UDC 004.056
大学の企業ネットワークの情報セキュリティ
O.M.プロタリンスキー、I.M.アズムハメドフ
大学における情報セキュリティ確保の具体的な内容が明らかになった。 脅威、その原因、リスクの分析が行われました。 情報保護の境界と統合情報セキュリティシステムの構造を検討します。
キーワード: 情報セキュリティ、大学、セキュリティの脅威、情報保護。
一般的な情報化と情報技術の発展という現代の状況において、情報分野におけるロシア連邦の国家安全保障に対する脅威は増大している。
情報領域に関連したロシア連邦の国家安全保障の概念は、ロシア連邦の情報セキュリティ原則 (IS) によって策定されています。
この原則は、ロシア連邦の情報セキュリティを確保することが、ロシア連邦の国家安全保障を確保する上で重要な役割を果たすと述べています。 同時に、ロシア連邦における情報セキュリティ分野における国家政策の優先方向の一つは、情報セキュリティ分野における人材研修の改善と教育の発展である。 大学はこれらの問題の解決において特別な役割を果たします。
ロシアの高等教育は、情報社会の客観的プロセスだけでなく、競争の多様な現れを伴う新たな社会政治的状況にも適応する時期を迎えている。
現代の状況において高等教育システムの情報リソースを管理するための効果的なメカニズムを構築することは、科学的根拠と、以下の課題の解決に基づいて形成できるバランスの取れた大学情報セキュリティ ポリシーの実際的な実施なしには不可能です。
ロシア工科大学の主な活動のすべての分野における情報相互作用(II)プロセスの分析:情報の流れ、その規模と質、矛盾、所有者とライバルの特定との競争。
IW の定性的かつ単純な定量的 (数学的) 記述の開発。
情報交換の公開性、安全性、公平性に関する定量的な指標と基準の導入。
情報の公開性と機密性のバランスの必要性と重要性に関するシナリオの開発。
大学の情報リソースの管理における情報セキュリティポリシーの役割と位置付けを決定し、一貫した原則とアプローチを開発する。
ポリシーの主要な構成要素の策定: 情報セキュリティを確保するための目標、目的、原則および主要分野。
情報セキュリティポリシーを確保するプロセスを管理するための基本的な手法の開発。
規制文書草案の準備。
教育機関の特殊性
現代の大学は、教育プロセスだけでなく、研究開発、学生や職員の個人データ、公式情報、商業情報、その他の機密情報に関連する膨大な数のさまざまなデータを保存および処理しています。
ハイテク分野における犯罪の増加により、教育機関のコンピュータ ネットワークのリソース保護の要件が決定され、独自の統合セキュリティ システムを構築するという課題が生じています。 その解決策は、規制の枠組みの存在、セキュリティ概念の形成、安全な作業のための対策、計画および手順の開発、教育機関内での情報セキュリティ (IS) の技術的手段の設計、実装および保守を前提としています。 これらのコンポーネントは、大学における情報セキュリティを確保するための統一的なポリシーを決定します。
教育システムにおける情報保護の特殊性は、大学が気まぐれな聴衆を抱える公的機関であると同時に、「初心者サイバー犯罪者」の活動が活発化する場所でもあるということです。
ここでの潜在的な違反者の主なグループは学生であり、彼らの中にはかなり高いレベルの訓練を受けている人もいます。
き。 年齢 - 18 歳から 23 歳 - と若々しいマキシマリズムは、そのような人々に他の学生の前で自分の知識を「披露」することを奨励します。ウイルスの蔓延を引き起こし、管理アクセスを取得して教師を「罰」し、インターネットへのアクセスをブロックします。最初のコンピューター犯罪 (Morris ワーム) が大学で生まれたことを覚えておくだけで十分です。
情報化の対象としての大学の特性は、その活動の学際的な性質、教育活動の形式と方法の豊富さ、インフラストラクチャー(支店、駐在員事務所)の空間的分布にも関連しています。 これには、さまざまな資金源、補助部門とサービス(建設、生産、経済活動)の発展した構造の存在、変化する教育サービス市場に適応する必要性、労働市場を分析する必要性も含まれます。一般に受け入れられているビジネスプロセスの形式化の欠如、上位組織との電子的なやり取りの必要性、従業員と研修生のステータスの頻繁な変更。
同時に、大学が管理機能の点で安定した階層的なシステムであり、生活に必要なすべての条件を備え、集中管理の原則に基づいて運営されているという事実によって、この問題はいくぶん緩和される(後者は管理機能を意味する)。情報化タスクの管理にリソースを積極的に使用できます)。
上記の機能を使用するには、次の要件に準拠する必要があります。
ソフトウェアおよびハードウェア ソリューションのコンセプトからサポートに至るまで、情報セキュリティ タスクの包括的な開発。
業務プロセスの内容を熟知した専門家が多数集まること。
企業アプリケーションのモジュール構造を使用し、各モジュールが相互接続されたビジネス手順または情報サービスのグループをカバーすると同時に、統一されたセキュリティ要件を確保します。
情報セキュリティ問題を解決するための合理的な一連の段階の適用。
標準の賢明な適用に基づいて開発を文書化し、確実に成功するシステムを作成します。
必要なレベルのセキュリティを提供する、信頼性が高くスケーラブルなハードウェアとソフトウェアのプラットフォームとテクノロジーをさまざまな目的に使用すること。
アーキテクチャの観点から見ると、企業情報環境は次の 3 つのレベルに区別できます。
ニャ、安全な操作を確保するには、さまざまなアプローチを使用する必要があります。
コンピュータネットワーク、チャネルおよびデータライン、ユーザーワークステーション、データストレージシステム用の機器。
オペレーティング システム、ネットワーク サービスおよびリソースへのアクセスを管理するサービス、中間層ソフトウェア。
アプリケーション ソフトウェア、情報サービス、ユーザー指向の環境。 総合情報を作成する場合
ネットワーク (CIS) では、選択したソリューションまたはテクノロジーのセキュリティ要件をレベル間で調整する必要があります。 したがって、第 2 レベルでは、多くの大学の CIS アーキテクチャは、異なる動作環境を持つ異種の緩やかに接続されたサブシステムで構成されており、1P アドレスの割り当てまたはメッセージングのレベルでのみ相互に調整されます。 CIS のシステム組織が貧弱である理由は、承認されたアーキテクチャが存在しないことと、技術開発を担当する複数のセンターが調整されていないことです。 問題は、主要なテクノロジーに関する決定が完全に分散化され、システム セキュリティのレベルが大幅に低下する場合、各部門でオペレーティング環境の選択を管理することに消極的なことから始まります。
情報技術 (IT) の開発に対する明確な戦略、情報インフラストラクチャの統一要件、情報セキュリティ ポリシー、および CIS の主要コンポーネントに対する承認された規制を備えている大学は、通常、管理における強力な管理の中核と大学の高い権限によって区別されます。 ITサービスの責任者。
もちろん、そのような大学は異なるオペレーティング環境や中間層システムを使用する可能性がありますが、これは組織的、技術的、または経済的な理由によるものであり、大学の CIS の展開と情報リソースへの安全なアクセスの統一原則の導入を妨げるものではありません。 。
3 レベルの大学における CIS アーキテクチャの開発状況は次のように特徴づけられます。 別個のビジネス プロセスを自動化し、ローカル データ セットに依存するローカル ソフトウェア アプリケーションから、ユーザーに情報を提供する企業のクライアント サーバー情報システム (IS) への移行。運用データベースへのアクセスは、大学のデータの大部分が完了しています。 さまざまな情報システムによって生成されたデータを統合するという問題は、何らかの形で解決され、ビジネスプロセスの改善、経営および意思決定の品質の向上が可能になりました。
4 _ センサーとシステム No. 5.2009
1990年代初頭だったら。 会計ソフトウェアおよび管理会計ソフトウェア (人事、レポートなど) に対する需要は高かったのですが、現在ではこの需要はほぼ満たされています。 現在、教育機関の活動に関する信頼できるデータを管理者だけでなく、すべての教師や学生に提供することが課題となっており、CIS 内を流通するデータを効果的に管理することが課題となっています。このようなネットワークにおける情報セキュリティはさらに緊急です。
大学の企業ネットワークの情報セキュリティ
教育プロセスと大学管理システムへのインターネットと新しい情報技術の積極的な導入により、企業ネットワークの出現の前提条件が生まれました。
