Конспекты
по Основам управления информационной безопасности
Комплексная защита электронной почты и документооборота
Цель работы
Изучить методы комплексного построения системы защиты электронной почты и документооборота.
Теоретическая часть
Общие сведения о процедурах защиты электронной почты:
Для понимания системы мероприятий комплексной защиты электронной почты важно ясно представлять структуру объекта защиты информации и характер информационных связей и взаимодействий, лежащих в основе электронного документооборота.
Пользователь, работающий с электронной почтой, оперирует традиционными понятиями и объектами: адрес, конверт, вложения, почтовый ящик и т.д. Что такое электронное письмо? Это, прежде всего, файл.
Из этого можно сделать вывод, что электронное письмо, в привычном для нас понимании, есть результат интерпретации текстового файла клиентской программой системы электронной почты. В действительности система электронной почты оперирует файлами. Значит, защита электронной почты опирается на рассмотренную ранее типовую задачу защиты сетевой файловой системы.
Реализация контуров защиты электронной почты:
Первый контур защиты соответствует типу взаимодействия «клиент- сервер». Дадим характеристику дестабилизирующим воздействиям на зоны и средствам противодействия им.
Типовые нападения на зону ДЗУ клиента электронной почты:
- утечка классифицированной информации – наступает вследствие переноса информационных ресурсов из объектов файловой системы в объекты электронной почты, в отсутствии согласованных мер по защите информации;
- хищение баз данных электронной почты – хищение носителя с базой данных электронной почты или несанкционированное копирование базы данных электронной почты на носитель злоумышленника позволяет обойти встроенные функции защиты, реализуемые операционной системой и программным обеспечением электронной почты, в отсутствии дополнительных мер и средств защиты информации;
- хищение адресных справочников электронной почты – хищение элементов информационного обеспечения программ электронной почты, в которых хранится информация об известных адресах электронной почты; широкая доступность подобной информации стала причиной одного из негативных явлений сегодняшних дней – рассылки нежелательной корреспонденции (спама);
- утечка классифицированной информации – наступает в процессе обработки электронной корреспонденции в оперативной памяти;
- перехват электронной почты в оперативной памяти – основная цель нападения - получить доступ к содержимому электронной корреспонденции до того времени, как она будет защищена криптографическими средствами операционной системы или прикладного программного обеспечения.
Против зоны ОЗУ сервера-получателя применяются следующие типовые нападения:
- использование служебных функций электронной почты – цель: сбор информации о системе электронной почты, организация атак типа «отказ в обслуживании», использование изъянов программного обеспечения его конфигураций;
- похищение услуг, сервисов электронной почты – цель: используя изъяны конфигурации программного обеспечения и средств защиты сервера-получателя, вынудить выполнить его дополнительные функции, например, пересылку или тиражирование почты, автообработку почтового сообщения, ввод информации в базу данных и т. п.
- обход фильтров электронной почты – цель: с помощью криптографических или специальных преобразований затруднить или сделать полностью неэффективной работу фильтров сервера получателей, реализующих политику управления информационными потоками или политику информационной безопасности.
На основе вышеописанного рубежа реализуются дополнительные рубежи: фильтрация, преобразование, маршрутизация.
- Рубеж фильтрации предназначен для борьбы с навязыванием ложной информации, с распространением вредоносного программного обеспечения и нежелательной корреспонденции, он также участвует в реализации политики управления информационными потоками.
- Рубеж фильтрации предназначен для борьбы с навязыванием ложной информации, с распространением вредоносного программного обеспечения и нежелательной корреспонденции, он также участвует в реализации политики управления информационными потоками.
- Рубеж маршрутизации выполняет основную работу по управлению информационными потоками. Именно здесь принимаются решения об отправке электронной почты по защищенному или открытому каналу связи
На зону ДЗУ сервера электронной почты осуществляются следующие нападения: перехват электронной почты в очереди на отправку; навязывание электронной почты в очередь на отправку.
