いて、物理的性質によって情報を転送する次の方法が可能であると主張できます:光線、音波、電磁波、材料および物質 。 したがって、視覚的、音響的、電磁気的、物質的物質への情報漏洩のチャネルは分類されます。 情報漏えいのチャネルの下では、機密情報のソースから攻撃者への物理的なパスを理解するのが慣習であり、攻撃者はそれを介して攻撃者が保護された情報にアクセスできます。 情報漏洩チャネルを形成するには、情報を受信、処理、記録するための適切な機器の攻撃者側の存在と同様に、特定の空間的、エネルギー的、時間的条件が必要です。
不正アクセスとは、保護された秘密にアクセスする権利を持たない人が機密情報を意図的に不法に所有することです。 秘密情報のソースへの不正アクセスは、さまざまな方法で実行されます。秘密を「売り」たいという積極的な要望に基づいた積極的な協力から、商業秘密へのさまざまな侵入手段の使用まで。 これらのアクションを実装するには、攻撃者は多くの場合、オブジェクトに侵入するか、その近くに特別な監視および観測ポストを作成する必要があります。最も近代的な技術的手段を備えた固定またはモバイルバージョンです。 情報セキュリティを確保するための統合アプローチに基づいて、この部門は、情報チャネルの開示と技術チャネルを通じた漏洩、および競合他社と攻撃者による不正アクセスの両方から情報を保護することに重点を置いています。 機密情報の不正流用に寄与するアクションを分類するこのようなアプローチは、脅威の多様性と統合された情報セキュリティを確保するために必要な保護手段の多面的な性質を示しています。
上記に基づいて、どのような条件が機密情報の不正流用に寄与するのかを検討する必要があります。
統計によると、これは次のとおりです。
開示(従業員の過度の会話)-32%;
競合他社および犯罪者グループからの協力を賄cooperationおよび扇動することによる不正アクセス-24%。
会社の情報セキュリティを確保するための適切な管理と厳しい条件の欠如-14%;
従来の生産経験の交換-12%;
情報システムの無制限の使用-10%。
従業員間の紛争状況の出現に対する前提条件の存在-8%;
統計は、企業情報システムのセキュリティシステムで最も脆弱な場所は、情報システムにセキュリティ違反を自発的または非自発的に犯す従業員自身であることを示しています。
エクスポージャーの方法により、脅威を最小限に抑えるためのすべての手段は次のように分類されます。
法的(立法);
道徳的および倫理的。
行政
物理的
ハードウェアとソフトウェア。
記載されているCISのセキュリティ対策は、一連の障壁または情報保護の境界と見なすことができます。 保護された情報を取得するには、いくつかの保護ラインを徐々に克服する必要があります。 それらをより詳細に検討しましょう。
NSDを情報に実装しようとする人の邪魔になる最初の防衛線は、純粋に合法です。 情報セキュリティのこの側面は、情報の送信および処理において法的基準に従う必要性と関連しています。 情報を保護するための法的措置には、国内で施行されている法律、法令、および使用が制限された情報の取り扱いに関する規則を管理するその他の規制とその違反に対する責任が含まれます。 そうすることで、情報の不正使用を防ぎ、潜在的な違反者に対する抑止力となります。
第二の防衛線は、道徳的および倫理的措置によって形成されます . 保護要件を順守する倫理的ポイントは非常に重要です。 コンピューターにアクセスできる人は、健全な道徳的および倫理的な環境で働くことが非常に重要です。
道徳的および倫理的対策には、コンピューターが国内に広まるにつれて伝統的に発展してきた、または社会で発展しているあらゆる種類の行動規範が含まれます。 ほとんどの場合、これらの規範は法的に認められているように拘束力はありませんが、それらの非遵守は通常、人、人のグループまたは組織の名声の低下につながります。 道徳的および倫理的基準は、書かれておらず(たとえば、一般的に認められている誠実さ、愛国心などの規範)、特定の一連の規則または規制で実行される場合があります。 たとえば、「米国コンピューターユーザー協会のメンバーに対する職業上の行動規範」では、意図的または意図せずに行われる非倫理的な行為を考慮しています。
コンピュータシステムの通常の操作を妨げます。
リソースの不当な支出(コンピューター時間、メモリ、通信チャネルなど)を引き起こします。
情報の整合性(保存および処理)に違反します。
他の正当なユーザーなどの利益に違反する
情報の不正使用を防止する3行目は、管理手段です。 すべてのランクの管理者は、法的規範と社会的側面を考慮して、情報を保護するための管理手段を決定します。
管理上の保護対策は、組織的な対策に関連しています。 彼らは規制します:
CISが機能するプロセス。
CISリソースの使用。
スタッフの活動。
セキュリティの脅威を実装することを最も困難または不可能にするための、システムとのユーザー対話の手順。
管理措置には以下が含まれます。
CISでの情報処理ルールの開発。
コンピューターセンターおよびその他のCIS施設の設計および機器での一連のアクション(要素、火災、施設のセキュリティなどの影響を考慮)。
人員の選択とトレーニングにおける一連のアクション(新入社員の確認、機密情報の取り扱い手順の習熟、処理のルール違反の責任措置、スタッフが虐待を許可するのに不利になる条件の作成など);
信頼できるアクセス制御の組織。
機密情報を含む文書およびメディアの会計、保管、使用、および破棄の組織。
アクセス制御の詳細の配布(パスワード、権限など)。
CISのユーザーおよび職員の作業に対する隠された制御の組織。
機器およびソフトウェアの設計、開発、修理および変更における一連のアクション(使用するハードウェアおよびソフトウェアの認証、すべての変更の厳密な承認、レビューおよび承認、保護要件への準拠の検証、文書化された変更など)。
コンピューターの管理上の保護の効果的な手段が実装されるまで、他の手段は間違いなく無効になることに注意することが重要です。 管理的および組織的な保護対策は、道徳的および倫理的な対策と比較して退屈で日常的であり、ハードウェアおよびソフトウェアと比較して特異性に欠けているように見える場合があります。 ただし、これらは、情報の違法使用に対する強力な障壁であり、他のレベルの保護の信頼できる基盤です。
4番目のフロンティアは物理的保護手段です . 物理的保護対策には、侵入の可能性のある経路に物理的な障害を作成し、潜在的な違反者がシステムコンポーネントおよび保護された情報にアクセスするように特別に設計された、さまざまな種類の機械的、電気的および電子機械的デバイスまたは構造が含まれます
5番目のフロンティアはハードウェアとソフトウェアの保護です . これらには、以下の保護方法を個別に、または他の手段と組み合わせて実装するさまざまな電子デバイスと特別なプログラムが含まれます。
CISのサブジェクト(ユーザー、プロセス)の識別(認識)および認証(認証)。
CISリソースへのアクセスの差別化。
データ整合性制御。
データの機密性の確保。
CISで発生するイベントの登録と分析。
CISのリソースおよびコンポーネントの予約。
実装方法により、企業情報システムへの脅威を防ぐためのすべての対策を次のように分けることができます。
タブ。 1. CISへの脅威と戦うためのさまざまな手段の長所と短所
残念ながら、純粋な制御は適用範囲が狭いほど情報システムが大きくなります。 さらに、このデータを収集することの適切性に関する疑問がすぐに生じます。 タイムリーに処理することはほとんど不可能です。または、この特定の作業に対処するために別の部門を作成する必要があります。 ほとんどのデータが非常に短い時間に関連していることを忘れてはなりません。
禁止は非常に柔軟性のないツールです。 分離可能な記憶媒体の使用の禁止は、部門の半分が外部の世界と通信するためにそれらを使用したという事実に関連する新たな問題を引き起こす可能性があります:電子メールは転送されたファイルのサイズに制限を課します、税務当局はフロッピーディスクでのみ会計報告を受け入れますなど さらに、仕事の基本的な快適さなどの質問を忘れてはなりません。 コンピューター、インターネット、メール、またはたとえば電話での会話で厳しい制限を経験している従業員は、常にコントロールしていると感じ、神経質になり、イライラし、自分の不満を蓄積します。 当然、遅かれ早かれ、これは貴重な従業員の損失、またはこれらの制限と禁止を回避しようとする従業員の欲求につながります。
以上から、考えられるすべての禁止事項と考えられない禁止事項をすべて管理し、制限することは意味がないと結論付けることができます。 そのようなシステムを維持するには骨の折れる設定と注意深いメンテナンスが必要であるという事実にもかかわらず、仕事の性質上、機密情報にアクセスできる人々の輪を決定し、アクセス権を差別化するためのシステムを適切にセットアップすることが望ましいです。
したがって、情報の機密性を確保するための主な手順の1つは、特定の従業員が利用できる情報の範囲を、公務を行うために必要な制限に制限するために、従業員の企業情報システムのリソースへのアクセスを制限することであることが明らかになります。
最も関連性の高いアクセス制御メカニズムを検討してください。
アクセス制御の任意モデルは、2つのプロパティによって決定されます。
すべてのサブジェクトとオブジェクトが識別されます。
システムオブジェクトへのサブジェクトのアクセス権は、システム外部のルールに基づいて決定されます。
任意アクセス制御システムの主な要素は、アクセスマトリックスです。 アクセスマトリックス-サイズマトリックス \\ S \\ x \0\, 行はサブジェクトに対応し、列はオブジェクトに対応します。 さらに、アクセス行列の各要素 M と R サブジェクトのアクセス権を定義します s オブジェクトごと ああ どこで R- 多くのアクセス権。
任意のアクセス制御メカニズムを使用する場合、次の要件が課されます。
保護システムは、名前付きエンティティ(ユーザー)の名前付きオブジェクト(ファイル、プログラム、ボリュームなど)へのアクセスを制御する必要があります。
コンピュータテクノロジー(CBT)の手段の各ペア(サブジェクト-オブジェクト)に対して、許可されるアクセスの種類(読み取り、書き込みなど)の明示的かつ明確な列挙を指定する必要があります。 このCBTリソース(オブジェクト)への特定のエンティティ(個人または個人のグループ)に対して許可されているアクセスのタイプ。
保護システムには、アクセスを制限するための裁量的ルールを実装するメカニズムが含まれている必要があります。
アクセス制御は、各オブジェクトおよび各サブジェクト(個人または平等な個人のグループ)に適用できる必要があります。
アクセス制御の裁量的原則を実装するメカニズムには、CBTユーザーのリストおよび保護オブジェクトのリストに対する許可された変更の可能性を含む、アクセス制御(PDD)の規則または権利に対する許可された変更の可能性を含める必要があります。
PRDを変更する権利は、割り当てられたエンティティ(管理、セキュリティサービスなど)に付与する必要があります。