大学の企業ネットワークは、大学の運営や教育活動の課題を解決するために設計されたコンピュータ、サーバー、ネットワーク機器、通信、通信などの情報システムとソフトウェアシステムです。 企業ネットワークは通常、大学の構造部門だけでなく、地方事務所も統合します。 以前は大学がこれらのネットワークにアクセスできませんでしたが、今日では、インターネットの大幅な普及とそのアクセスのしやすさにより、これらのネットワークが教育組織に積極的に導入され始めています。
総合的な大学情報セキュリティシステムとは、大学の社内ネットワークや大学のネットワーク上のサーバーに含まれる情報を保存、制限し、アクセスを許可するためのシステムです。
記事ビジネスコンサルタント シスコ情報セキュリティについて アレクセイ・ルカツキー
今日、インターネットの普及と通信の急速な発展により、学生の期待と教育機関が学生に提供できるものとのギャップが非常に顕著になってきています。 教育における仕事の方法は、社会の変化や技術の発展に応じて常に進化する必要があります。 同時に、教育資料やその他の制限された情報、さらには IT インフラストラクチャ自体をランダムな攻撃や標的型攻撃から保護することが最も重要です。
最新の情報セキュリティ (IS) テクノロジーは、教育機関が次の主要分野で既存の問題を解決するのに役立ちます。
- 世界中のどこからでも教材やシステムへの安全なアクセスを組織する;
- アクセス制限情報(個人データ、企業秘密など)の保護および知的財産の保護。
- 情報セキュリティ分野における法的要件の遵守(個人データの保護、知的財産権の保護、ネガティブな情報からの子供の保護)。
問題 #1: 異なるユーザー グループ
現代の大学とそのネットワークは、さまざまなユーザー グループの関心とデータが衝突する異種環境です。 大学のネットワークには、さまざまな情報セキュリティ要件を持つ次のカテゴリのユーザーが含まれる場合があります。大学生と交換学生。 教師と行政。 大学入学前の準備コースに参加する学童。 追加の収入源を得るために大学が提供する有料コースや高度なトレーニングコースの訪問者、および研究開発分野などで大学に商業的な注文を提供する組織の代表者。
問題点2: アクセス方法の変革と「Any Device」の概念
従来の大学キャンパス ネットワークの境界があいまいになり続け、大学環境が徐々にその境界を失いつつある中、スマートフォン、タブレット、その他のエンド デバイス、Web アプリケーションは教育プロセスを不可逆的に変化させ、世界中のどこからでも教材にアクセスする機会を提供しています。 - 大学の教室、寮、個人の自宅、大学のキャンパス、学生が経験を交換するために通う別の大学など。 シスコの「Any Device」哲学は、共通かつ予測可能なエクスペリエンスを維持しながら、キャンパス ユーザのデバイス選択の自由を拡大するように設計されています。 これらすべてが、教育機関の競争力、生産性、安全性のレベルを維持、さらには向上させます。
同時に、「Any Device」の概念を実装すると、解決する必要のある情報セキュリティの問題が数多く発生します。 この場合、次のことを確認する必要があります。
- ネットワーク加入者デバイス: デスクトップ コンピュータ (ワークステーションまたはワークステーション)、ラップトップ (モバイル ワークステーション)、モバイル デバイス (Android および iOS を実行しているタブレット PC)、ネットワーク プリンタ、および IP 電話の大学ネットワークへの不正接続を防止します。
- 現在の情報セキュリティ ポリシーの要件と推奨事項を遵守するとともに、大学のネットワークに接続されているモバイル デバイスが現在の情報セキュリティ ポリシーに準拠しているかどうかをリモートで監視できることを確認します。
- さらに、大学の加入者デバイスを接続するためのゲスト ゾーンとアクセス制限ゾーンを割り当てるために、既存のインフラストラクチャ (ネットワークの既存のセグメントへの分割) を変更することなく、大学ネットワークのセキュリティ ゾーンへの論理分割の構成を確保する必要があります。さまざまなユーザー グループだけでなく、Android および iOS OS を実行するモバイル デバイス (タブレット PC) ユーザーも含まれます。
問題その 3: 情報システムと制限された情報の保護
現代の大学は、保護が必要なさまざまな情報の宝庫です。 これは次のことについてです。
· 学生、教師、管理者およびその他のカテゴリーのユーザーの個人データ。
· 大学の企業秘密を構成し、より質の高い教育および教育プログラム、およびより進歩的な教育方法の提供の分野において他の大学に先んじることを可能にする情報。
· 大学によって開発された教育資料。そのアクセスは制限または管理されなければなりません。 それらは知的財産を構成します。
· 大学が取得したソフトウェアまたはライセンス。これらが盗まれると、競争における教育機関の立場が悪化したり、刑事責任や行政責任が問われる可能性があります。
· 最後に、大学が商業顧客または政府顧客の要請に応じて実施できる研究開発プロジェクトの結果は保護の対象となります。
アクセスが制限された情報を保護することに加えて、教育プロセス情報システムのセキュリティも確保する必要があります。 これらのシステムを偶発的または意図的に無効にすると、学習プロセスが中断され、契約条件に違反する可能性があります (有料トレーニングまたはさまざまな研究開発の実施の場合)。
問題 #4: 法的制限
情報セキュリティシステムは、大学に競争上の優位性をもたらす情報システムや情報を保護するだけでなく、さまざまな国民や組織の権利と利益を保護することを目的とした法的取り組みを可能にするものでなければなりません。 大学が遵守する義務がある規則には主に次のようなものがあります。
- 2006 年 7 月 27 日連邦法第 152-FZ「個人データについて」。
- 2012 年 7 月 28 日連邦法 No. 139-FZ 「健康と発達に有害な情報からの児童の保護に関する連邦法の改正」および違法情報へのアクセス制限に関するロシア連邦の特定の立法についてインターネット上の情報」。
- 2013 年 7 月 2 日連邦法 No. 187-FZ 「情報通信ネットワークにおける知的権利の保護に関するロシア連邦立法改正について」。
問題その5: 脅威の数の増加
ネットワーク セキュリティの脅威の状況は常に進化しています。 その中で主導的な地位を占めているのは、特別に書かれた隠れた脅威であり、従来の方法や保護手段をますます克服できるようになってきています。 これらの脅威は、コア レベル、ディストリビューション レベル、ユーザー アクセス レベルまでネットワークに侵入し、脅威の保護と可視性は最小限のレベルになります。 そこから、これらの脅威はターゲット、つまり大学内の特定のリソースや特定の人々を簡単に選択します。 現代のサイバー脅威の目的は、名声や栄光を獲得したり、収益性の高いボットネットを作成したりすることではなく、競争上の優位性を達成するために知的財産や企業秘密、その他の機密を捕捉して盗むことです。
シスコの情報セキュリティ ソリューション
Cisco SecureX Architecture™ は、柔軟なソリューション、製品、サービスを組み合わせて、現代の大学の分散ネットワーク全体にわたって一貫したビジネス ポリシーを策定および実装する次世代のセキュリティ アーキテクチャです。 Cisco SecureX アーキテクチャは、グローバルな脅威インテリジェンスとコンテキストを組み合わせて、モバイル性の高いユーザの増加などの固有のセキュリティ課題に対処します。拡大 さまざまなネットワーク対応モバイル デバイス、またはクラウド インフラストラクチャとサービスへの移行。
Cisco SecureX は今日のエッジツーエッジ ネットワークのニーズを満たし、いつでも、どこでも、あらゆるデバイス上のあらゆるユーザに強力なセキュリティを提供します。 この新しいセキュリティ アーキテクチャでは、誰が、何を、どこで、いつ、どのようにして状況の完全なコンテキストを「理解」する高レベルのポリシー言語を使用します。 セキュリティ ポリシーの分散実装のおかげで、保護プロセスは地球上のどこにいてもエンド ユーザーの職場に近づくため、各デバイスやユーザーを保護するだけでなく、必要に応じて脅威をできるだけ近くに特定することもできます。その源まで可能です。
Cisco SecureX に含まれるソリューションは、情報セキュリティの分野で認可されたロシア政府当局の要件に準拠しており、セキュリティ要件に対して 600 を超える異なる FSTEC および FSB 証明書を備えています。
専門家から材料についてすぐに学びたいシスコ 「ブログ」欄に掲載しましたシスコ 。 ロシア/CIS」ページを購読する必要がありますhttp://gblogs.cisco.com/en.