Типовыми нападениями на зону ЛВС, связывающую два сервера электронной почты, являются:
- изменение топологии, архитектуры системы электронной почты;
- сокрытие фактов нападения на систему электронной почты;
- имитация ошибок сеанса обмена электронными сообщениями;
- дезавуирование абонентов электронной почты;
- ложный сервер-отправитель;
- ложный сервер-получатель;
- подмена сообщений электронной почты;
- перехват сообщений электронной почты;
Против зоны ДЗУ сервера-получателя реализуются следующие нападения:
- доступ к электронной почте на резервном носителе информации
- навязывание электронной почты на резервный носитель информации
Зоне ОЗУ сервера резервного копирования угрожают следующие типовые нападения:
- использование уязвимостей системы резервного копирования
- резервное копирование с ложного сервера
- восстановление на ложный сервер
- перехват электронных сообщений в оперативной памяти
Для более или менее серьезной борьбы со спамом интереснее знать, кто этот троян распространяет и как он это делает. Для подобных выяснений и полезны администраторы сетей, в которых есть зараженные машины. Например, если троян ходит куда-то зачем-то по HTTP, то, во- первых, надо засечь это обращение и его содержание, а также ответ той стороны, а во-вторых, отследить входящие соединения с ним, их источники и суть.
Очень важная, часто недопонимаемая проблема состоит в том, что спам и не-спам пересекаются в очень большой степени.
Основным методом обнаружения вредоносных программ по- прежнему остается анализ сигнатуры проверяемых данных. Однако скорость распространения вредоносных программ гораздо выше скорости обновления антивирусных баз данных. На анализ нового вируса требуется определенное время. Поэтому от обнаружения новой вредоносной программы до выхода обновлений корпоративные сети остаются беззащитными. Выходом из данной ситуации является так называемый превентивный подход.
Он включает в себя следующие методики обнаружения вредоносных программ.
- Эвристический анализ
- Анализ поведения программ
- Выявление формальных признаков вредоносной программы
Контрольные вопросы
Что такое защищенный документооборот?
Контролируемое движение конфиденциальной документированной информации по регламентированным пунктам приема, обработки, рассмотрения, исполнения, использования и хранения в условиях организационного и технологического обеспечения безопасности, как носителя информации, так и самой информации.
Назовите основные компоненты необходимые для организации электронного документооборота.
- Цифровые сертификаты
- Инфраструктура открытых ключей PKI
- Средства организации защищенного документооборота
Какие мероприятия необходимы для организации защищенного электронного документооборота?
Работа с человеческим фактором.
- повышение уровня активности администраторов сети и общего уровня компьютерной грамотности сотрудников, являющихся пользователями системы;
- проведение обучения сотрудников работе с системой и сопутствующим программным обеспечением;
- ознакомление сотрудников с их правами и обязанностями как администраторов и пользователей системы, имеющих доступ к данным.
Техническое, программное и организационное обеспечение по ограничению доступа к защищаемой информации.
- создание ролей доступа к информации, разграничение прав на работу с информацией;
- протоколирование всех действий и попыток к действиям (включая не только создание, редактировании и удаление, но и чтение, печать, выгрузку, пересылку и т.п.);
- запрет на использование внешних носителей;
- по мере ужесточения мер обеспечения безопасности возможно даже создание специальной, отдельно охраняемой экранированной комнаты, в которой установлен компьютер с важными данными, отключенный от любой сети кроме электрической.
Программные средства непосредственной защиты информации.
- криптографические средства – электронную подпись и шифрование (как отдельных файлов, так и целых баз данных);
- системы аутентификации, построенные на криптографии
Назовите основной метод обнаружения вредоносных программ.
Анализ сигнатуры передаваемых данных.
Перечислите методики обнаружения вредоносных программ.
- Эвристический анализ
- Анализ поведения программ
- Выявление формальных признаков вредоносной программы