アクセス権の配布を制限するための制御を提供する必要があります。
任意のセキュリティポリシーの利点には、アクセス制御システムの比較的単純な実装が含まれます。 これは、ほとんどの一般的なコンピューターシステムが現在、この特定のセキュリティポリシーの要件を提供しているという事実によるものです。
任意のセキュリティポリシーの短所には、ポリシーで定義されたアクセス制御ルールの静的な性質が含まれます。 このセキュリティポリシーでは、コンピューターシステムの状態の変化のダイナミクスは考慮されません。 さらに、任意のセキュリティポリシーを使用する場合、アクセス権の配布ルールを決定し、それらがコンピュータシステムのセキュリティに与える影響を分析するという疑問が生じます。 一般的なケースでは、このセキュリティポリシーを使用する場合、サブジェクトのオブジェクトへのアクセスを許可するときに特定のルールセットによって導かれるセキュリティシステムは、そのアクションがセキュリティ違反につながるかどうかをチェックするためのアルゴリズム的に不明確なタスクに直面します。
同時に、セキュリティ検証アルゴリズムを提供する任意のセキュリティポリシーを実装するコンピューターシステムのモデルがあります。
ただし、一般的なケースでは、アクセス制御の裁量ポリシーにより、コンピュータシステムに情報保護の明確で正確なシステムを実装することはできません。 これにより、他のより高度なセキュリティポリシーの検索が決定されます。
アクセス制御の資格情報(権限のある)モデルは、必須アクセス制御に基づいています (必須アクセス制御)、 次の4つの条件によって決定されます。
システムのすべてのサブジェクトとオブジェクトは一意に識別されます。
情報の機密レベルの格子が設定されています。
各システムオブジェクトには、その中に含まれる情報の価値を決定する機密レベルが割り当てられます。
システムの各サブジェクトには、コンピューターシステムでの信頼レベルを決定するアクセスレベルが割り当てられます。
必須のセキュリティポリシーの主な目標は、高レベルのアクセスを持つオブジェクトから低レベルのアクセスを持つオブジェクトへの情報漏えいを防ぐことです。 有害な情報の発生に対する反作用は、コンピューターシステムの上部から下部へと流れます。
多くの点で、その開発の目標はマトリックスモデルの欠点を解消することでした。 いわゆるマルチレベルセキュリティモデルが開発されました。 いわゆるプライバシーラベルまたはアクセスのサブジェクトとオブジェクトに割り当てられた資格情報を使用して、アクセス権を割り当てる手順を形式化する必要があります。 そのため、たとえば、アクセスサブジェクトの場合、ラベルは、個人の情報へのアクセスのレベルに応じて、アクセスオブジェクト(データ自体)の場合-情報の機密性の兆候によって決定されます。 機密の兆候はオブジェクトのラベルに記録されます。 各サブジェクトのアクセス権と各オブジェクトのプライバシー特性は、機密レベルと機密カテゴリのセットの組み合わせとして表示されます。 機密性のレベルは、厳密に順序付けられた一連の固定値のいずれかを取ることができます。たとえば、機密、秘密、公式使用、未分類などです。
アクセス制御の実装の基本は次のとおりです。
アクセスを要求したサブジェクトのラベルとアクセスが要求されたオブジェクトのラベルの正式な比較。
特定のルールに基づいてアクセスを提供することを決定します。このルールの基礎は、保護された情報の機密レベルを下げることへの対抗策です。
したがって、マルチレベルモデルは、保護された情報の機密性レベルが意図的または偶発的に低下する可能性を防ぎます。 つまり、このモデルは、機密性が高くアクセスカテゴリが狭いオブジェクトから、機密性が低くアクセスカテゴリが広いオブジェクトへの情報の転送を防ぎます。
必須メカニズムの要件は次のとおりです。
各サブジェクトおよびアクセスオブジェクトには、対応する階層内の位置を反映する分類ラベル(機密性ラベル)を割り当てる必要があります。 これらのラベルを使用して、サブジェクトに分類レベル(脆弱性レベル、プライバシーカテゴリなど)を割り当てる必要があります。分類レベルは、階層カテゴリと非階層カテゴリの組み合わせです。 これらのラベルは、アクセス制御の委任原則の基礎となるはずです。
システムに新しいデータを入力するとき、保護システムはこのデータの分類マークを許可されたユーザーに要求し、受信する必要があります。 ユーザーのリストに新しいサブジェクトを追加する権限がある場合、分類マークをユーザーに割り当てる必要があります。 (サブジェクト、オブジェクトの)外部分類ラベルは、内部ラベル(保護システム内)に正確に対応する必要があります。
セキュリティシステムは、任意のエンティティからの明示的および非表示のアクセス権を持つすべてのオブジェクトに関して、アクセス制御の委任原則を実装する必要があります。
サブジェクトは、サブジェクトの分類レベルの階層分類がオブジェクトの分類レベルの階層分類より小さくない場合にのみ、オブジェクトを読み取ることができます。 さらに、サブジェクトの分類レベルの階層カテゴリには、オブジェクトの分類レベルのすべての階層カテゴリが含まれている必要があります。
サブジェクトは、階層分類のサブジェクトの分類レベルが階層分類のオブジェクトの分類レベルより大きくない場合にのみオブジェクトに書き込みます。 さらに、サブジェクトの分類レベルのすべての階層カテゴリは、オブジェクトの分類レベルの階層カテゴリに含める必要があります。
義務付けられたPRDの実装では、追跡の可能性、特別に指定されたエンティティによるサブジェクトとオブジェクトの分類レベルの変更を提供する必要があります。
CBTでは、アクセスマネージャーを実装する必要があります。 第一に、オブジェクトに対するサブジェクトのすべての呼び出しをインターセプトし、第二に、アクセス制御の所定の原則に従ってアクセスを制限する手段。 同時に、裁量によるアクセス要求の決定は、それが任意のPDDと必須のPDDの両方によって同時に解決される場合にのみ行われるべきです。 したがって、単一のアクセス行為だけでなく、情報フローも制御する必要があります。
実践により、マルチレベルのセキュリティモデルは、マトリックスモデルよりも実際のニーズにはるかに近く、自動化されたアクセス制御システムを構築するための優れた基盤となることが示されています。 さらに、同じレベルの個々のカテゴリは同等であるため、マルチレベル(必須)モデルとともにそれらを区別するために、マトリックスモデルの使用が必要です。 マルチレベルモデルを使用すると、管理タスクを大幅に簡素化できます。 さらに、これは、アクセス制限ポリシーの初期設定(サブジェクトとオブジェクトの関係の割り当ての高レベルの詳細は必要ありません)、および管理スキームでの新しいオブジェクトとアクセスサブジェクトのその後の組み込みの両方に適用されます。
情報フローを区別するモデルは、システムオブジェクト間のすべての可能な情報フローを、多くの好ましい情報フローと多くの好ましくない情報フローという2つのばらばらのセットに分離することに基づいています。 情報フローを差別化するモデルを実装する目的は、コンピュータシステムで有害な情報フローが発生する可能性をなくすことです。
ほとんどの場合、情報フローを差別化するモデルは、他のタイプのメカニズム、たとえば任意または強制アクセス制御のモデルと組み合わせて使用\u200b\u200bされます。 情報フローを差別化するモデルの実装は、原則として、特に時間の経過に伴う有害な情報フローの発生からコンピューターシステムを保護する必要がある場合、実際には解決するのが難しいタスクです。
役割ベースのアクセス制御は、任意アクセス制御のポリシーの開発です。 同時に、オブジェクトへのシステムエンティティのアクセス権は、アプリケーションの詳細を考慮してグループ化され、ロールを形成します。
役割を割り当てることにより、コンピューターシステムのユーザーのアクセス制御に関する、より明確で理解しやすいルールを定義できます。 役割ベースのアクセス制御により、コンピューターシステムの機能中に動的に変化する柔軟なアクセス制御ルールを実装できます。 とりわけロールベースのアクセス制御に基づいて、必須アクセス制御を実装できます。
隔離されたソフトウェア環境のモデルの実装の目的は、システムのサブジェクト間の安全な相互作用の順序を決定し、保護システムに影響を与え、そのパラメーターまたは構成を変更できないようにし、保護システムによって実装されるアクセス制御ポリシーが変更される可能性があることです。
分離されたソフトウェア環境のモデルは、システムのサブジェクトを互いに分離し、事前定義されたリストのサブジェクトのみがシステムでアクティブになるように新しいサブジェクトの生成を制御することにより実装されます。 同時に、アクティブ化されたエンティティの機能に影響を与えるシステムオブジェクトの整合性を制御する必要があります。
ベラルーシ州立大学の企業情報環境は、異なる時期に作成された数十のアプリケーションとサービスで構成されています。 それらのほとんどはActiveXオブジェクトであり、残りはWebアプリケーションです。 ほとんどの場合、それらはすべて独立しており、相互作用を整理するための組み込みツールはありません。 この場合、アクセスのロールモデルの選択は明らかです。これは、アクセス制御の任意モデルの開発です。 ベラルーシ州立大学の企業情報システムの条件で他のモデルを実装することはほとんど不可能です。
ドメインコントローラ上の対応するグループのメンバーシップと、すべてが機能するデータベースサーバーでストアドプロシージャを実行する権限に基づいて、ユーザーに1つのアプリケーションまたは別のアプリケーションにアクセスする権限を付与することにより、このような異機種統合システムへのアクセスの差別化を構築できます 情報システムのコンポーネント。
提示されたシステムを比較すると、ERPではシステムがユーザーの認証と承認のすべての責任を負うと言えます。 従来のパスワード認証に加えて、企業情報システムのさまざまなモデルによって提供される幅広い他のメカニズムを提供します。
不十分に統合された情報システムのセキュリティシステムは、Microsoft Windowsドメインコントローラーの組み込みツールに認証および承認手順を割り当てます。これにより、運用コストが大幅に削減され、かなり信頼性の高い運用が保証されます。 ただし、Microsoft Windowsユーザー管理ツールはそのような使用を目的としていないため、アクセス分散を制御するのに非常に便利ではなく、企業情報システムのセキュリティに悪影響を及ぼします。
上記から、特定のアプリケーションにアクセスするためのユーザー権限を集中管理できるアプリケーションは、BSU企業情報システムの管理者の作業を大幅に簡素化し、さまざまなアプリケーションのデータにアクセスするためのユーザー権限をより慎重に監視することもできます。 これは明らかに、セキュリティシステムの大幅な改善につながります。