タグ: 情報セキュリティ、情報セキュリティ、教育、大学、Cisco SecureX アーキテクチャ、知的財産。
あなたの優れた成果をナレッジベースに送信するのは簡単です。 以下のフォームをご利用ください
研究や仕事でナレッジベースを使用している学生、大学院生、若い科学者の皆様には、大変感謝していることでしょう。
ポストする http://www.allbest.ru
- 導入
- 関連性
- 1. 企業情報システムの学習
- 1.1. 企業の説明
- 1.2. ハードウェアとソフトウェアの構成とネットワーク構成
- 1.3. 情報の流れの分析
- 1.4. 情報リソースの分析
- 1.5. オブジェクトの物理的セキュリティ (セキュリティ)
- 2. 脅威モデルの分析と開発
- 2.1. セキュリティの脅威と脆弱性の原因の分類と分析
- 2.2. 侵入者モデル
- 2.3. 情報システムに対する現在の脅威の特定
- 2.4. 情報システムのセキュリティ クラスの決定
- 3. 情報セキュリティシステムモデルの開発
- 3.1. 標準および既存のポリシーへの準拠に関する分析
- 3.2. 情報セキュリティポリシーの策定
- 4. 一次認可ポータルの開発
- 4.2. ポータルの機能要件
- 4.3. ポータル開発
- 結論
- 参考文献
- 応用
導入
情報リソースのセキュリティの確保は多くの機関で長い間議論されており、情報技術の発展とともに自動化システムの開発が進められてきました。 効果的な情報セキュリティ システムにより、情報に関連するリスクを最小限に抑え、企業の情報フローの安定した運用に貢献します。
高等教育機関などの政府機関のセキュリティにも、高度な情報セキュリティが必要です。
大学の情報資産には、教育活動やさまざまなアクセスレベルを持つ職員の活動に関する膨大な情報が含まれています。 大学の職員や学生も、情報へのアクセス権が異なる人の好例です。 したがって、大学の情報セキュリティを確保するための効果的な一連の対策を開発することが決定されました。
この論文の目標は、ニジニ ノヴゴロド州立建築土木大学の例を使用して、大学の情報セキュリティを確保することを目的とした一連の対策を開発することです。 情報セキュリティの脅威
論文の研究対象は、ニジニ・ノヴゴロド州立建築・土木大学の情報セキュリティ保護システムです。
論文は 4 つの章から構成されています。 最初の章では、組織の情報システム、情報リソースの分析、および技術的手段について説明します。 第 2 章では、システムに対する潜在的な脅威が分析され、侵入者のモデルが特定されます。 第 3 章では、情報セキュリティポリシーが策定されます。 第 4 章には、説明ノートの形式で、プライマリ認証ポータルを実装するプロセスが含まれています。
関連性
社会の発展の現段階において、情報技術は社会に不可欠な部分を占めています。 情報は、世界社会の社会経済的、技術的、科学的進歩の主要な手段の 1 つとなっています。 情報技術の発展と情報空間の拡大により、この分野における攻撃や違反のレベルはますます増加しており、情報セキュリティの問題の関連性がますます高まっています。 情報セキュリティとは、情報の所有者やユーザーに損害を与える可能性のある、自然または人為的な偶発的または意図的な影響から情報とそのサポート インフラストラクチャのセキュリティ状態を指します。
情報セキュリティの確保は、企業が安定して機能するための重要な要素の 1 つです。 今日、情報の機密性、完全性、可用性はビジネス継続性の重要な側面であるため、情報セキュリティの問題に焦点を当てる組織が増えています。 したがって、効果的で統合された情報セキュリティ システムが必要とされています。
多くの場合、組織は情報システムを構築する際、ハードウェアおよびソフトウェアの保護レベルでのみ情報資産を保護しようと努めます。 しかし、このレベルのセキュリティは効果がなく、情報セキュリティ分野の規則や規制によってサポートされる必要があります。
組織におけるセキュリティ システムの準備と導入は、情報セキュリティ分野の既存の法律と規制要件に基づいて実行する必要があります。 主要文書はロシア連邦憲法で、同憲法によれば「個人の私生活に関する情報を本人の同意なく収集、保管、使用、配布することは認められていない」と定められている。
情報セキュリティ分野のその他の基本文書には、2006 年 7 月 27 日付けの連邦法 No. 149-FZ「情報、情報技術および情報保護について」があり、これによれば、不正アクセスから情報を確実に保護する必要があります。データの変更、破壊、コピー、配布。 2006 年 7 月 27 日の連邦法第 152-FZ 号「個人データについて」は、自動システムを使用した政府機関による個人データの処理に関連する行為を規制しています。
また、情報を公式機密として分類する手順、公式機密の制度および手順を規定するロシア連邦法「国家機密」およびロシア連邦法「商業機密」も考慮する必要があります。公式データを公開するため。 また、情報の機密性のレベルが形成される法律も多数あります (「機密情報のリストの承認について」、「国家機密として分類される情報のリストの承認について」、「国家機密として分類される情報のリストの承認について」、「国家機密として分類される情報のリストの承認について」商業秘密に該当しない情報のリスト」)。
一般に、ロシア連邦の法的枠組みは、機密データの保管と使用を考慮しておらず、完全に規制していません。
手順およびハードウェア/ソフトウェア レベルでセキュリティを確保するための主な規制は、標準と仕様です。 これらのドキュメントには、実績のある高品質のセキュリティ手法とツールが含まれています。
標準に従って、情報システム オブジェクトのセキュリティの確保は次の段階で構成される必要があります。
– 情報セキュリティを確保するという目標を強調する。
– 効果的な管理システムを設計する。
– 設定された目標の遵守状況の分析と評価。
– セキュリティの初期状態の分析。
ISO 15408: 情報技術セキュリティ評価標準には、ソフトウェアおよびハードウェア レベルのセキュリティに関する最も包括的な基準が含まれています。 一般基準は、安全機能の要件を確立します。 この規格では、ソフトウェアおよびハードウェア レベルの保護に加えて、組織レベルのセキュリティ方法と物理的保護に関するいくつかの要件について説明しています。 この規格は次の 3 つの部分で構成されています。
– 最初の部分には、情報技術のセキュリティを評価するための概念的な装置、モデルの提示、および方法論が含まれます。
– 2 番目の部分には、ハードウェアとソフトウェアの機能の要件が直接含まれています。
– 3 番目の部分には、セキュリティ保証の要件が含まれます。
ISO 17799: 情報セキュリティ管理の実践規範は、最も包括的な組織レベルの基準を提供します。
この規格には、管理的、手続き的、物理的な保護を考慮した、組織レベルのセキュリティ実践を評価するための最も効果的な情報セキュリティ管理ルールと基準が含まれています。 この規格には次のセクションが含まれています。
- セキュリティポリシー;
– 情報セキュリティの組織。
- 資源管理;
– 人的資源の安全。
– 物理的なセキュリティ。
- アクセス制御;
– 情報システムの管理。
– 情報システムの開発と保守。
– 継続的な作業の計画。
– 安全要件の遵守を監視する。
ロシア連邦国家技術委員会の指導文書「情報技術のセキュリティを評価するための基準」。 この文書は GOST R ISO/IEC 15408-2002 に従って作成されており、その実用性が保証されています。 RD の主な目標は、情報システムのセキュリティと必要な機能の使用を確保するための包括的な方法を実装することです。 有効性とコストのバランスを維持しながら、起こり得る脅威に対応するセキュリティ システムを設計することを目的としています。
ロシア連邦国家技術委員会の指導文書「自動化システム。 情報への不正アクセスからの保護。 自動化システムの分類と情報保護の要件。」 この RD は AS の分類を定義し、クラスに従って、可能なサブシステムの要件を決定します。
ロシア連邦国家技術委員会の指導文書「コンピュータ設備。 ファイアウォール。 情報への不正アクセスからの保護。 情報への不正アクセスに対するセキュリティの指標。」 外国の類似品が存在しない最初の RD。 この RD の主なアイデアは、データ フローをフィルタリングする OSI ネットワーク モデルに従ってファイアウォールを分類することです。
現在、セキュリティシステム導入の分野では「ベストプラクティス」という概念が登場しています。 「ベスト プラクティス」とは、最良のセキュリティ手順、ツール、ガイドライン、標準を反映したセキュリティ ポリシーであり、セキュリティ システムの開発の参考として使用できます。 Microsoft、IBM、Symantec などの企業のポリシーは、参照標準とみなされます。
1. シマンテックのポリシー
シマンテックの専門家らは、効果的なセキュリティ システムの基礎となるのは、セキュリティ ポリシー、国際標準、セキュリティ手順と指標の説明などを含む管理文書であると主張しています。 これらのガイダンス文書はすべて、次の 3 つの基本的な質問に答えることができます。
なぜ情報を保護する必要があるのですか?
安全を確保するには何をする必要がありますか?
必要に応じてポリシーを実装するにはどうすればよいですか?
