 |
Организация защиты веб ресурсов
|
|
|
|
Особенности: имеют доступ любой человек в интернете.
Проблемы:
l Логин и пароль
l антивирусы, файрволы
l ддд- дай дорогу дураку
Общие советы по защите веб ресурсов
l управление паролями. Создание сложных паролей и регулярная их смена
l хранение важной информации в безопасном месте
l удалять ненужные файлы и папки
l обновление программных продуктов
l контроль за сообщенрями об ошибках
l обработка данных форм
l резервное копирование
l выбор надежность хостинга
Дос атака
Большое количество запросов и сервре зависает
ддос осуществляется с несколько тысяч компов.
Nginx - это веб сервер, который защищает от дос атаки.
Политка ИБ и системы защиты информации
ПИБ это совокупность законов, правил, практических рекомендаций и практического опыта, определяющие управленческие и проектные решения в области защиты информации. На основе пиб строится упрввление, защита и распределение критичной инфы в системе.
ПИБ должна захватывать все особенности процесса обработки информации.
Принципы ПИБ:
l невозможность миновать защитные средства, то есть все информац потоки через СЗИ, не должно быть тайных и тестовых ходов в обзод защиты
l усиление самого слабого звена. Надежность любой СЗИ определяется самым слабым звеном. Очень часто оказывается человек и проблем инф без приобретает не технический характер
l не допустимость переходов в открытое состояние. В любых обстоятельствах, в том числе не штатных СЗИ либо полность выполняет функции, либо полностью блокирует доступ.
l минимизация привилегий. Всем пользователям АС выделяются только те права доступа, которые необходимы им для выполнения служебной обязанности
|
|
|
l распределение обязанностей. Один человек не может нарушить критически важный для организации процесс. Один человек не может нарушить крит важный для организации процесс
l многоуровневая защита. Не следует полагаться на один защитный рубеж, каким бы надежным он не казался
l разнообразие защитных средств. Необходимо организовывать по своему характеру рубежи, которые требовали от злоумышленника владение разнообразными и по возможностью несовместимостью навыками преодоления СЗИ
l простота и управляемость АС.
l обеспечение всеобщей поддержки мер безопасности. Рекомендуется с самого начала предусмотреть комплекс мер, направленный на обеспечение лояльности персонала, грамотности персонала, на постоянное техническое и практическое обучение, так как у нас
Доп принципы:
l минимизация затрат
l обеспечение решения, требуемые совокупности задач защиты
l опртимизация архитектуры СЗИ
l удобство персонала, простота эксплуатации
Подсистемы СЗИ:
l криптографическая защита
l подсистема правового обеспечения СЗИ
l подсистема защиты от НСД
l подсистема контроля информации
l управления СЗИ
l организационной защиты
Управление СЗИ
Управление защитой это контроль за расперделение информации в ИС. Он осуществляется для обеспечения функционирования средств и механизмов защиты для фиксации выполняемых функций и состояний механизмов защиты и фиксации защиты, связанных с нарушениями защиты.
Рисунок(фото)
Анализ сохранности СЗИ основывается на постоянном изучени протоколов, проверки сигнализирующих устройств и контроля за всеми остальными системами СЗИ
Следует анализировать все возможные нарушения созранности и отыскивать средства борьбы с ними. Оценка эффективности СЗИ должна оводиться регулярно.
Административная группа управления защитой
Функции:
l Управление доступа пользователей системы к данным. То есть установка и смена паролей, управление средствами защиты коммуникаций и криптозащиты хранимых и обрабатываемых данных
|
|
|
l разработка защиты и контроля их соблюдением
l контроль за хранением резервных копий и их создание
l доведение до пользователей и изменение в области защиты, обучение персонала и пользователей системы
l сотрудничество со службой менеджмента и администрации ИС
l раследование причин нарушение защиты
l постоянная проверка организационной и правовой документации
Роли
l сотрудник группы безопасности. Он обеспечивает контроль за защитой данных и программ, помощь пользователю, поддержка групп управления защитой. Все это делается в зоне ответственности сотрудников.
l администратора безопасности системы. Функции, Поиск,Изучение и внедрение нововедений в области защиты. Контроль за выполнение планов непрерывной работы, восстановление системы после сбоев, хранение резервных копий
l администраторы безопасности БД. Реализации и изменение средств защиты данных, контроль за состоянием защиты наборов данных, уничтожение защиты в случае необходимости (контроль трех основных свойств информации: доступность, целосность, конфиденциальность).
l руководитель группы управления защитой. Координация деятельности сотрудников, ращработка и поддержка фиктивных мер защиты на всех уровнях обеспечения ИБ. Контроль за выполнением планов работы и обеспечение сотрудничества с другими подразделениямт организации
Настройка системы контроля
Три составляющие реализации политики безопасности
l настройка средств защиты. Необходимо для проведения средств защиты соответствие с разработанным планом. При добовления средств защиты необходимо уделить особое внимание совместимости с уже используемыми СИЗ
l управление системами защиты. Состоит в периодическом внесении изменений в БД защиты, сожержащие сведения о пользователях, допущенных к работе системы, их права доступа к различным объектам системы и др. Особое внимание необходимо уделить документированию внесения изменений в БД защиты и периодическому резервному копированию БД защиты
l контроль за функционированием ИС. Заключается в снижение безопасному событию, анализе причин и устранение последствий.
|
|
|
Реализация ПИБ
Общая рекомендация:
l оптимизация зранения и обработки информации. Информация должна быть организована так, чтобы было удобно работать, чтобы нельзя было подсоединяться лишним людям
l реализация принципов минимимума привилегий и что "надо знать". Каждый пользователь должен иметь настолько мало привилегий, насколько жто возможно без сущерба для работоспособности системы и организации.
l разделение ответственности между пользователями. Каждый пользователь должен нести персональную ответсвенность за свои действия. Действия пользователя должны быть как можно не зависимы. В любом случае нужно требовать средства контроля.
l контроль за наиболее ценной информацией. То есть информация которая представляет небольшую ценность надо более часто делать копи.
|
|
|