したがって、このようなシステムを作成するという課題に直面しました。 このような問題を解決する機能をより詳細に検討してみましょう。
このようなシステムを設計するときは、特にアプリケーション自体と企業情報システム全体の両方の通常の機能に必要ないくつかの機能を考慮する必要があります。
Windows Active Directoryのユーザー管理システムは、BSU企業情報システムのリソースへのアクセスを提供するだけでなく使用できるため、ユーザーが本当に必要な権限を失い、不要な権限を取得しないように、アプリケーションでこれを検討する価値があります。 これを行うために、システムは、このアクセス制御システムではなく、Windows Active Directoryツールを使用するときに割り当てられたアプリオリなユーザー権利を保存するメカニズムを編成します。
SQLサーバーのユーザー管理セクションにも同様の状況が存在します。 ただし、上記のように、SQLサーバーリソースにアクセスするときにBSUのアクセス権を区切るメカニズムはロールベースに基づいているため、特定のSQLサーバーの各オブジェクトへのユーザーアクセス権に関するデータを保存する必要はありません。 このデータはすべて、サーバー上にグループとして保存されます。 したがって、アクセス制御システムには、サーバーの名前、データベース自体の名前、およびユーザーロールの名前などのフィールドのみを格納すれば十分です。
アクセス分配システムをさらに詳しく調べてみましょう。
このシステムは、ASP.NET 1.1によって実装され、Microsoft SQL Server 2000 SP3データベースサーバーを使用するWebアプリケーションです。
データベースは、次のテーブルで構成されています。
・メインテーブル
oユーザー-ユーザーオブジェクトの識別子、ユーザー名、ユーザー名、および必要に応じて追加のテキスト情報を保存します。
oアプリケーション-アプリケーション識別子、その名前、および必要に応じて追加のテキスト情報を保存します。
o WinADGroups-グループオブジェクトの識別子、その名前、および必要に応じて追加のテキスト情報を保存します。
o SQLGroups-グループ識別子、その名前、サーバー名、データベース、このグループに関連付けられているロール、および必要に応じて追加のテキスト情報を保存します。
・サポートテーブル
o SQLGroups2Apps
o WinGroups2Apps
o UsersPriorSQLGroups
o UsersPriorWinGroups
メインテーブルには、ドメインコントローラー上のユーザー、アプリケーション、およびグループに関するデータと、さまざまなSQLサーバー上のロールが格納されます。 補助テーブルは、システムに存在する多対多の関係を提供します。
テーブルには、多数のストアドプロシージャを使用してアクセスします。 ストアドプロシージャとSQLパラメータを使用すると、SQLインジェクションからアプリケーションを効果的に保護できます。これは、最近のデータベースを使用してWebアプリケーションをハッキングする主な方法の1つです。 データバーザ図を図に示します。
アプリケーションは、アクセス制御用に設計された8つの.aspxページで構成されています。 アプリケーションをさらに詳しく見てみましょう。
WinGroupsAdd.aspxページは、ドメインコントローラー上のグループ識別子をシステムに追加するために使用されます。 ユーザーはグループの名前を入力します。 システムはドメインコントローラーでグループを検索し、名前が類似したグループのリストを提供します。 ユーザーは、必要に応じて目的のグループを選択し、このグループのテキスト説明を入力して保存キーを押します。 グループデータはアプリケーションデータベースに保存されます。
WinGroupsEdit.aspxページを使用して、ユーザーはグループに関して以前に入力した情報、つまりテキストの説明を編集できます。 削除ボタンは、システム内のグループに関するすべての情報を削除し、このシステムによってユーザーがそこに追加されていれば、特定のユーザーからユーザーを削除するメカニズムも生成します。 確認するには、UserPriorWinGroupsテーブルを使用します。
SQLGroupsAdd.aspxページは、SQLサーバーでグループを使用するためにシステムにデータを追加するために使用されます。 ユーザーは、対応するデータベースにサーバー名、データベース名、およびロールを入力します。 必要に応じて、ユーザーはこのグループのテキスト説明を入力し、保存キーを押します。 グループデータはアプリケーションデータベースに保存されます。
ユーザーはSQLGroupsEdit.aspxページを使用して、グループに関して以前に入力した情報、つまりテキストの説明を編集できます。 残りのフィールドは編集できません。そのような変更を行うには、新しいユーザーグループを作成する必要があるためです。 削除ボタンは、システム内のグループに関するすべての情報を削除し、このシステムによってユーザーがそこに追加されていれば、特定のユーザーからユーザーを削除するメカニズムも生成します。 確認するには、UserPriorSQLGroupsテーブルを使用します。
ApplicationAdd.aspxページは、システムにアプリケーションを追加するために使用されます。 このページで、ユーザーはアプリケーションの名前とそのテキストの説明を入力し、SQLサーバーとドメインコントローラーの両方でこのアプリケーションを操作するために必要なグループを選択することもできます。 選択は、システムデータベースで利用可能なグループの対応するリストから行われます。 保存ボタンは、システム内の対応するデータを記憶し、キャンセルボタンは、アクションを実行せずに同じページに戻ります。 入力したすべてのデータのみを消去します。
ApplicationEdit.aspxを使用すると、アプリケーションの説明と、その使用に必要なグループのセットを変更できます。 [保存]をクリックすると。 システムはデータベース内のデータを更新し、それに応じてこのアプリケーションへのアクセス権を持つユーザーの権限を変更します。
UserAdd.aspxページは、ユーザーをシステムに追加するためのものです。 このプロセスは次のとおりです。 ユーザーは、システムに追加するユーザーの名前の全部または一部を入力します。 ドメインコントローラーで検索が行われます。 その後、ユーザーにはユーザー名に適したオプションのリストが与えられます。 目的のドメインユーザーが選択され、必要なアプリケーションが選択されます。 保存ボタンは、システム内の対応するデータを記憶し、キャンセルボタンは、アクションを実行せずに同じページに戻ります。 入力したすべてのデータのみを消去します。
UserEdit.aspxを使用すると、ユーザーはアプリケーションへのアクセス権を追加または削除したり、アプリケーションデータベースからユーザーを削除したりできます。
このホワイトペーパーでは、企業情報システムの構造とセキュリティメカニズムを分析します。 すべての企業情報システムは、2つのクラスに分けられました。ERPシステムを代表とする高度に統合されたシステムと、数十の個別の、時には完全に無関係なアプリケーションで構築された弱統合システムです。 それらの大部分のアクセス制御は、集中化されたアクセス制御でユーザー権利を区別するロールベースの裁量モデルに基づいています。
企業情報システムに対する既存の脅威の分析、およびそれらを防止する方法。 統計によると、今日の主な問題は、過失または犯罪行為から企業従業員を保護する問題であることが示されています。 このようなアクションに対する保護方法が分析されます。その主なものは、企業情報システムへのユーザーアクセスを制限する方法です。
アクセス制御の既存の方法の研究と特定の条件への適用性の分析。 ベラルーシ州立大学の企業情報リソースへのアクセスの詳細を整理するのに最も適した方法論が選択されました。 それに基づいて、この企業情報システムのリソースへのユーザーアクセスを制御できるアプリケーションが構築されました。 アプリケーション、データベース管理システム、およびActive Directoryオブジェクト間の接続を提供します。 開発したシステムにより、異種アプリケーションへのアクセスをグローバルに制御できます。 柔軟なアクセス制御システムにより、新しいアプリケーションの開発に専念でき、コードを変更することなく、すでに作成されたアプリケーションの管理をサポートします。
1. Malyuk A. A.情報セキュリティ:情報セキュリティの概念的および方法論的基盤。 モスクワ:ホットラインテレコム、2004年。
2. Belov EB エルクV.P. 情報セキュリティの基本。 モスクワ:Hot Line Telecom、2006年。
3.ロマネッツ・ユー Timofeev P.A. コンピュータシステムおよびネットワークの情報セキュリティ。 モスクワ:Radio and Communications 2001。
4.ヤロチキンV.I. -大学生のための情報セキュリティ教科書。 -M。:アカデミックプロジェクト; ガデアムス。
5.ノエル・シンプソン。 ASPを使用したActive Directoryへのアクセスと操作。 NET
6.ジョー・カプラン、ライアン・ダン。 .NET開発者向けのディレクトリサービスプログラミングガイド(Microsoft .NET開発シリーズ)
7.マシューマクドナルド。 C#でのASP.NET 1.1の開始:初心者からプロフェッショナル(初心者からプロフェッショナル)。
8. Hank Meyne、Scott Davis、ASP.NETおよびC#を使用したWebアプリケーションの開発。
9. Robin Dewson SQL Server2000。プログラミング。 モスクワ:Binom、2003。
10. P.シュマコフADO.NETとMicrosoft Visual Studio.NETでのデータベースアプリケーションの作成モスクワ:Dialog-MEPhI、2004
Active Directory ................................................ .................................................. .................................................. ....................... 31 , 36
ERP ................................................. .................................................. .................................................. ............... 3 , 5 , 6 , 7 , 8 , 30 , 35 , 39