包括的なセキュリティ システムの開発には、次の段階が含まれる必要があります。
– 情報資産の分析。
– 潜在的な脅威の特定。
– セキュリティリスクの分析と評価。
– 安全性を確保する責任者の任命。
– 基準、ガイドライン、手順に従った包括的なシステムの構築。
– セキュリティシステム管理。
2.マイクロソフトのポリシー
Microsoft の情報ポリシー戦略には、次の 4 つの主要な要素が含まれています。
– 企業の情報セキュリティを確保するという目標。
– システムの安全基準
– 意思決定スキーム(リスク分析の結果に基づく)
– リスクを最小限に抑えるための行動の特定。
セキュリティ ポリシーの開発プロセスは、次の 4 つのカテゴリに分類されます。
– 組織的(情報セキュリティ分野における従業員の意識の向上と知識の拡大、および管理のサポートを目的としています)。
– データとユーザー (認可、個人データ保護、認証などの保護手段を含む)。
– システム開発(安全なシステムの開発、攻撃対象領域の削減、使いやすさの確保)。
– サポート(システムの定期的な監視と記録、インシデントへの対応)。
当社は、セキュリティレベルを維持するために、情報リスクコントロール(リスクの特定、評価、最小化)を実施します。 このアプローチにより、要件と保護方法の間でバランスをとることができます。
3.IBMのポリシー
IBM の専門家は、セキュリティ システムを構築する際の 4 つの主要な段階を特定します。
– 情報リスクとそれに対抗する方法の特定。
– 会社の任務と目標に従った資産保護措置の説明。
– インシデント発生時の行動の説明。
– 残留リスクの分析と安全方法への追加投資に関する意思決定。
「守るべきものは何なのか?」という問いへの答え。 - IBM の戦略に従った、情報セキュリティー・ポリシーの主要な側面。 ポリシーは、将来の変更を最小限に抑えることを目標にして作成する必要があります。 効果的なセキュリティ ポリシーには次のものが含まれている必要があります。
– 情報セキュリティを確保するための目標と目的。
– 安全基準および法律との相互作用。
– 情報セキュリティ問題に関する知識を拡大する。
– ウイルス攻撃の検出と排除。
– ビジネス継続性を確保する。
– 職員の役割と責任を確立する。
– セキュリティインシデントのログ記録。
次に、企業のリスクを分析するためのルール、推奨される方法や保護手段の説明などを含む文書を作成するプロセスが続きます。 ドキュメントは、現在の脆弱性や脅威に応じて変更される可能性があります。
ただし、法的根拠に加えて、オブジェクトのセキュリティを確保するための情報セキュリティ システムとその機能は、以下の原則に従って実装されなければなりません。
– 正当性(情報セキュリティシステムの構築および法令や規制に反しない保護措置の実施)。
– 複雑さ(開発された保護システムは、手法の包括的な実装を提供し、技術レベルおよび組織レベルでの情報リソースの保護を保証し、脅威を実装する可能性のある方法を防ぎます)。
– 永続性 (オブジェクトを継続的に保護します)。
– 進歩性(テクノロジーや攻撃方法の発展に応じて、防御手段や方法が継続的に開発されていることを意味します)。
– 合理性(費用対効果が高く効果的な保護手段の使用)。
– 責任(各従業員は、自分の権限の範囲内で安全を確保する責任があります)。
– 制御(保護の提供と脅威のタイムリーな特定に対する継続的な制御が含まれます)。
– 既存のセキュリティ システムの使用 (設計されたシステムは、標準のハードウェアとソフトウェアを使用して、既存のシステムに基づいて作成されます)。
– 国産のハードウェアおよびソフトウェア保護コンポーネントの使用(セキュリティ システムの設計により、国内の技術的保護手段が優先されます)。
– 段階的(セキュリティ システムの設計を段階的に行うことが望ましい)。
既存の情報セキュリティ ポリシーと標準を分析した結果、適切なレベルの情報セキュリティを確保するには、ソフトウェアの機能、セキュリティ ポリシー、方法、組織構造を含む一連の対策が必要であると主張できます。 これおよび主な目標に従って、次のタスクを完了する必要があります。
– ニジニ・ノヴゴロド州立建築・土木大学の初期情報と組織構造を研究する。
– ソース情報システムの分析結果に基づいて、情報セキュリティの特定の脅威と脆弱性を特定します。
– オブジェクトの初期セキュリティのレベルとクラスを決定します。
– 現在の脅威を特定する。
– 侵入者のモデルを作成します。
– 元のシステムを安全規格の要件と比較します。
– セキュリティポリシーを策定し、情報セキュリティを確保するための措置を決定します。
上記の目標と目的を達成することで、法的要件と情報セキュリティ基準を満たす効果的な企業情報セキュリティ システムを構築することができます。
1. 企業情報システムの学習
1.1. 企業の説明
組織の正式名称 : 連邦州高等専門教育予算教育機関「ニジニ・ノヴゴロド州立建築・土木大学」。
略称: NNGASU、連邦州高等専門教育機関「ニジニ・ノヴゴロド州立建築・土木大学」。
英語での正式名: ニジニ ノヴゴロド州立建築土木大学。
英語での略称:NNGASU。
大学の所在地: 603950、ニジニ・ノヴゴロド地域、ニジニ・ノヴゴロド、st. イリンスカヤ、65歳。
大学の創設者はロシア連邦です。 大学の創設者の職務と権限は、ロシア連邦教育科学省によって行われます。
創設者の所在地: 125993、Moscow、st. トヴェルスカヤ、11歳。
学長 - アンドレイ・アレクサンドロヴィチ・ラプシン
FSBEI HPE「ニジニ・ノヴゴロド州立建築土木大学」は、ニジニ・ノヴゴロド国立建築・土木工学大学の成果をもとに学生の教育レベルを向上させ、地域、産業、ロシアの経済・社会環境の発展を目的として設立された非営利団体です。科学、イノベーション、テクノロジー。
連邦国家高等専門教育予算教育機関「ニジニ・ノヴゴロド州立建築・土木大学」の主な活動:
· 現代の教育基準と科学的研究に基づいて、ロシアおよび国際労働市場で競争力のある建設および関連産業の専門家の訓練。
· 国の経済の実際の分野に関わる競争に耐えられる科学的可能性を確保する。
・従業員や学生の自己実現、職業的成長に必要な条件の整備と改善。
・ロシアおよび国際レベルでの大学間協力の発展と国際舞台における地位の強化。
大学の運営全般は学術会議によって行われ、学術会議には学長(学術会議会長)、副学長、学部長(学術会議の決定による)が含まれます。 また、大学の組織構造には、学部、センター、学部、その他の部門が含まれます。 詳細な組織構造を図 1 に示します。
図1 連邦国家高等専門教育予算教育機関「ニジニ・ノヴゴロド州立建築・土木大学」の組織構造
ニジニ ノヴゴロド州立建築土木大学は、継続的に発展する構造と近代化された教育科学基盤を備え、現代の条件下で活発に進歩している複合施設です。 大学には大規模な情報ベースがあり、それらは特殊なソフトウェア製品に含まれています。 機関の情報セキュリティはかなり高いレベルにありますが、攻撃や違反が絶えず進行している状況では、改善が必要です。
1.2 ハードウェアとソフトウェアの構成とネットワーク構造
NNGASU の教育プロセスには、重要な情報基盤、コンピュータ パークの開発、教育プロセスへの最新の情報システムの導入が伴います。 教育プロセスを確実にするために、すべての学部と学科にはパソコンと必要な設備が備えられています。 現代の情報技術の応用分野における問題を解決するために、大学には 8 つのコンピュータークラスが設置されています。 大学のすべてのパソコンには、ライセンスを取得した Microsoft ソフトウェアとウイルス対策機能が装備されています。 すべてのハードウェアを表 1 に示します。
表 1. ハードウェア構成
現在、大学は教育プロセスの情報化に注目しています。 教育活動を最適化するために、大学は必要な最新のソフトウェア パッケージをすべて所有しています。 表 2 に NNGASU で使用されるソフトウェアの一覧を示します。
表 2. ソフトウェア
ソフトウェア製品名 |
||||
MS Windows サーバー |
||||
MS ビジュアル スタジオ |
||||
アロス - リーダー |
||||
1C エンタープライズ |
||||
ボーランド開発者スタジオ |
||||
マクロメディア ドリームビューア |
||||
パノラマGISマップ |
||||
シティス: ソラリス。 |
||||
ゴストロイスメット |
||||
グランド - 見積もり |
||||
ビジネスエンタープライズ |
||||
大学のすべての PC はローカル ネットワークに接続されており、安全な接続を介してインターネットにアクセスできます。 光回線ノードにはマネージドスイッチが搭載されています。 インターネットへの常時アクセスを提供するために、システムには 20 Mbit/s と 10 Mbit/s の速度でチャネルを提供する 2 つのプロバイダーとの接続が装備されています。 教育プロセスに関係のない情報をダウンロードしようとすると、ユーザーのトラフィックが制限されます。 ソフトウェア レベルの保護では、学生と従業員に異なるドメインが使用されます。
