Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Организация защиты веб ресурсов




Особенности: имеют доступ любой человек в интернете.

Проблемы:

l Логин и пароль

l антивирусы, файрволы

l ддд- дай дорогу дураку

Общие советы по защите веб ресурсов

l управление паролями. Создание сложных паролей и регулярная их смена

l хранение важной информации в безопасном месте

l удалять ненужные файлы и папки

l обновление программных продуктов

l контроль за сообщенрями об ошибках

l обработка данных форм

l резервное копирование

l выбор надежность хостинга

Дос атака

Большое количество запросов и сервре зависает

ддос осуществляется с несколько тысяч компов.

Nginx - это веб сервер, который защищает от дос атаки.

Политка ИБ и системы защиты информации

ПИБ это совокупность законов, правил, практических рекомендаций и практического опыта, определяющие управленческие и проектные решения в области защиты информации. На основе пиб строится упрввление, защита и распределение критичной инфы в системе.

ПИБ должна захватывать все особенности процесса обработки информации.

Принципы ПИБ:

l невозможность миновать защитные средства, то есть все информац потоки через СЗИ, не должно быть тайных и тестовых ходов в обзод защиты

l усиление самого слабого звена. Надежность любой СЗИ определяется самым слабым звеном. Очень часто оказывается человек и проблем инф без приобретает не технический характер

l не допустимость переходов в открытое состояние. В любых обстоятельствах, в том числе не штатных СЗИ либо полность выполняет функции, либо полностью блокирует доступ.

l минимизация привилегий. Всем пользователям АС выделяются только те права доступа, которые необходимы им для выполнения служебной обязанности

l распределение обязанностей. Один человек не может нарушить критически важный для организации процесс. Один человек не может нарушить крит важный для организации процесс

l многоуровневая защита. Не следует полагаться на один защитный рубеж, каким бы надежным он не казался

l разнообразие защитных средств. Необходимо организовывать по своему характеру рубежи, которые требовали от злоумышленника владение разнообразными и по возможностью несовместимостью навыками преодоления СЗИ

l простота и управляемость АС.

l обеспечение всеобщей поддержки мер безопасности. Рекомендуется с самого начала предусмотреть комплекс мер, направленный на обеспечение лояльности персонала, грамотности персонала, на постоянное техническое и практическое обучение, так как у нас

Доп принципы:

l минимизация затрат

l обеспечение решения, требуемые совокупности задач защиты

l опртимизация архитектуры СЗИ

l удобство персонала, простота эксплуатации

 

Подсистемы СЗИ:

l криптографическая защита

l подсистема правового обеспечения СЗИ

l подсистема защиты от НСД

l подсистема контроля информации

l управления СЗИ

l организационной защиты

Управление СЗИ

Управление защитой это контроль за расперделение информации в ИС. Он осуществляется для обеспечения функционирования средств и механизмов защиты для фиксации выполняемых функций и состояний механизмов защиты и фиксации защиты, связанных с нарушениями защиты.

Рисунок(фото)

Анализ сохранности СЗИ основывается на постоянном изучени протоколов, проверки сигнализирующих устройств и контроля за всеми остальными системами СЗИ

Следует анализировать все возможные нарушения созранности и отыскивать средства борьбы с ними. Оценка эффективности СЗИ должна оводиться регулярно.

Административная группа управления защитой

Функции:

l Управление доступа пользователей системы к данным. То есть установка и смена паролей, управление средствами защиты коммуникаций и криптозащиты хранимых и обрабатываемых данных

l разработка защиты и контроля их соблюдением

l контроль за хранением резервных копий и их создание

l доведение до пользователей и изменение в области защиты, обучение персонала и пользователей системы

l сотрудничество со службой менеджмента и администрации ИС

l раследование причин нарушение защиты

l постоянная проверка организационной и правовой документации

Роли

l сотрудник группы безопасности. Он обеспечивает контроль за защитой данных и программ, помощь пользователю, поддержка групп управления защитой. Все это делается в зоне ответственности сотрудников.

l администратора безопасности системы. Функции, Поиск,Изучение и внедрение нововедений в области защиты. Контроль за выполнение планов непрерывной работы, восстановление системы после сбоев, хранение резервных копий

l администраторы безопасности БД. Реализации и изменение средств защиты данных, контроль за состоянием защиты наборов данных, уничтожение защиты в случае необходимости (контроль трех основных свойств информации: доступность, целосность, конфиденциальность).

l руководитель группы управления защитой. Координация деятельности сотрудников, ращработка и поддержка фиктивных мер защиты на всех уровнях обеспечения ИБ. Контроль за выполнением планов работы и обеспечение сотрудничества с другими подразделениямт организации

Настройка системы контроля

Три составляющие реализации политики безопасности

l настройка средств защиты. Необходимо для проведения средств защиты соответствие с разработанным планом. При добовления средств защиты необходимо уделить особое внимание совместимости с уже используемыми СИЗ

l управление системами защиты. Состоит в периодическом внесении изменений в БД защиты, сожержащие сведения о пользователях, допущенных к работе системы, их права доступа к различным объектам системы и др. Особое внимание необходимо уделить документированию внесения изменений в БД защиты и периодическому резервному копированию БД защиты

l контроль за функционированием ИС. Заключается в снижение безопасному событию, анализе причин и устранение последствий.

Реализация ПИБ

Общая рекомендация:

l оптимизация зранения и обработки информации. Информация должна быть организована так, чтобы было удобно работать, чтобы нельзя было подсоединяться лишним людям

l реализация принципов минимимума привилегий и что "надо знать". Каждый пользователь должен иметь настолько мало привилегий, насколько жто возможно без сущерба для работоспособности системы и организации.

l разделение ответственности между пользователями. Каждый пользователь должен нести персональную ответсвенность за свои действия. Действия пользователя должны быть как можно не зависимы. В любом случае нужно требовать средства контроля.

l контроль за наиболее ценной информацией. То есть информация которая представляет небольшую ценность надо более часто делать копи.

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...