MRP ................................................. .................................................. .................................................. ............................................ 3 , 6
攻撃 ............................................................................................................................................................................................... 11
在庫状況 .................................................................................................................................................................................. 10
保護手段の複合体 .......................................................................................................................................................... 11
データのプライバシー ......................................................................................................................................................... 9
情報への不正アクセス ............................................................................................................................... 9
対象 ............................................................................................................................................................................................. 10
セキュリティポリシー ................................................................................................................................................................ 11
アクセス制御規則 .................................................................................................................................................... 9
情報への許可されたアクセス ................................................................................................................................... 9
件名 ............................................................................................................................................................................................ 10
セキュリティ被害 ...................................................................................................................................................................... 10
脆弱性 ..................................................................................................................................................................................... 10
誠実さ ............................................................................................................................................................................ 10, 12
1. http://xakep.ruは、情報システムの脆弱性、そのエクスプロイト、システムをハッキングする可能性のある方法、およびそれらの保護の分析に専念するロシアの最も先進的なサイトの1つです。
2. http://www.webxakep.ru-このサイトは、情報システムのハッキングと攻撃からの保護対策に特化しています。
3. http://msdn.microsoft.com-このサイトは、マイクロソフトテクノロジーソリューションに焦点を当てた開発者を対象としており、この会社の製品ドキュメント、コードサンプル、技術記事、リファレンスとトレーニング資料、最新の更新、拡張機能、最新ニュース、サブスクライバーフォーラムが含まれています 。
4. http://microsoft.com-Microsoftの実際のサイト
5. http://sdn.sap.com/は、ERPおよびエンタープライズ製品市場の世界的リーダーであるSAPの技術ソリューションに焦点を当てた開発者向けのポータルです。 SAP情報リソースに関連するすべてに特化したメインのインターネットリソース
スライド1-タイトルスライド スライド2-はじめに。 目標。
スライド3-CISの概念スライド4-CISの分類
スライド5-脅威の分類スライド6-脅威の分類
スライド7-脅威のソーススライド8-脅威を防ぐための対策
スライド9-脅威管理対策スライド10-アクセス制御メカニズム
スライド11-KIS BSUスライド12-開発したシステムのデータベースモデル
スライド13-アプリケーションのデモスライド14-結論
1. Afanasyev、D。Office XP / D. Afanasyev、S。Barichev、O。Plotnikov。 -M。:Kudits-Obraz、2002 .-- 344 p。
2. アフメトフ、K.S。 Microsoft Windows XP / K.S.の紹介 アフメトフ。 -M .:ロシア語版、2001年-210 p。
3. エド・ボット Windows XP / E.ボット、C。シーシェルト。 -ピーター、2006年-1068秒。
4. ウィレット、E。Office XP。 ユーザーバイブル/ E.ウィレット; [トランス。 英語から Derieva E.N. ら、2002年。−843頁。
5. Seiden、M。Word 2000 / M. Seiden。 -M。:ラボ。 基本的な知識、2000。-336 p。
6. Caiming、V.A。 情報学:コンピューターワークショップ:教科書/ V.A. Caiming、B.S。 カサエフ; インフラM -M、2001 .-- 215c。
7. キシク、A.N。 Office XP 効果的なチュートリアル:クイック...シンプル...ビジュアル。 / A.N. 腸。 -M。:2002.-426 p。
8. Kostsov、A.V. パソコンに関するすべて:大きな百科事典/ A.V. コストソフ、V.M。 コスコフ。 -M。:Martin、2004。-718 p。
9. Kotsyubinsky、A.O。 Microsoft Office XP:最新のソフトウェアバージョン/ A.O. Kotsyubynsky。 -M。:Triumph、2001 .-- 469 p。
10. Kotsyubinsky、A.O。 コンピューターワークの読者:教科書。 手当/ A.O. Kotsyubinsky、A.O。 グロシェフ。 -M。:Triumph、2003 .-- 496 p。
11. Krupnik、A。インターネット検索/ A. Krupnik。 -サンクトペテルブルク:Peter、2001 .-- 209 p。
12. クルプスキー、A.Yu。 Microsoft Wordテキストエディター。 Microsoft Excelスプレッドシート:チュートリアル/A.Yu。 クルプスキー、N.A。 フェオクティストフ; 教育ロスの数。 連邦、モスク。 国立研究所 そして企業のパーティー。 制御 M .: Dashkov and K.-M.、2004 .-- 135 p。
13. Levin A.コンピューター作業の簡単なチュートリアル/ A. Levin。 -M。:出版社A.レヴァイン、2001年。
14. レフコビッチ、O.A。 コンピュータリテラシーの基礎/ O. A.レフコヴィッチ、E。S.シェルコプリャソフ、T。N.シェルコプリャソワ。 -ミンスク:TetraSystems、2004。-528秒
15. ロゾフスキー、L.Sh。 インターネットは面白いです! / L.Sh. ロゾフスキー、L.A。 ラトノフスキー。 -M。:Infra-M、2000。
16. マカロバ、N.V。 情報学:コンピューター技術に関するワークショップ:教科書。 手当/ N.V. マカロバ[他]; の編集の下で N.V. マカロバ。 -M .: Finance and Statistics、2000。-255 p。
17. オリファー、V.G。 コンピューターネットワーク。 原則、技術、プロトコル/ V.G. オリファー、N.A。 オリファー。 -サンクトペテルブルク:ピーター、2000年。
18. ポポフ、V.B。 コンピューター技術の基礎:教科書。 手当/ VB ポポフ; 財政と統計。 -M.、2002 .-- 703 p。
19. Perepelkin、V。パソコンのユーザー。 現代のコース/ V.ペレペルキン。 -ロストフn / a:Phoenix、2002 .-- 703 p。