ネットワーク セグメント間でパケットを送信するには、MicroTic ルーターを使用します。これにより、データを失わずに負荷を分散できます。 グローバル ネットワーク パケット、リモート ユーザー サイト、および NauDoc システム パケットが通過します。
ネットワーク構造には 11 台の物理サーバーが搭載されており、そのうち 4 台は仮想マシン ステーションです。 これらのネットワーク要素には、情報や参考資料、データベース サーバー、メール サーバー、Web サイトがインストールされます。 この機関には、グローバル ネットワークにアクセスできる 14 台の仮想サーバーがあります。 すべての情報を通過させるメインサーバーは Nginx です。 Nginx は、Web サーバー、メール プロキシ、および TCP プロキシです。 このサーバーはポート 80 で受信データを受信し、それを必要なサーバー (Ubuntu、Suse、CentOS、Win2008_IIS、Win7) に転送します。 大学ネットワークの構成を図2に示します。
図2 連邦国家高等専門教育予算教育機関「ニジニ・ノヴゴロド州立建築・土木大学」のネットワーク構成
非武装地帯、コンピューター クラス、ViPNet、および大学自体はそれぞれ別個の仮想ローカル ネットワーク (VLAN) に含まれており、ネットワーク デバイスの負荷が軽減されます (あるドメインからのトラフィックが別のドメインに渡されることはありません)。 この技術により、不正なアクセスを排除することも可能になります。 スイッチは他の仮想ネットワークからのパケットを遮断します。
この機関は 2 つのプロバイダーのサービスを使用しているため、メイン チャネルからバックアップ チャネルに切り替えるときに、インターネットを問題なく操作できる必要があります。 Squid ソフトウェア パッケージは、キャッシュ プロキシ サーバーとして使用されます。 この機関内での Squid の主なタスク:
– 同じサイトにアクセスするとキャッシュされ、一部のデータはサーバーから直接取得されます。
– システム管理者が訪問したサイトやダウンロードしたファイルを追跡できる機能。
– 特定のサイトをブロックする。
– チャネル間の負荷分散。
組織のもう 1 つのファイアウォールは Microsoft Forefront Threat Management Gateway です。 これらを総合すると、Microsoft Forefront は高レベルのセキュリティを提供し、ネットワーク構造のセキュリティを管理できるようになります。 特に、Microsoft Forefront TMG は、外部攻撃からの保護、トラフィックの制御、受信パケットの受信と転送を可能にするプロキシ サーバーです。
ロシア連邦教育科学省と連携するために、この機関は ViPNet テクノロジーを使用しています。 ViPNet は、大規模ネットワークに保護を提供し、仮想プライベート ネットワーク (VPN) の実装を通じてパブリック通信チャネルを使用して、制限されたアクセス情報を送信するための安全な環境を作成します。
最新の企業インフラストラクチャでは、ローカル ネットワークの集中管理とハードウェア仮想化が必要です。 この目的のために、大学は Microsoft Hyper-V システムを使用しています。これにより、システム管理者は企業システム内で次のようないくつかの問題を解決できます。
– 安全性のレベルを高める。
– 情報リソースの保護。
– 集中型データストレージ。
– スケーラビリティ。
1.3 情報の流れの分析
大学の情報リソースは、システム内と外部チャネルの両方を介して循環します。 情報の保護と組織化を確実にするために、大学はさまざまな種類の最新の情報システムを使用しています。
最も重要かつ大規模なものは、Tandem e - Learning です。これは、フルタイム教育の監視を可能にし、最新の e ラーニング アプローチの 1 つとして遠隔教育を実装することを可能にする包括的な情報システムです。 Tandem e - Learning はクローズドな教育ポータルであり、登録手続きを完了すると大学職員と学生がアクセスできるようになります。 システムへのアクセスは、内部コンピュータと外部デバイスの両方から可能です。
もう 1 つの遠隔学習システムは Moodle です。 このポータルも閉鎖されており、登録が必要です。 Tandem と同様に、Moodle システムには外部デバイスからアクセスできます。
どちらのポータルも、教育管理システム (LMS) に基づいて構築されています。 LMS を使用すると、学習教材を管理、配布、共有できます。
企業情報システムは Tandem University システムを通じて導入されており、このポータルには教育プロセスに関する情報が含まれています。 学生、スタッフ、上級管理職は Tandem システムにアクセスできます。 このシステムの保護は、システムが分離されており、ローカル ネットワークにアクセスできないという事実によって保証されます。 企業ネットワークのすべてのリソースは 4 台のサーバーに配置されており、そのうち 2 台にはデータベースとメイン ポータル、および 2 台のテスト サーバーが含まれています。
大学内の文書フローは NauDoc システムを通じて行われます。 これは、機関内の文書の登録、処理、会計を行うためのクラウドベースの文書管理システムです。 大学のオフィス、支部、新入組織はこのシステムにアクセスできます。
大学のウェブサイトのコンテンツは、専門的な管理システム 1C - Bitrix によって管理されています。 このシステムの利点は、サイトの応答速度を向上できることです。
会計業務は自動処理システム「PARUS - Accounting」を利用して行います。 このソフトウェア パッケージを使用すると、資産、決済、資金の会計処理を完全に自動化できます。 Tandem University の社内システムと同様に、「PARUS - Accounting」は分離されており、経理部門の従業員のみがアクセスできます。
大学図書館も自動化されており、MARK - SQL 情報ライブラリ システムによって制御されています。 このシステムには、情報カタログなどの多数の情報リソースが含まれており、別の Windows サーバーに保存されています。
また、リソースの一部は次の情報システムに含まれています。
– コンサルタント+ (参照 - 法制度);
– TechExpert (「ビジネス・フォー・ビジネス」分野における規制、法律、技術情報を含む情報および参照システム)。
– Norma CS (設計活動における標準および規制文書を検索および使用するための参照システム)。
– OTRS (注文処理システム);
– RedMine (内部データベース);
– 産総研(人材サービス);
1.4 情報リソースの分析
ニジニ ノヴゴロド州立建築土木大学の情報システムには、膨大な量の情報リソース (データベース、文書、個人データ、アーカイブ、図書館) が含まれており、これらが主な保護対象となっています。 いくつかのレベルの情報機密性を導入することをお勧めします。
· 制限された情報:
– 公式秘密 - 企業の財務、生産、管理、その他の活動に関する情報を含む情報であり、その開示が経済的損害を引き起こす可能性があるもの。
– 職業上の秘密 - 教育活動およびプロセスの組織化を含む情報。
– 個人データ - 特定の個人に関する情報(学生、教師などに関する情報)を含むあらゆる情報。
・ 公開情報:
– 決議、政令、命令。
– 教育活動に関する統計情報を含む情報
– 法律や憲章によってアクセスが制限されていない情報。
1.5 施設の物理的セキュリティ(セキュリティ)
施設は警備ポストによって24時間監視されています。 大学敷地内への入場は個人パスを使用して行われます。 訪問者は、施設の職員が同伴する場合にのみ領域に入る権利を有します。 大学には火災警報器と防犯警報器があり、適切なセンサーが設置されています。 ハードウェア記憶装置 (サーバー) は別の部屋にあります。 施設はビデオ監視システムを通じて監視されています。
保護の主な対象には次のものがあります。
– データベースサーバー。
– アカウント管理ステーション;
– FTP および www - サーバー。
– 会計LANなど
– アーカイブ、財務、統計、教育部門からのデータ。
– 外部および内部の情報リソース。
2. 脅威モデルの分析と開発
2.1 セキュリティの脅威と脆弱性の原因の分類と分析
情報セキュリティにおける脅威とは、コンピュータ ネットワークの運用に影響を与え、セキュリティ システムの障害につながる可能性のある潜在的なイベントまたはアクションです。 リソースに影響を与える脅威は、保護されたデータの不正アクセス、歪曲、配布につながります。 脅威の発生源を次のグループに分類することをお勧めします。
– 人為的な脅威(セキュリティ システムのコンポーネントの開発および運用における偶発的なエラー、違反者の意図的な行為)。
