Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Методы проектирования безопасности и мер и средств контроля и управления





Методы проектирования безопасности и меры и средства контроля и управления, связанные с сотрудниками, рассматриваются в таблице 3.


Таблица 3 - Меры и средства контроля и управления безопасности для сценария доступа сотрудников к Интернету

 

   
Применяемые свойства безопасности для идентифицированных угроз Реализуемые проекты и методы
Вирусные атаки и введение вредоносных программ
- Целостность - Управление доступом - Аутентификация - Предоставление сотрудникам Интернет-услуг, только соответствующих бизнесу. Использование черных списков авторизованных услуг, чтобы сделать возможной поправку в каналах чата, услугах веб-почты или одноранговых сетевых протоколах. - Использование антивирусных программ на пути доступа к Интернету для сканирования всего трафика от сотрудника до Интернета. Процесс сканирования должен включать в себя все сетевые протоколы, разрешенные к применению. Обеспечение уверенности в том, что антивирусные обновления устанавливаются автоматически, или пользователь предупреждается о факте проведения обновлений. - Использование антивирусного программного средства на всех клиентских системах, особенно на тех, которые используются сотрудниками для доступа к Интернету. - Сканирование файлов и всех хранимых данных на наличие вирусов и троянов, а также других видов вредоносных программ. - Верификация целостности данных/файлов с использованием алгоритмов, таких как хэширование/контрольные суммы, сертификаты. - Блокирование появляющихся окон и вэб-рекламы. - Маршрутизация трафика, используемого для услуг доступа к Интернету, посредством небольшого количества контролируемых шлюзов безопасности. - Активное установление подлинности содержания.
Утечка информации
- Безопасность связи - Целостность - Управление доступом   Речь идет об использовании протоколов ASS - Реализация фильтров для мобильного кода на шлюзах доступа к Интернету. - Прием мобильного кода только с некритичных сайтов, занесённых в белый список. - Прием мобильного кода, подписанного цифровой подписью, только от доверенных органов сертификации или от доверенных поставщиков, включая соответствующие параметры настройки на стороне клиента, например, путем осуществления активного управления и реализации белого списка разрешенных органов сертификации, подписывающих код.
Несанкционированное использование и доступ
- Управление доступом - Неотказуемость - Предоставление служащим только соответствующих бизнесу Интернет-услуг. Использование черных списков неавторизованных услуг, например, каналов обмена информацией (текстового диалога) в реальном времени, или услуг веб-почты. Реализация фильтров для неавторизованных протоколов, например, одноранговых сетевых протоколов. - Ограничения на использование услуг, которые беспрепятственно осуществляют передачу больших объемов данных. - Обеспечение уверенности в проведении надлежащей регистрации и мониторинга в отношении всех услуг, которые допускают возможность передачи данных через Интернет. - Четкое определение авторизованного и неавторизованного использования доступа к Интернету в специальной политике (см. примерную форму в приложении A). - Обеспечение уверенности в осведомленности пользователей посредством соответствующего уровня образования и профессиональной подготовки.
Ответственность за несоблюдение нормативов
- Неотказуемость Тоза что начальство может вас наказать - Использование записи событий, отметок времени. - Осведомленность и профессиональная подготовка пользователей.
Снижение доступности сети связи
- Целостность - Доступность   Только для пользователей которые должны пользоваться интеренетом пользуются интернетом, системы всякие HoneyPod? Firewall - Надлежащий менеджмент уязвимостей и исправления известных системных уязвимостей в рамках выделенного интервала времени, основанного на критичности уязвимости. - В центре внимания менеджмента уязвимостей должны быть все системы приема Интернет-трафика, либо на транспортном, либо на прикладном уровне, включая все системы, используемые с учетом шлюзов по направлению к Интернету, а также системы конечного пользователя, используемые для доступа к Интернет-услугам, особенно, если они используют операционную систему Windows. - Прерывание пропускной способности для потоковых мультимедийных средств (если только это разрешено политикой бизнеса). - Сети и системные ресурсы должны быть проверены (IDS, журналы регистрации, аудиты и т.д.) на предмет обнаружения системных событий, событий безопасности и операционных событий

Для установленной угрозы безопасности, каждое свойство безопасности рассматривается для применения с целью снижения риска, во втором столбце приведен соответствующий пример технической реализации. Например, целостность, контроль доступа и аутентификация применяются для защиты от вредоносного программного кода.

Услуги бизнес-бизнес

Исходные данные


Этот сценарий должны рассматривать организации, которые осуществляют транзакции с другими организациями, такими как изготовитель, оптовик, розничный торговец.

Обычно услуги бизнес-бизнес реализуются с помощью специально выделенных линий или сетевых сегментов. Интернет и связанные с ним технологии предоставляют больше возможностей, но также вводят новые угрозы безопасности, связанные с реализацией таких услуг. Развивающаяся модель электронной торговли бизнес-бизнес позволяет организациям вести бизнес через Интернет и сосредоточиться на приложениях, использующих Интернет, экстранет, или и то и другое, чтобы наладить партнерство в бизнесе, при котором организации известны друг другу и все пользователи, в отличие от сценария бизнес-клиент, регистрируются.

Обычно услуги бизнес-бизнес имеют свои собственные требования. Например, доступность и достоверность являются очень важными требованиями, поскольку часто организации напрямую зависят от действующих услуг бизнеса-бизнес.

При использовании Интернета в качестве базовой сетевой связи для реализации услуг бизнес-бизнес, такие требования как доступность и достоверность должны обрабатываться иначе, чем раньше. Проверенные подходы, такие как предполагаемое качество услуг, используемое, например, в сочетании с выделенным каналом связи, больше не работают. Новые риски безопасности должны быть уменьшены с помощью соответствующих методов проектирования и мер и средств контроля и управления. Основной упор делается на укрепление доверия между организациями, путем предотвращения несанкционированного доступа к данным и поддержки разделения систем бизнеса.

В нижеследующих пунктах описываются угрозы безопасности и рекомендации по методам проектирования безопасности, а также меры и средства контроля и управления, снижающие риски безопасности, как только для внутреннего, так и для внутреннего и внешнего использования.


Угрозы безопасности


Угрозы безопасности, связанные с услугами бизнес-бизнес, следующие:

- вирусные атаки и внедрение вредоносных программ:

- использование вредоносных программ приводит к проникновению в системы, ведущему к сбоям или несанкционированному доступу к конфиденциальной информации;

- уязвимости веб-браузеров или других веб-приложений могут быть использованы вредоносными программами, что приведет к заражению вирусом и установке троянов;

- атаки типа "отказ в обслуживании" (DoS) и "распределенный отказ в обслуживании" (DDoS - distributed denial of service) на порталы или расширенные сети услуг бизнес-бизнес;

- инсайдерские атаки с помощью авторизованных партнеров по бизнесу;

- фальсификация информационного наполнения транзакции (сообщения не передаются получателю или данные изменяются в процессе передачи).

 

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...