20. ストーン、M.D。 あなたのパソコン。 問題と解決策/ M.D. ストーン、P。アルフレッド。 -M .:経済、2001年。
21. 薬科、E。私たちはインターネットを研究し、ウェブページを作成します/薬科、E。 -サンクトペテルブルク:ピーター、2001年。
22. ダミーのHTMLチュートリアル[電子リソース] / Portal.ru。 M.、2007。-アクセスモード:http://www.postroika.ru/html/content2.html。 -アクセス日:2008年9月21日。
23. ベラルーシ共和国高等認証委員会[電子リソース] /ベラルーシ高等認証委員会。 -2007年ミンスク-アクセスモード:http://vak.org.by/-アクセス日:2008年11月18日。
良い仕事を知識ベースに提出するのは簡単です。 以下のフォームを使用してください
学生、大学院生、研究や仕事で知識ベースを使用している若い科学者はあなたにとても感謝しています。
に投稿 http://www.allbest.ru/
- はじめに
- 1.3 情報セキュリティシステムの主な規定
- 2.1 保護対象および対象
- 2.3最新の情報セキュリティ技術
- 2.4情報保護の正当化
- 情報保護の分野での活動を管理する規制文書のリスト:
- 3.電源距離の企業情報システムを保護するための対策の有効性を改善することを目的とした対策の改善
- 3.1 企業ネットワーク保護を組織することの欠点
- 3.2 組織活動
- 3.3 エンジニアリング活動
- おわりに
- 書誌リスト
はじめに
世界経済の現代の発展は、市場内の流通情報のかなりの量への市場の依存度の増加によって特徴付けられます。
私たちの時代では、社会は完全に受信、処理、および送信されたデータに依存しています。 このため、データ自体の価値は高くなります。 また、有用な情報の価格が高いほど、その安全性は高くなります。
このトピックの関連性は、市場経済で動作する現代企業の経済メカニズムを改善し、現代の技術開発を適用するために、企業情報システムの保護を改善することを目的とする多くの要因の作用によるものです。
上記を考慮して、ロシアと外国の両方の立法は、あらゆる形態の情報の作成、使用、転送、および保護を規制することを目的としたかなりの数の規範を規定しています。
特に重要なのは、個人データ、公式秘密、商業秘密、アクセス制限情報、銀行秘密、国家秘密、インサイダー情報、秘密情報およびその他の情報を運ぶ情報です。
情報保護の問題は多面的で複雑であり、適用可能な立法、組織、およびソフトウェア技術的手段の必要な組み合わせが必要です。
情報の漏洩は、企業の活動に影響を与える可能性があります。 その情報は特定の役割を果たします。樹皮による損失は、企業自体の大きな変化と重大な損失につながる可能性があります。
人の日常生活では、彼の人生に関する情報の安全性は自分自身に依存します。 しかし、法律に従って第三者に関する情報、特に雇用主に関する情報を提供する義務がある場合は、まったく別の状況です。 この状況では、従業員は保管のために自分に関する機密情報を転送します。 さらに、雇用主はデータの安全性について責任を負います。 彼は、従業員に関する情報を第三者の侵害から保護し、これらのデータの配布に責任を負う義務があります。
この作業の目的は、企業情報システムの保護システムの要件を決定することです。
仕事のタスク:
1.電源の距離の企業情報システムの保護システムの問題のある問題を特定する。
2.電力供給距離の企業情報システムの保護システムに対する脅威と要件のリストを作成します。
3.電力供給距離の企業情報システムの情報リスクの構造を実証する。
4.電力供給距離の企業情報システムの保護効率を改善することを目的とした方法と技術的手段を選択し、正当化する。
研究の目的は、モスクワの企業情報システム「イントラネット」-ロシア鉄道のスモレンスク電力供給距離支店の典型的な保護システムであり、独自の建物と領土を持っています。
研究の主題は、電力供給距離の企業情報システムを保護する方法と技術的手段です。
結果の実際的な重要性と実装により、特定の条件に適応し、オブジェクトの詳細とさまざまなカテゴリの情報とユーザーを考慮して、企業ネットワークの保護を整理する手段を作成することができました。
A.V.の問題を調査する著者 ソコロフ(教授、モスクワ電子技術大学のコンピューターサイエンスおよびソフトウェア学科長)およびV.F. 1978年から現在まで、Shangin(教授、技術科学博士)は、分散エンタープライズシステムと企業全体のネットワーク、インターネット保護を使用する際の情報保護の現在の問題を扱ってきました。
保護情報企業ネットワーク
1.企業ネットワーク構築の理論的基礎
1.1コンセプト、コンポーネント、企業ネットワークの機能
企業ネットワークは、デスクトップからメインフレームまでのさまざまなタイプのコンピューター、システムおよびアプリケーションソフトウェア、ネットワークアダプター、ハブ、スイッチおよびルーター、ケーブルシステムなど、さまざまなコンポーネントを含む複雑なシステムです。 このペーパーでは、モスクワ-スモレンスクイントラネットについて検討します。 距離 ロシア鉄道の支店の電力供給。 これは鉄道の独立した構造単位であり、電化および電力供給サービスの一部です。 すべての消費者に途切れのない信頼性の高い電力を供給し、すべてのオブジェクトとデバイス、サービスエリア内の連絡先ネットワークの信頼性の高い機能を保証します。
イントラネットの機能は、企業の印刷文書に代わる静的なWebページの操作や、情報を共有する新しい方法の提供から、オフィスサーバーアプリケーションの複雑なクライアントインターフェースの終了まで、非常に広範囲に及びます。
イントラネットに必要なテクノロジーとそれらを実装するツールは広く普及しています。 これらには、TCP / IPプロトコル、ネットワークファイルシステム(NFS)、Webブラウザー(システム検索および参照プログラム)、Webサーバー、HTMLエディター、電子メールなどが含まれます。 情報へのアクセスは、IP接続に基づいています。
イントラネットは、いくつかの 部品:
1)ネットワークインフラストラクチャ、
2)サーバー
3)文書
4)ブラウザ、
5)アプリケーション。
イントラネットは基盤であり、組織の従業員に情報へのアクセスを提供する必要な接続を提供します。 イントラネットは、TCP / IPネットワークプロトコルを使用してデータを接続および交換します。 TCP / IPを使用すると、ネットワーク上のコンピューターに一意の名前を付けることができます(これらの名前はIPアドレスと呼ばれます)。 このプロトコルは、コンピューターがお互いを見つけて接続できるメカニズムも提供します。 イントラネットは別のHTTPプロトコル(ハイパーテキスト転送プロトコル)を使用します。 Webページを指すテキスト、画像、およびハイパーリンク(つまり、他の電子文書へのリンク)を送信するために使用されます。 TCP / IPはコンピューターがネットワーク上で通信する主要な方法であり、HTTPは情報を交換できる何らかの上位レベルであると言えます。
サーバー。 情報は、一般にWebサーバーと呼ばれるコンピューターで最も頻繁に見つかります。 サーバーはドキュメントを保存し、データの検索と表示のユーザー要求を満たします。
書類 イントラネットのコンテンツ、つまり表示されている情報は、ドキュメントに保存されます。 デフォルトでは、HTML形式(Hypertext Makeup Language)-実際のテキスト、書式設定を制御するタグ、および他のドキュメントを指すハイパーリンクで構成されるテキスト形式があります。
ブラウザ イントラネットで作業し、サーバーに保存されているドキュメントを表示するには、ブラウザーと呼ばれるアプリケーションが使用されます。 それらはいくつかの機能を実行します:
情報の検索とWebサーバーへの接続。
hTMLでのドキュメントの読み込み、フォーマット、表示。
関連文書への認識と移行。
用途 アプリケーションは、会社の特定のタスクを解決するために開発者によって作成されます。
さまざまなネットワーク機器に加えて、イントラネットは次のソフトウェアコンポーネントで構成されています。
1)会社の活動に関する情報を含む組織の内部Webサーバーのソフトウェア(価格、管理命令、調整および議論のための文書など、および既存のデータベース(「倉庫」、「会計」など)に接続)
2)組織内の会議用ソフトウェアで、作業の改善提案、さまざまなイベントの報告などを議論します。
3)メールソフトウェア。
イントラネットが存在する可能性があります セグメント さまざまなレベルのセキュリティで:
自由に利用可能(さまざまなサーバー);
アクセスが制限されている;
アクセスは閉鎖されています。
企業の電源供給距離ネットワークは、相互作用する複数のレイヤーで構成されるシステムと見なすことをお勧めします。 企業ネットワークを表すピラミッドの基部には、コンピューターのレイヤー(情報ストレージおよび処理センター)、およびコンピューター間の情報パケットの信頼できる送信を提供するトランスポートサブシステムがあります。
図1.企業ネットワーク層の階層
ネットワークオペレーティングシステムの層は、トランスポートシステム上で動作します。トランスポートシステムは、コンピューター上のアプリケーションの作業を整理し、トランスポートシステムを介した一般的な使用のためにコンピューターのリソースを提供します。
オペレーティングシステムではさまざまなアプリケーションが動作しますが、基本的な企業情報を順序付けられた形式で保存し、基本的な検索操作を実行するデータベース管理システムの特別な役割のため、このクラスのシステムアプリケーションは通常、企業ネットワークの別のレイヤーに割り当てられます。
次のレベルでは、システムサービスが機能し、DBMSをツールとして使用してディスクに格納された数百万バイトから必要な情報を見つけ、意思決定に便利な形式でエンドユーザーにこの情報を提供し、あらゆる種類の企業向けの一般的な情報処理手順を実行します 。 これらのサービスには、電子メールシステム、チームワークシステムなどが含まれます。
企業ネットワークの上位レベルは、特定の企業または特定の種類の企業に固有のタスクを実行する特別なソフトウェアシステムを表します。
企業ネットワークの最終的な目標はトップレベルのアプリケーションに組み込まれていますが、それらを正常に動作させるには、他の層のサブシステムが機能を明確に果たすことが絶対に不可欠です。
システム管理者の主なタスクは、この面倒なシステムが企業の従業員間で循環する情報フローの処理を可能な限り最適に処理し、企業の運用を保証するタイムリーかつ合理的な決定を行えるようにすることです。
モスクワ-スモレンスクイントラネット 距離 ロシア鉄道の電源は、外部のインターネットユーザーから隔離されており、外部アクセスのない自律ネットワークとして機能します。
図2.ローカルネットワークの構造
1.2脅威と情報リスクの原因の分析