– 人為的な脅威(技術機器の故障や誤作動)。
– 自然の脅威(自然の安全上の脅威)。
表 2 は、機関固有の分類と考えられる脅威を示しています。
表 2. 脅威源の分類
人為的な脅威の源 |
||
国内 |
||
セキュリティ施設へのアクセスを許可された人(管理者、教師、学生) |
潜在的なハッカー |
|
安全保障・体制部門の代表者 |
情報サービス提供者(プロバイダー、 |
|
情報技術部門の代表者(システム管理者、開発者) |
緊急および検査サービスの代表者 |
|
技術スタッフとサポートスタッフ (清掃員、電気技師、配管工、大工) |
不公平なパートナー |
|
人為的な脅威の発生源 |
||
国内 |
||
低品質の情報処理ハードウェア |
通信(情報伝達経路) |
|
情報保管施設の故障・障害 |
エンジニアリングコミュニケーションの構造 |
|
保護されていない情報伝達手段 |
マルウェアとウイルス |
|
セキュリティ障害 |
自然の脅威の原因は不可抗力であることが特徴であり、すべてのセキュリティ施設に広がります。 このような脅威を予測して防ぐのは困難です。 自然の脅威の主な原因は、火災、洪水、ハリケーン、および不測の事態です。 自然災害に対する保護措置を常に維持する必要があります。
上記の脅威に関して、最も可能性が高く危険なのは、内部ユーザーおよびコンピュータ ネットワークに直接関係する人物による意図しない行為です。
最も一般的で最も危険な (被害額の点で) のは、通常のユーザー、オペレーター、システム管理者、およびコンピューター ネットワークを保守しているその他の人々による意図しないエラーです。 最も可能性が高いのは人為的な脅威です。人々の行動を予測して適切な対策を講じることが可能であり、それは情報セキュリティを確保する責任者の行動に依存します。
通常、脅威は脆弱性の結果として発生し、それがセキュリティ侵害につながります。 脆弱性とは、脅威が正常に実装され、システムの完全性が損なわれることを可能にするシステムの欠陥です。 脆弱性はいくつかの理由で発生する可能性があります。
– ソフトウェア作成時のエラー。
– ソフトウェア設計段階での脆弱性の意図的な導入。
– 悪意のあるプログラムの不正使用と、その結果としてのリソースの不必要な消費。
– 意図しないユーザーのアクション。
– ソフトウェアおよびハードウェアの誤動作。
次の脆弱性が存在します。
· 目的 (情報システムの技術機器に依存する脆弱性):
– ハードウェア ブックマーク (技術機器および周辺機器のブックマーク)。
– ソフトウェアのブックマーク (マルウェア)。
· 主観的 (人々の行動に依存する脆弱性):
– エラー(ユーザーによるソフトウェアおよびハードウェアの誤った操作、誤ったデータ入力)。
– 違反(情報セキュリティポリシー規則の違反、アクセスと機密性の違反、ハードウェア操作の違反)。
・ランダム(情報システムを取り巻く環境に起因する脆弱性)
– 障害(データ処理設備の障害、ネットワーク設備の障害、制御およびセキュリティ システムの障害、ソフトウェアの障害)。
– 障害(停電)。
– 損傷(ユーティリティの破損)。
脆弱性の軽減または排除は、情報セキュリティの脅威が発生する可能性に影響します。
2.2 侵入者モデル
大学は非永続的な聴衆を抱える機関であるため、大学の情報資産の保護を確保することは特に重要です。 攻撃はあらゆるエンティティから行われる可能性があるため、外部攻撃者と内部攻撃者という 2 つのカテゴリに分類することが有益です。 外部侵入者とは、従業員ではなく、情報システムにアクセスできない人物のことです。 このカテゴリには次のものが含まれます。
– ハッカー (損害を与え、アクセスが制限された情報を取得することを目的とした攻撃を作成および実行する組織): 情報システムへの不正アクセスを通じて、情報を破壊または変更する可能性があります。 マルウェアやウイルス、ハードウェアやソフトウェアのブックマークの導入とその後の不正アクセス)。
– ハードウェアおよびソフトウェアのプロバイダーおよびサプライヤー(ワークステーションを介した情報リソースおよび通信チャネルへの不正アクセス)。
他のすべての主体は内部違反者です。 FSTEC ガイダンス文書「個人データ情報システムにおける処理中の個人データのセキュリティに対する脅威の基本モデル」に従って、内部違反者は 8 つのカテゴリーに分類されます。
1. ISPD へのアクセスを許可されているが、PD へのアクセス権を持たない人。
この機関に関して、そのような権利は管理者、情報技術部門に属します。 権利に従って、これらの人物は以下のことを行うことができます。 内部チャネルを通じて流通する個人データの一部にアクセスすることができます。 ISPD トポロジ、通信プロトコル、およびサービスに関する情報を知っている。 登録ユーザーの名前とパスワードを特定する。 ハードウェアとソフトウェアの構成を変更します。
2. 職場から ISPD リソースへのアクセスが制限されている登録済み ISPD ユーザー。
このカテゴリには、教育機関の部門の従業員、教師、学生が含まれます。 このカテゴリに属する人: 1 つの ID とパスワードを持っています。 アクセスを許可された機密データを保有している。
3. ローカルおよび (または) 分散情報システムを介して PD へのリモート アクセスを提供する登録済みの ISPD ユーザー。
4. ISPD セグメントのセキュリティ管理者の権限を持つ ISPD の登録ユーザー。
このカテゴリに属する人: このセグメントで使用されるソフトウェアとハードウェアに関する情報を持っています。 セキュリティおよびロギング ツールおよび ISPD ハードウェアにアクセスできます。
5. ISPD システム管理者権限を持つ登録ユーザー。
このカテゴリに属する人: 完全な ISPD のソフトウェアとハードウェアに関する情報を知っています。 すべてのハードウェアに物理的にアクセスできます。 ハードウェアを構成する権利があります。
6. ISPD セキュリティ管理者権限を持つ登録ユーザー。
7. プログラマー - この施設のソフトウェア開発者およびそれに付随する人。
このカテゴリに属する人: ISPD でデータを処理するための手順とプログラムに関する情報を知っています。 開発中にバグ、バグ、悪意のあるコードが導入される可能性があります。 ISPD のトポロジーとハードウェアに関する情報を知ることができます。
8. ISPD 上のハードウェアの供給、保守、修理を提供する開発者および担当者。
この機関に関して、内部違反者には以下が含まれます。
– 情報リソースのユーザー(学部、学科およびその他の部門の職員、教師、学生)(データの意図しない変更または破壊、悪意のある未認定ソフトウェアのインストール、権限のない人物への個人パスワードの転送)。
– 情報システムのサービスとサポートを行う担当者 (技術的またはネットワーク設備の偶発的または意図的な構成ミス)。
– 情報処理施設にアクセスできるその他の者(技術者および保守要員)(電源およびエンジニアリング構造の意図しない中断)。
特別かつ最も重要な違反者のカテゴリーは学生です。 現在、彼らの多くは十分な訓練を受けており、サイバースペースを理解しています。 いくつかの操作を通じて、学生は多数のセキュリティ違反を引き起こし、損害を引き起こすことができます。
2.3 情報システムに対する現在の脅威の特定
実際のセキュリティの脅威を判断するには、2 つの値を考慮する必要があります。 最初の指標は、情報システムの初期セキュリティのレベルです。 これは、システムの技術的特性に依存する一般的な指標です。 表 4 は、情報システムの初期セキュリティの計算を示しています。これは、利用可能なすべてのセキュリティ指標に対する特定のセキュリティ レベルの割合によって決まります。
表 4. 機関の初期セキュリティの計算
セキュリティ指標 |
セキュリティレベル |
|||
ISPDn の技術的および運用上の特徴 |
||||
地域別: |
||||
分散型 ISPD。複数の地域、準州、地区、または州全体をカバーします。 |
||||
都市部の ISPDn。1 つの居住地 (都市、村) のみをカバーします。 |
||||
企業分散型 ISPD は、1 つの組織の多くの部門をカバーします。 |
||||
近隣のいくつかの建物内に配置されたローカル (キャンパス) ISPD。 |
||||
1 つの建物内に展開されたローカル IPD |
||||
パブリック ネットワークへの接続に基づいて: |
||||
ISPDn は、公衆ネットワークへのマルチポイント アクセスを備えています。 |
||||
ISPDn は、パブリック ネットワークへのシングル ポイント アクセスを備えています。 |
||||
ISPDn、公衆ネットワークから物理的に分離 |
||||
個人データベース レコードを使用した組み込み (法的) 操作の場合: |
||||
読書、検索。 |
||||
記録、削除、並べ替え。 |
||||
改造、譲渡 |
||||
個人データへのアクセス制限について: |
||||
ISPD。ISPD の所有者である組織の従業員、または PD の対象者がアクセスできます。 |
||||
ISPD。ISPD を所有する組織のすべての従業員がアクセスできます。 |
||||
オープンアクセス ISPD |
||||
他の ISPD の他の PD データベースとの接続の存在に基づいて、次のようになります。 |
||||
統合された PDIS (組織は複数の PDIS データベースを使用しますが、組織は使用されているすべての PD データベースの所有者ではありません)。 |
||||
ISPD。この ISPD を所有する組織に属する 1 つの PD データベースを使用します。 |
||||
PD の一般化 (離人化) のレベルに応じて、次のようになります。 |
||||
ISPD。ユーザーに提供されるデータは(組織、業界、地域、地域などのレベルで)匿名化されます。 |
||||
ISPDn では、データは他の組織に転送される場合にのみ匿名化され、組織内のユーザーに提供される場合には匿名化されません。 |
||||
ISPD。ユーザーに提供されるデータは匿名化されていません(つまり、PD の主題を特定できる情報があります)。 |
||||
ボリューム別 提供されるPD 前処理なしのサードパーティ ISPD ユーザーへ: |
||||
ISPDn、データベース全体に PDn を提供します。 |
||||
ISPDn、PD の一部を提供します。 |
||||
ISPDn は情報を提供しません。 |
||||
解の数 |
分析の結果に基づいて、この機関の ISPD は平均的なレベルのセキュリティを備えていると結論付けることができます。 得られた結果に応じて係数を導入します Y 1 = 5。この係数は、脅威の関連性を判断する際の最初のパラメータです。
次のパラメータは、脅威が発生する確率です ( Y 2)。 この指標は専門家によって決定され、次の 4 つの値が考えられます。
– 可能性は低い (脅威が現実化するための客観的な前提条件が存在しない - 0)。
– 確率が低い(脅威が発生するための明確な前提条件が存在するが、既存の保護手段により実装が困難 - 2)。
– 平均確率(脅威が現実化するには前提条件があり、最初の防御方法が不十分 - 5)。
– 高い確率(脅威が発生する客観的な前提条件があり、セキュリティ対策が講じられていない - 10)。
取得したパラメータに基づいて、脅威実装係数 Y が計算されます。これは、式 Y = ( Y 1 +Y 2)/20。 得られた結果に従って、Y は次の値を取ります。
– 0 < Y < 0,3 - низкая реализуемость угрозы;
– 0,3 < Y < 0,6 - средняя реализуемость угрозы;
– 0,6 < Y < 0,8 - высокая реализуемость угрозы;
– Y > 0.8 - 脅威の実現可能性が非常に高い。
次のステップは、脅威の重大度を評価することです。 この評価は安全専門家によって与えられ、次の危険値があります。
– 危険性が低い – 脅威の実行により、軽微な損害が発生する可能性があります。
– 中程度の危険 - 脅威の実行により損害が発生する可能性があります。
– 危険性が高い - 脅威の実行は重大な損害を引き起こす可能性があります。
表 5 は、上記のすべての指標を考慮して得られる、脅威の関連性を計算するためのマトリックスを示しています。
– 「+」 - 脅威は緊急です。
– 「-」 - 脅威は無関係です。
表 5. 脅威の関連性を計算するためのマトリックス
脅威の実現可能性の値 |
脅威ハザードの意味 |
|||
すごく高い |
機関の初期セキュリティと脅威関連性マトリックスの分析の結果、次の計画に従って、この機関に特徴的な脅威とその関連性が特定されました: 脅威 (脅威の確率、脅威の実現可能性、脅威の評価)脅威の危険性) - 関連性/無関係性。
1. 機関の領域、ハードウェア オブジェクト、文書への不正アクセス (確率が低い (2)、実現可能性が平均 (0.35)、危険性が高い) - 関連性がある。
2. 自動化システム機器の盗難または損傷 (可能性は低い (0)、実現可能性は低い (0.25)、危険性は高い) - 関連あり。
3. 情報の意図しない破壊と改ざん (平均確率 (5)、平均実現可能性 (0.5)、危険性が高い) - 該当。
4. 紙の情報リソースの盗難 (可能性は低い (0)、実現可能性は低い (0.25)、危険性は平均的) - 無関係。
5. モバイル デバイスやラップトップを介した機密データの漏洩 (可能性は低い (0)、実現可能性は低い (0.5)、危険性は平均的) - 無関係。
6. 適切な知識の欠如による機器の使用権の意図せぬ過剰(平均確率 (5)、平均実現可能性 (0.5)、平均危険) - 該当。
7. ネットワーク トラフィックのスキャンによる送信情報の傍受 (確率が低い (2)、実現可能性の平均 (0.35)、危険性が高い) - 関連性がある。
8. サードパーティのマルウェアのインストール (低い確率 (2)、平均的な実現可能性 (0.35)、平均的な危険性) - 関連性があります。
9. ソフトウェアコンポーネントの構成の変更 (平均確率 (5)、平均実現可能性 (0.5)、危険性が高い) - 関連性あり。
10. ユーザー登録データの破壊または改ざん (可能性は低い (0)、実現可能性は低い (0.25)、危険性は低い) - 無関係。
11. 従業員による機密情報の意図的でない開示 (高い確率 (10)、高い実現可能性 (0.75)、高い危険性) - 関連性がある。
12. 技術機器の性能に影響を与える可能性のあるさまざまな種類の放射線 (可能性は低い (0)、実現可能性は低い (0.25)、危険性は平均的) - 無関係。
13. ネットワーク機器の障害と障害 (平均確率 (5)、平均実現可能性 (0.5)、平均危険) - 関連性あり。
14. ハードウェアおよびソフトウェアのエラーまたは障害によるデータの破壊 (平均確率 (5)、平均実現可能性 (0.5)、危険性が高い) - 該当。
15. ソフトウェアのブックマーク (低い確率 (2)、平均的な実現可能性 (0.35)、平均的な危険性) - 関連性があります。
16. 他人の登録データを使用して情報サービスにアクセスすること (平均確率 (2)、平均実現可能性 (0.35)、危険性が高い) - 関連性がある。
17. セキュリティおよびセキュリティ対策の違反 (確率が低い (2)、実現可能性の平均 (0.35)、損害の平均) - 該当。
現在の脅威を分析した結果、それらはすべて技術的および組織的な対策によって排除できると結論付けることができます。 表 6 は、大学でデータを保護するために使用できる、現在の脅威に対抗するための対策を示しています。
表 6. 現在の脅威に対抗する方法
現在の脅威 |
脅威に対抗するための技術的対策 |
脅威に対抗するための組織的な対策 |
|
機器の盗難や損傷の可能性を伴うハードウェア オブジェクトへの不正アクセス |
- セキュリティアラームとビデオ監視;- コンビネーションロック - サーバーのある部屋の入り口のブロッカー。 |
- セキュリティとアクセス制御。- 情報処理施設の管理。 |
|
従業員による意図しない情報の破壊または改ざん |
データ保護およびバックアップ ツールの使用。 |
従業員研修; |
|
適切な知識の欠如により、意図せずに機器を使用する権利が過剰になる |
不正アクセスに対する保護の使用。 |
- 従業員研修;- アクセス権の区別。 |
|
ネットワークトラフィックの傍受 |
- データ暗号化;- ファイアウォールの使用。 |
- セキュリティ管理者の説明会。- データ保護措置を考慮する。 |
|
マルウェアのインストールとソフトウェア構成の変更 |
ウイルス対策保護ツールの使用。 |
- 従業員研修; |
|
従業員による機密情報の意図しない漏洩 |
- 従業員研修;- 秘密保持法を作成する。 |
||
ネットワーク機器の故障および障害とその後の情報の破壊 |
- 途切れることのない執筆源の使用。- 認定されたハードウェアおよびソフトウェアの使用。データバックアップ; |
システム管理者のトレーニング。 |
|
ソフトウェアのブックマーク |
- 認定ソフトウェアの使用。- ウイルス対策保護ツールの使用。 |
- 従業員研修;- 管理者の指示; |
|
他人の登録情報を利用して情報サービスにログインする行為 |
-従業員を指導する。- セキュリティ管理者の指示。 |
表に示されている脅威に対抗する方法は、大学のセキュリティ ポリシーを作成する際に考慮され、使用されます。
2.4. 情報システムのセキュリティ クラスの決定
機関向けに効果的なセキュリティ システムを開発するには、ソース システムのセキュリティ クラスを決定する必要があります。 この目的のために、情報システムの分析が実行され、次の結果が得られました。
– システムは、さまざまなレベルの機密性の情報を処理します。
– システムは「機密」として分類されたデータを処理します。
– 情報システムはマルチユーザーです。
- アクセス権...