会社のすべての情報リソースは、メディアまたは情報価値の損失という客観的および主観的な脅威に常にさらされています。 情報の損失の脅威または危険とは、重要な状況、イベントを作成し、保護された情報、ドキュメント、およびデータベースに不安定な影響を与える、外部または内部の脅威の好ましくない能力の単一または複雑な、現実または潜在的な、能動的または受動的な兆候を指します。 アクセスが制限されている情報リソースの場合、さまざまな攻撃者からのこれらのドキュメントに対する関心が高まっているため、情報の損失(開示、漏洩)またはメディアの損失を伴う脅威の範囲ははるかに広くなっています。 限られた配布の情報リソースのセキュリティに対する主な脅威は、文書化された情報への攻撃者または権限のない人の不正(違法、不正)アクセスであり、その結果、情報の所有とその違法な使用またはその他の不安定化行為です。 不正アクセスの目的と結果は、貴重な情報の所有とその使用だけでなく、それらの変更、変更、破壊、改ざん、代替などにもなります。 制限されたアクセスの情報リソースへの不正アクセスの試行を成功させるための前提条件は、競合他社、特定の個人、サービス、および組織からのそれらへの関心です。 情報リソースへの不正アクセスの主な原因は、原則として、ドキュメント、情報、およびデータベースを扱う担当者です。 ほとんどの場合、情報の損失は、攻撃者による意図的な行動の結果ではなく、人員の不注意と無責任のために発生します。
その結果、次の場合に制限されたアクセス情報リソースが失われる可能性があります。
§特定の情報における競合他社、機関、企業、または個人の関心の存在、
§攻撃者によって組織された脅威のリスクの発生、または偶発的な状況の場合。
§攻撃者が必要なアクションを実行して情報を取得できる条件の存在。
これらの条件には以下が含まれます。
©脅威、チャネル、および情報セキュリティ侵害のリスクの程度を特定および調査するための体系的な分析および制御作業の欠如。
©無効な情報保護システムまたはこのシステムが存在しないため、高度な情報の脆弱性が生じます。
©機密文書の処理と保存のための専門的に編成されていない技術。
©乱雑な採用とスタッフの離職、チーム内の困難な心理的環境。
©制限されたアクセスの情報を保護するルールで従業員を訓練するためのシステムの欠如;
©限られたアクセス情報リソースの取り扱いに関する規制文書の要件へのスタッフのコンプライアンスに関する企業管理の管理の欠如。
©無許可の人による会社の敷地への無制限の訪問。
文書化の事実は、情報の脅威のリスクを劇的に増加させることを常に覚えておく必要があります。 過去の偉大な巨匠たちは、彼らの芸術の秘密を書き留めることは決してありませんでしたが、彼らを口頭で彼らの息子、学生に渡しました。 したがって、当時の多くのユニークなアイテムの製造の謎は、今日まで明らかにされていません。
脅威を含む可能性のある情報を使用して実行された既存のアクション:収集、変更、漏洩、破壊。 これらのアクションは、さらに検討するための基本です。 受け入れられた分類に従って、脅威のすべてのソースを外部と内部に分けます。
内部および外部の脅威
内部侵入者は、サービス部門の従業員の次のカテゴリの人物である可能性があります。サービス要員(ハードウェアおよびソフトウェアの運用と保守を担当するシステム管理者)。 システムおよびアプリケーションソフトウェアをサポートするプログラマ。 技術スタッフ(ユーティリティルームの労働者、掃除機など); コンピューターまたは通信機器が設置されている施設にアクセスできるビジネスユニットの従業員。
内部脅威の原因は次のとおりです。
・組織の従業員。
・ソフトウェア。
・ハードウェア。
内部脅威は、次の形式で発生する可能性があります。
ユーザーおよびシステム管理者のエラー。
情報の処理、送信、および破壊に関する確立された規制に対する会社の従業員による違反。
ソフトウェアのエラー。
コンピューターにウイルスまたはマルウェアを感染させる。
コンピューター機器の操作における障害および誤動作。
外部の違反者には、企業の従業員による制御のない機器を備えた施設内での存在が不可能な人が含まれます。
外部侵入者は、情報システム機器からの電磁放射を傍受して分析します。
脅威の外部ソースには次のものがあります。
・組織および個人。
・自然災害;
・人為的な事故;
・テロ行為の実施。
外部の脅威の現れ方は次のとおりです。 情報の分析と変更。 企業情報への不正アクセス。 競合する構造、インテリジェンス、および特別なサービスによる情報監視。 事故、火災、技術災害。
私たちがリストしたすべてのタイプの脅威(顕在化の形式)は、脅威者の発生に意図的および意図的ではなく、関心があり、関心がないものに分類できます。
意図的な影響とは、好奇心によって引き起こされる攻撃者の意図的な行動です。 ハッカー攻撃。 負傷した従業員の誇り、テロ行為を犯す試み。 攻撃者として、従業員、訪問者、競争者、merc兵、技術要員(ユーティリティルームの作業員、清掃員など)が行動できます。
運用中の意図しない偶発的な影響の理由は次のとおりです。自然災害や停電による緊急事態(自然および人為的影響)。 ハードウェアの障害と障害。 ソフトウェアのバグ。 スタッフの仕事の誤り; 環境の影響による通信回線の干渉。
情報セキュリティオブジェクトに影響を与える方法によれば、脅威は次の分類の対象となります:情報、ソフトウェア、物理的、無線電子的、組織的および法的。
情報の脅威には次のものがあります。
-情報リソースへの不正アクセス。
-情報システム内のデータの違法コピー;
-図書館、アーカイブ、銀行、データベースからの情報の盗難;
-情報処理技術の違反。
-情報の違法な収集と使用。
ソフトウェアの脅威は次のとおりです。
-ソフトウェアのエラーおよび「ホール」の使用。
-コンピューターウイルスとマルウェア。
-「組み込み」デバイスのインストール。
物理的な脅威は次のとおりです。
-情報処理および通信施設の破壊または破壊。
-情報キャリアの盗難;
-ソフトウェアまたはハードウェアキーの盗難および暗号化データ保護の手段。
-スタッフへの影響。
電子的な脅威には次のものがあります。
-技術施設および施設内の情報を傍受するための電子機器の導入。
-通信チャネル内の情報の傍受、解読、置換、および破壊。
組織的および法的脅威には次のものがあります。
-不完全または時代遅れの情報技術と情報化の手段の調達。
-法律の要件に違反し、情報分野で必要な規制および法的決定を下すことの遅れ。
企業秘密を構成する情報の識別と、この情報を所有、所有、または含むソースの決定の後、この情報への不正アクセスの方法は、機密情報ソースへの不正アクセスの基本的な方法の特定のセットから選択することにより識別されます。
機密情報の漏洩の可能性がある次のチャネルを区別できます(図3)。
機密情報の外部メディアへの不正コピー、および企業の管理された領域外への削除。 このようなメディアの例は、フロッピーディスク、CD-ROM、フラッシュディスクなどです。
機密情報を印刷し、印刷された文書を管理された領域から取り出します。
この場合、侵入者のコンピューターに直接接続されているローカルプリンターと、ネットワークを介してやり取りできるリモートプリンターの両方を使用できることに注意してください。
企業の管理された領域外にある外部サーバーへのネットワークを介した機密情報の不正な転送。 たとえば、攻撃者は機密情報をイントラネット上の外部メールまたはファイルサーバーに転送できます。 同時に、侵入者は自分の行動を隠すために、送信される情報を事前に暗号化するか、標準のグラフィックファイルを装って送信することができます。
情報リスクとは、最も狭い定義は、損失、リスクにつながる情報システムの機能の誤動作または障害による情報の不正な変更のリスクです。 情報セキュリティは、情報環境のセキュリティ状態です。 情報保護とは、保護された情報の漏洩、保護された情報に対する不正で意図しない影響、つまりこの状態を達成することを目的としたプロセスを防ぐ活動です。
最小限の情報リスクが確保される場合、電源距離企業の情報セキュリティが確保されます。 日常の活動で使用する情報、適切な意思決定を行うために必要な、企業経営者からの客観的な情報(機密を含む)の欠如、および企業にとって不利または危険な情報の外部環境での誰かによる配布。
体系的なアプローチの観点からこの問題を解決するには、企業で機能するために必要な情報の漏洩および破壊のリスクを最小限に抑える相互接続された一連の機関、ツール、方法、および手段である、情報リスクを最小限に抑えるシステムを企業で開発および実装することをお勧めします。 企業の主な情報リスクは次のとおりです。
企業の機能に必要な情報の漏洩および破壊のリスク。
企業の活動において偏った情報を使用するリスク。
会社の経営者が正しい決定を下すために必要な(機密を含む)情報を持っていないリスク。
外部環境に誰かが企業に不利または危険な情報を広めるリスク。
情報リスク最小化システムによって解決される主なタスクは次のとおりです。
保護される情報の識別。
この情報を所有、所有、または含むソースの識別。
この情報への不正アクセス方法の識別。
機密情報を保護するための組織的および技術的手段の開発と実装。
電気距離情報には、次の4つの重要度レベルがあります。
非必須、つまり、漏洩または破壊が企業に害を及ぼさず、その機能のプロセスに影響を与えない情報。
企業の機能に必要な情報の漏洩および破壊のリスクは、次の結果を伴います。
・機密情報。権限のない者への転送または漏洩により、企業、その従業員に損害が生じます。
・重要な情報。欠勤または破損により、スタッフおよび企業全体の日常業務が不可能になります。
明らかに、重要度の最初の3つのレベルの情報は保護する必要がありますが、一般に、保護の程度は情報の重要度レベルによって決定する必要があります。 これは主に、保護の程度がその実装のコストに直接関係しているという事実によるものです。したがって、一般的には、漏洩または破壊がわずかな損害につながる場合、高価な保護手段で情報を保護することは経済的に実行不可能です。
最初の3つのレベルの情報は、原則として企業秘密に関するものであり、1991年5月12日付けのロシア連邦政府令第35号「企業秘密を構成できない情報のリスト」に従って企業の長によって決定されます。
営業秘密を構成する情報を特定し、この情報を所有、所有、または含むソースを決定する手順は、次のとおりです。
企業の命令により、部門長は、彼らの仕事の分野で商業秘密を構成する特定の情報、この情報を認められた人、およびこの情報のキャリアを決定する仕事を遂行する義務を負います。
この作業の結果は、構造部門ごとにそのような情報を示す「企業の商業秘密を構成する情報のリスト」という企業の長によって承認される必要があります。 この情報の保有者である人; この情報を含む文書、およびこの情報の他の(技術的な)キャリア(ある場合)。
1.3情報セキュリティシステムの基本規定
情報分野の情勢の分析は、完全に形成された保護の概念と構造がすでに形成されていることを示しています。その基礎は次のとおりです。
産業ベースで作成された情報を保護するための高度に開発された技術的手段。
情報セキュリティの問題に対処することに特化したかなりの数の企業。
この問題に関するかなり明確に定義されたビューのシステム。
重要な実務経験。
それにもかかわらず、国内外のマスコミが証明しているように、情報に対する悪意のある行為は減少しないだけでなく、かなり安定した上昇傾向を持っています。 経験から、この傾向に対抗するには以下が必要であることがわかります。
1.情報リソースを保護するプロセスの調和のとれた目的のある組織。 さらに、専門家、管理者、従業員、およびユーザーが積極的にこれに参加する必要があります。これにより、問題の組織面の重要性が高まります。 さらに、情報のセキュリティを確保することは一度きりの行為ではありません。 これは、最も合理的な方法の正当化と実装、保護システムの改善と開発の方法と方法、その状態の継続的な監視、ボトルネックと弱点、違法行為の特定から成る継続的なプロセスです。
2.情報セキュリティは、生産システムのすべての構造要素および情報処理技術サイクルのすべての段階で、利用可能な保護手段の兵器庫全体を統合して使用することによってのみ確保できます。 最大の効果は、使用されるすべてのツール、方法、および手段が単一の統合メカニズムである情報セキュリティシステム(SIS)に統合された場合に達成されます。 同時に、外部および内部条件の変化に応じて、システムの機能を監視、更新、および補完する必要があります。
したがって、情報保護システムは、内部および外部の脅威から情報を確実に保護する特別な組織、手段、方法、および手段の組織セットとして想像することができます。
図4.企業情報セキュリティシステムを構築するためのモデル
情報セキュリティに対する体系的なアプローチの観点から、特定の要件が課されています。 情報保護は次のようにする必要があります。
1.連続。 この要件は、攻撃者が関心のある情報の保護を回避する機会のみを探しているという事実に由来します。
2.計画中。 計画は、企業(組織)の一般的な目標を考慮して、その能力の分野で詳細な情報保護計画の各サービスを開発することによって実行されます。
3.フォーカス。 特定の目標のために保護されるものは保護されており、すべてが連続しているわけではありません。
4.特定。 保護は客観的に保護の対象となる特定のデータの影響を受け、その損失は組織に何らかの損害を引き起こす可能性があります。
5.アクティブ。 情報は十分な程度の永続性で保護する必要があります。
6.信頼できる。 保護の方法と形式は、プレゼンテーションの形式、表現の言語、およびそれらが接続されている物理メディアの種類に関係なく、保護された秘密への継続的なアクセスの可能な方法と確実に重複する必要があります。
7.ユニバーサル。 漏洩チャネルのタイプまたは不正アクセスの方法に応じて、情報の性質、形式、タイプに関係なく、合理的かつ十分な手段で、それが出現する場所でブロックする必要があると考えられています。
8.統合。 さまざまな構造要素のすべての情報を保護するには、すべての種類と形式の保護を完全に適用する必要があります。 特定の形式または技術的手段のみを使用することは認められません。
保護の複雑な性質は、保護が特定の現象であり、相互に密接に相互接続されたプロセスの複雑なシステムであり、それぞれが相互に決定する多くの異なる側面、特性、および傾向を持っているという事実に由来します。
したがって、このような多面的なセキュリティ要件を確実に満たすには、情報保護システムが特定の条件を満たす必要があります。
情報活動の技術的複合体全体をカバーします。 使用される手段の点で多様である、
階層的なアクセスシーケンスを備えたマルチレベル。 情報セキュリティ対策を変更および補足するために開かれている。
保護手段を選択するとき、非標準で多様であるために、その能力について攻撃者の無知に頼ることはできません。
保守が簡単で、ユーザーが使いやすいようにする。
信頼性が高く、技術的手段の故障は、情報漏洩の制御されていないチャネルの原因です。
複雑であること、整合性があること、つまり、システム全体を損なうことなくその一部を削除できないことを意味します。
情報セキュリティシステムには特定の要件があります。
特定の情報にアクセスする権限とユーザー権利の定義の明確化。
割り当てられた作業を実行するために必要な最小限の権限をユーザーに提供します。
複数のユーザーの一般的な救済策の数を最小限に抑える。
機密情報への不正アクセスのケースおよび試行の登録。
情報の機密性の程度の評価を提供します。
保護装置の完全性管理とその障害への即時対応を保証します。
あらゆるシステムのような情報保護システムには、特定のタイプの独自のサポートが必要です。それに基づいて、ターゲット機能を実現します。 これを念頭に置いて、情報セキュリティシステムには次のものがあります。
1.法的サポート。 これには、規制文書、規制、指示、ガイドラインが含まれ、その要件はその範囲の規範において必須です。
2.組織のサポート。 情報保護の実装は、ドキュメント保護サービスなどの特定の構造単位によって実行されることが理解されています。 サービス体制、入場、保護。 技術情報保護サービス; 情報および分析活動サービスなど。
3.ハードウェア。 情報を保護し、情報保護システムの運用を確保するための技術的手段の広範な使用が期待されています。
4.情報サポート。 システムの機能を保証するタスクのソリューションの基礎となる情報、データ、インジケーター、パラメーターが含まれます。 これには、情報サポートサービスの活動に関連するさまざまな性質の決済タスクのためのアクセス、アカウンティング、ストレージ、および情報サポートシステムのインジケータが含まれる場合があります。
5.ソフトウェア。 さまざまな情報、会計、統計、および決済プログラムが含まれており、さまざまな漏洩チャネルや機密情報ソースへの不正アクセス経路の存在と危険性の評価を提供します。
6.ソフトウェア。 侵入者、ゾーン、および必要な保護の基準の技術的手段の危険性の評価に関連するさまざまな計算に数学的な方法を使用します。
7.言語サポート。 情報保護の分野における専門家とユーザー間のコミュニケーションのための特別な言語手段のセット。
8.規制および方法論的サポート。 これには、情報保護の機能を実装する機関、サービス、ツールの活動の規範と規制、情報保護の厳しい要件の条件でユーザーの活動を確実に実行するさまざまな種類の技術が含まれます。
セキュリティシステムのみが、企業の運用を保証し、機密情報を保護するための最新の要件を満たすことができます。 セキュリティシステムにより、個人、企業、国家の重大な利益を内部および外部の脅威から保護する特別な組織、サービス、ツール、方法、および手段の組織全体を理解します。
他のシステムと同様に、情報セキュリティシステムには独自の目標、目的、方法、および活動の手段があり、状況に応じて場所と時間で合意されます。
情報セキュリティを「市民と組織の利益のために社会の形成、使用、開発を保証する社会の情報環境のセキュリティ状態」として理解し、情報セキュリティの脅威、これらの脅威のソース、それらの実装方法と目標、およびセキュリティに違反する他の条件と行動を特定することは合法です 。 同時に、損害につながる違法行為から情報を保護するための対策を講じる必要があります。
実践では、このような重要なソース、オブジェクト、アクションのセットの分析には、実際の状況の「代替」が形成されるモデリング手法を使用することをお勧めします。 モデルは元のモデルをコピーするのではなく、より単純であることに注意してください。 モデルは、複雑さを考慮して実際のアクションを記述するのに十分な一般性を持つ必要があります。
結論: 国内外の経験が証言しているように、企業の業務に新しい情報技術がますます広く導入されているにもかかわらず、これらの企業の従業員が情報漏洩の主な原因となっています。
したがって、このような状況に関連して、限られたアクセスのこの情報源への不正アクセスを完全に排除する条件を企業で作成することは実際上不可能であることを理解する必要があります。機密情報の漏洩のその他の源の中でその役割を大幅に減らすことができるだけです。
したがって、制限された情報に対する脅威は常に現実的で非常に多様であり、情報の損失の前提条件を作成します。
Computer Protection Institute(CSI)とFBIによると、侵入の50%以上は会社の従業員によるものです。 侵入の頻度については、回答者の21%が「攻撃」の再発を経験したと回答しました。 不正なデータ変更は最も一般的な攻撃形態であり、主に医療機関および金融機関に対して使用されました。 回答者の50%以上は、競合他社を「攻撃」の可能性のあるソースと見なしています。 回答者は、盗聴、侵入する情\u200b\u200b報システム、および「攻撃者」が返信アドレスを偽装して関係のない人に検索をリダイレクトする「攻撃」を最も重視しています。 このような攻撃者は、ほとんどの場合、気分を害する従業員や競合他社です。
情報リスクの分析は、それらが機密情報に関連していることを示しています。
企業の長に対する個人的な敵意、企業間の商取引関係の悪化など、十分に考慮されていない理由の一部は、不採算のメディアに登場する可能性があり、場合によっては企業にとって危険な情報になります。 したがって、競合する企業からこの情報が広まるリスクを排除または少なくとも軽減するには、真の情報、場合によっては誤った情報を積極的に広める必要があります。
トピックの詳細にもかかわらず、情報リスク管理システムを改善するプロセスには常に多くの質問があります。 リスク分析プロセスを構築する目的は、それらを特定し、それらの可能な実装の結果を評価し、それらの処理を保証し、その後、さらに効果的な監視を体系的に実施することだけではありません。 しかし、会社の活動のあらゆる側面におけるリスクに対する標準化されたアプローチを確保することで、その活動のあらゆる期間における会社の情報リスクを伴う状況の全体像を便利かつ迅速に取得します。 また、新たに出現する脅威への迅速かつ適切な対応により、企業の競争力を高め、ビジネスとセキュリティ間の企業内の信頼を高めます。
2.標準ソリューションに基づく電源距離の企業情報システムの保護の組織
2.1保護の対象と対象
電源距離については、生命にとって重要であり、したがって保護されるリソースは次のとおりです。
1)人(企業の人員);
2)資産:文書、材料および金銭的価値、完成品のサンプル、知的財産(ノウハウ)、コンピューター機器など。
3)情報:有形のメディアに加え、コミュニケーションと情報の内部通信チャネル、企業経営のオフィス、会議および会議での流通。
4)企業の効率的かつ持続可能な発展を保証する財源および経済的資源(商業的利益、事業計画、契約文書および義務など)。
制限された情報、銀行秘密、個人データ、公式秘密、企業秘密、国家秘密、インサイダー情報、および強制的な機密性とその開示に対する責任の体制が確立されていることに関連するその他の情報など、保護される値。
企業の活動に関連する科学的、技術的、技術的情報など、企業情報ネットワークで作成または使用されるデータも重要です。
企業秘密を構成する情報の完全なリストは、関連する規制法に加えて、情報保護サービスの責任者によって確立されます。
「機密」のカテゴリには、次の基準を満たす情報が含まれます。
それらは一般に知られていないか、合法的に入手できません。
この情報の独占的所有は、組織に商業的利点、経済的およびその他の利益、および組織、その顧客または特派員(企業秘密)の損害(物質的、道徳的、物理的)につながる可能性のある開示または公開使用を与えます。
銀行業秘密 業務、口座および預金に関する情報、銀行の詳細、ならびに強制的保護の対象となる当行の顧客および特派員に関する情報が理解されています。
オフィス秘密 情報は理解され、そのアクセスは州当局および連邦法によって制限され、銀行秘密ではなく、限られた流通の情報のリストによる強制保護の対象となる情報は理解されます。
コマーシャル秘密 組織は、科学的、技術的、技術的、産業的、財政的、経済的またはその他の情報に関連する情報を理解しており、合法的に、およびそのような情報の所有者が入力した第三者に未知であるために実際または潜在的な商業的価値がある 営業秘密制度。 その開示(移転、漏洩、公開利用)は、組織、州、その顧客または特派員、ロシア鉄道の取引相手に損害をもたらす可能性があります。
パーソナルデータ 市民の私生活の事実、出来事、状況に関する情報が理解され、その人格を特定することができます。
都道府県秘密 -ロシアの法律で採用されている定義によると、軍事、外交政策、経済、intelligence報、反知能、作戦捜索およびその他の活動の分野で国家によって保護されている情報、その普及は国家の安全を損なう可能性があります。
インサイダー情報 -(英語。インサイダー情報)-公開されている場合、会社の有価証券の市場価値に影響を与える可能性のある重要な非公開の会社所有情報。 これには次のものが含まれます。今後のリーダーシップの変更と新しい戦略、新製品のリリース準備と新技術の導入、合併に関する交渉の成功、または支配権の継続的な買収に関する情報。 財務報告資料、会社の困難を示す予測。 一般公開などの前の公開買付けに関する情報(オークション)
情報限られたアクセス 所有者にとって価値のある情報であり、そのアクセスは法的に制限されています。 また、アクセスが制限されている情報は、州の秘密を構成する情報と、連邦法によって機密性が確立されている情報(機密情報)に分割されます。
法的そして参照情報、ビジネス通信、財務、経済、技術部門向けの自動化されたSAP R / 3システムのフレームワーク内でのユーザーワークステーションとデータベースサーバー間の会計情報の報告。
企業情報には、次の4つの重要度レベルがあります。
重要な情報、つまり漏洩または破壊によって企業の存在そのものが危険にさらされる情報。
重要な情報、つまり、漏洩または破壊が高コストにつながる情報。
有用、つまり、情報、漏洩または破壊が何らかの損害を引き起こすが、企業はその後も非常に効果的に機能できる。
非必須、つまり、漏洩または破壊が企業に害を及ぼさず、その機能のプロセスに影響を与えない情報。
2.2情報セキュリティシステムの組織的措置
法律文書と方法は、例えば契約に基づいて人員を選択して雇用する方法から、従業員の職務上の規定に至るまで、ロシア鉄道の仕事の技術サイクル全体を管理します。 各企業の指示または規制は、セキュリティの問題を直接的または間接的に考慮し、保護システムの操作性と有効性に影響を与える必要があります。
機密情報の漏洩の重要な原因は、さまざまな種類のドキュメントです。 情報技術のかなり急速な発展により、新しいタイプのドキュメンタリー情報媒体、コンピューターの印刷物、情報媒体などの出現がもたらされたことに留意する必要があります。 同時に、商業活動と伝統的な種類の紙の文書(契約書、手紙、分析レビュー)の重要性は事実上減少していません。
ドキュメンタリー情報の新しいメディアの出現は、そのコンテンツへの不正アクセスから情報を保護する問題を解決する上で新たな困難をもたらしただけでなく、この情報の保証された保護を保証する新しい機会ももたらしました。 これは主に、暗号化変換を使用して変換された形式でメディア上に特に重要なドキュメント情報を保存することに関するものです。
これらの対策の一環として、電力供給距離では、機密情報リソースのリストと、それに対処するために実装する必要がある対策のリストを定義する組織および管理文書が開発および実装されています。
組織文書は、情報セキュリティポリシー、会社の従業員の職務記述書、およびパーソナルコンピューターの規制です。
この目的のために、ロシア鉄道では次の組織タスクが解決されました。
以下の実装を通じて情報の保護を確保するための法的根拠:
-企業の憲章を改正し、企業の経営権を付与する:企業秘密を構成する情報を決定する手順とその保護のメカニズムを規制する規制および管理文書を公開する。
-企業秘密を決定し保護するための措置の開発と実施に関連する管理と企業の従業員の義務を確保する規定を伴う「共同協定」への追加。
-「雇用契約」に、企業秘密の保護要件および企業秘密の保護要件を含む内部ルールを追加する。
-書面による非開示義務の履行により、企業秘密を維持する規則に従って雇用者に指導する。
-適用される法律に従って、企業秘密を保護するための要件の違反者を行政または刑事責任に持ち込む。
-あらゆる種類の経済活動の契約に企業秘密の保護に関する要件を含める。
-州および司法機関よりも企業の利益の保護を要求する。
-利益を引き出し、企業への経済的損害を防ぐために、企業が所有する情報を処分する。
-制限されたアクセスの情報を保護するルールで従業員をトレーニングします。
-オフィス管理システムで働く従業員の慎重な選択。
-企業における企業秘密を維持するための有利な内部条件の作成。
-スタッフの離職率、チーム内の複雑な心理的環境を特定し、安定させる。
-情報の機密性の程度の評価を提供する。
-その保護のために確立された要件に違反する人の企業秘密に関連する作業からの削除。
-企業の各従業員に「企業の商業上の秘密を構成する情報のリスト」を持参;
-文書の信頼性の高い保管とタイムリーな破棄の確保、文書の可用性の確認、文書の適時性と正確性の監視。
-ドラフトおよびドキュメントのバージョンは、請負業者によって個人的に破棄されます。請負業者はそれらの破棄について個人的に責任を負います。 破壊は、読書の可能性を除いて、標準的な紙切断機で、または他の方法で実行されます。
-暗号変換を使用して変換された形式で、メディアおよびパーソナルコンピュータのメモリに機密情報を保存します。
したがって、この情報源への不正アクセスを排除するために、従来の方法と非伝統的な方法の両方が使用されます。
・領土、施設、および事務所の保護の実施、ならびにそれらへのアクセスに対する効果的な入場管理。
・事務処理システムの明確な組織の導入。
営業秘密を構成する情報には以下が含まれます。
-金融および経済活動に関する情報。
-運用および生産活動に関する情報。
-管理活動に関する情報。
-人事活動に関する情報。
-制御および監査活動に関する情報。
-信号と通信、電化、エネルギーに関する情報。
-契約作業に関する情報。
-自分の研究の結果に関する情報。
-医療活動に関する情報。
-ロシア鉄道の情報および施設の保護に関する情報。
その従業員、独立請負業者によるコンピュータおよび通信リソースの意図された使用を保証します。 すべてのコンピューターユーザーは、倫理的基準を順守し、法律を順守し、資格のある効率的な方法でコンピューターリソースを使用する必要があります。 企業のセキュリティポリシーへの違反は、刑事訴訟の解雇および/または開始までの懲戒処分を伴います。
セキュリティポリシーは、誰もが理解している通常の規則ではありません。 それは深刻な紙の文書の形で提示されます。 また、ユーザーにセキュリティの重要性を常に思い出させるために、各従業員はこのドキュメントのコピーを持っているため、これらのルールは常にデスクトップの前にあります。
企業セキュリティポリシー
・銀行の機密情報とそのキャリアの物理的保護を保護するために、銀行の銀行、商業および公式の秘密を構成する情報への無料アクセスは閉鎖されています。
・組織は、情報の所有者(所有者)として、適用される法律によって提供される権利と義務に従って、銀行の秘密、個人データ、公式秘密、企業秘密、およびその他の情報を保護するための措置を講じます。
類似文書
会社の貿易および人事管理システム、会計、および企業の個人データ情報システムのセキュリティレベルの分析。 ルーティング、スイッチング、ファイアウォールISPDnの技術的保護手段のサブシステムの開発。
任期論文、2014年7月8日追加
情報化の対象の分析。 情報セキュリティポリシー。 技術情報保護のサブシステム:アクセス制御、ビデオ監視、セキュリティおよび火災警報、技術チャネルによる漏洩保護、企業ネットワーク保護。
プレゼンテーション、2012年1月30日追加
企業の情報および通信システムのモデルの分析。 情報セキュリティに対する脅威の種類。 企業における情報セキュリティの目標と目的。 企業ネットワーク内の情報セキュリティ管理システムの制御手順の開発。
論文、2011年6月30日追加
ATMに基づく企業ネットワークのセキュリティの分析、技術の保護対象のアーキテクチャ。 企業情報セキュリティシステムを構築するためのモデル。 システムを使用する経済的効率を評価する方法。 データ損失のリスクを減らす方法。
論文、2012年6月29日追加
企業ネットワークの分析レビュー。 既存のネットワークの分析、情報の流れ。 管理システムおよびLAN要素のラベル付けの要件。 不正アクセスに対するシステム保護の開発。 システム管理者への指示。
論文、2017年1月19日追加
情報インフラストラクチャのウイルス対策保護の概念、考えられる脅威の種類。 PJSC「ROSBANK」で使用されるソフトウェアの特性。 銀行情報リソースを整合性または機密性の侵害の脅威から保護する手段。
2017年4月24日追加の学期論文
エンタープライズMonarch LLC向けのモバイルコマースセグメントを備えたイーサネット回線に基づく高速企業情報ネットワークの開発。 機器の設置と操作のための活動。 プロジェクトの技術的および経済的指標の計算。
学期論文、2011年11月10日追加
組織の企業情報システムの構造。 アドレス空間とDNSの開発。 CISドメイン構造。 ワークステーションおよびサーバー機器のハードウェアおよびソフトウェア構成の選択。 典型的なサービスの構成。
2013年7月29日追加の学期論文
ローカルネットワークでのデータ転送の物理環境。 企業情報ネットワーク。 企業の通信機器およびコンピューター。 現代の情報技術の分析に基づいた企業情報ネットワークの開発。
論文、2015年7月6日追加
情報セキュリティの問題の関連性。 Mineral LLCのネットワーク用のソフトウェアとハ\u200b\u200bードウェア。 企業のセキュリティと不正アクセスに対する保護のモデルの構築。 情報システムを保護するための技術的ソリューション。