類似の文書
情報の本質とその分類。 企業の情報セキュリティを確保する上での主な問題と脅威。 企業情報セキュリティのリスク分析と原則。 情報セキュリティを確保するための一連の対策の策定。
コースワーク、2016/05/17 追加
LLCストア「Style」のインフラストラクチャの分析。 企業の経理部門の情報セキュリティ体制を事前検討に基づき構築。 コンセプト、情報セキュリティポリシーの策定、およびそれを保証するためのソリューションの選択。
コースワーク、2010/09/17 追加
効果的かつ十分なセキュリティ要件を定義する、効果的なポリシーのシステムの形をとった企業情報セキュリティ戦略。 情報セキュリティの脅威の特定。 内部統制とリスク管理。
コースワーク、2015/06/14 追加
政府機関の情報システムの構造モデルおよび情報モデルの開発。 脅威、攻撃対象、損失の種類、被害の程度、発生源のリストと分析。 機密情報データベースを保護し、セキュリティ ポリシーを策定します。
コースワーク、2009 年 11 月 15 日追加
情報セキュリティリスク管理の基本的な概念、手法、技術。 リスク、資産、脅威、脆弱性、既存の管理、結果の特定。 リスクの評価と軽減。 典型的な情報セキュリティの脅威の例。
プレゼンテーション、2018 年 4 月 11 日追加
ロシアの情報セキュリティ分野の規制文書。 情報システムに対する脅威の分析。 クリニックの個人情報保護システムの組織の特徴。 電子キーによる認証システムの導入。
論文、2016 年 10 月 31 日追加
アシャトリ農業所蔵の情報リソースの特徴。 企業に特有の情報セキュリティの脅威。 情報保護の措置、方法および手段。 既存のセキュリティ システムの欠点と最新のセキュリティ システムの利点を分析します。
コースワーク、2011/02/03 追加
情報セキュリティの概念、意味、方向性。 情報セキュリティを組織し、不正アクセスから情報を保護するための体系的なアプローチ。 情報セキュリティツール。 情報セキュリティの方法とシステム。
要約、2011 年 11 月 15 日追加
情報セキュリティリスク分析。 資産の脆弱性の特定。 既存および計画されている保護手段の評価。 情報セキュリティを確保するために設計された一連の規制、組織、管理手段。
論文、2013/04/03 追加
UML オブジェクト指向モデリング技術を使用した大学情報システムの開発。 システム要件の分析。 概念的(コンテンツ)モデル。 コンポーネントとクラスの図。 アプリケーションのソフトウェア実装。
UDC 004.056
O.M.プロタリンスキー、I.M.アズムハメドフ 大学の情報セキュリティ
導入
一般的な情報化と情報技術の発展という現代の状況において、情報分野におけるロシア連邦の国家安全保障に対する脅威は増大している。
情報領域に関連したロシア連邦の国家安全保障の概念は、ロシア連邦の情報セキュリティ原則によって策定されています。
この原則は、ロシア連邦の情報セキュリティを確保することが、ロシア連邦の国家安全保障を確保する上で重要な役割を果たすと述べています。 同時に、ロシア連邦の情報セキュリティ確保分野における国家政策の優先方向の一つは、情報セキュリティ分野における人材研修の改善と教育の発展である。 大学はこれらの問題の解決において特別な役割を果たします。
ロシアの高等教育は、情報社会の客観的プロセスだけでなく、競争の多様な現れを伴う新たな社会政治的状況にも適応する時期を迎えている。
現代の状況において高等教育システムの情報リソースを管理するための効果的なメカニズムを構築することは、科学的根拠と、以下の課題の解決に基づいて形成できるバランスの取れた大学情報セキュリティ ポリシーの実際的な実施なしには不可能です。
ロシア工科大学の主な活動のあらゆる分野における情報相互作用プロセスの分析:情報の流れ、その規模と質、矛盾、所有者とライバルの特定との競争。
情報相互作用の定性的かつ単純な定量的(数学的)記述の開発。
情報交換の公開性、安全性、公平性に関する定量的な指標と基準の導入。
情報の公開性と機密性のバランスの必要性と重要性に関するシナリオの開発。
大学の情報リソースの管理における情報セキュリティポリシーの役割と位置付けを決定し、一貫した原則とアプローチを開発する。
ポリシーの主要な構成要素の策定: 情報セキュリティを確保するための目標、目的、原則、主要な方向性。
情報セキュリティポリシーを確保するプロセスを管理するための基本的な手法の開発。
規制文書草案の準備。
教育機関の詳細
現代の大学は、教育プロセスだけでなく、研究開発、学生や職員の個人データ、公式情報、商業情報、その他の機密情報に関連する膨大な量のさまざまなデータを保存および処理しています。
ハイテク分野における犯罪の増加により、教育機関のコンピュータ ネットワークのリソースを保護する必要性が高まっており、独自の統合セキュリティ システムを構築するという課題が生じています。 その解決策は、規制の枠組みの存在、セキュリティ概念の形成、安全な作業のための対策、計画および手順の開発、教育機関内での情報セキュリティの技術的手段(ISIS)の設計、実装および保守を前提としています。 これらのコンポーネントは、大学における情報セキュリティを確保するための統一的なポリシーを決定します。
教育システムにおける情報保護の特殊性は、大学が気まぐれな聴衆を抱える公的機関であると同時に、「初心者サイバー犯罪者」の活動が活発化する場所でもあるということです。
大学における違反者となる可能性のある主なグループは学生であり、その中にはかなり高いレベルの訓練を受けた学生もいます。 年齢 (18 歳から 23 歳) と若々しい最大限の主義により、そのような人々は仲間の学生の前で自分の知識を披露することを奨励します。つまり、ウイルスの蔓延を引き起こし、管理アクセスを取得して教師を「罰」し、インターネットへのアクセスをブロックします。最初のコンピュータ犯罪はまさに大学で生まれたということを覚えておけば十分です (Morris ワーム)。
情報化の対象としての大学の特性は、その活動の学際的な性質、教育活動の形式と方法の豊富さ、インフラストラクチャー(支店、駐在員事務所)の空間的分布にも関連しています。 これには、さまざまな資金源、補助部門とサービス(建設、生産、経済活動)の発展した構造の存在、変化する教育サービス市場に適応する必要性、労働市場を分析する必要性も含まれます。一般に受け入れられているビジネスプロセスの形式化の欠如、上位組織との電子的なやり取りの必要性、従業員と研修生のステータスの頻繁な変更。
この問題は、大学が管理機能の点で安定した階層システムであり、生活に必要なすべての条件を備えており、集中管理の原則に基づいて運営されているという事実によって多少緩和されます(後者は管理リソースを積極的に使用できることを意味します)情報化タスクの管理において)。
上記の機能を使用するには、次の要件に準拠する必要があります。
コンセプトから始まり、ソフトウェアおよびハードウェア ソリューションのサポートに至る、情報セキュリティ問題の包括的な研究。
業務プロセスの内容を熟知した専門家が多数集まること。
企業アプリケーションのモジュール構造を使用し、各モジュールが相互接続されたビジネス手順または情報サービスのグループをカバーすると同時に、統一されたセキュリティ要件を確保します。
情報セキュリティ問題を解決するための合理的な一連の段階の適用。
標準の賢明な適用に基づいて開発を文書化し、確実に成功するシステムを作成します。
必要なレベルのセキュリティを提供する、信頼性が高くスケーラブルなハードウェアとソフトウェアのプラットフォームとテクノロジーをさまざまな目的に使用すること。
アーキテクチャの観点から見ると、企業情報環境には 3 つのレベルが区別され、安全な運用を確保するには、さまざまなアプローチを適用する必要があります。
コンピュータネットワーク、チャネルおよびデータライン、ユーザーワークステーション、データストレージシステム用の機器。
オペレーティング システム、ネットワーク サービス、リソース アクセス制御サービス、ミドルウェア。
アプリケーション ソフトウェア、情報サービス、ユーザー指向の環境。
統合情報ネットワーク (CIS) を構築する場合は、選択したソリューションまたはテクノロジーのセキュリティ要件をクロスレベルで調整する必要があります。 したがって、第 2 レベルでは、多くの大学の CIS アーキテクチャは、異なる動作環境を備えた異種の緩やかに接続されたサブシステムを表しており、Sh アドレスの割り当てまたはメッセージングのレベルでのみ相互に調整されています。 CIS のシステム組織が貧弱である理由は、承認された CIS アーキテクチャが欠如していることと、技術開発を担当する複数のセンターが調整されていないことです。 問題は、主要なテクノロジーに関する決定が完全に分散化され、システム セキュリティのレベルが大幅に低下する場合、各部門でオペレーティング環境の選択を管理することに消極的なことから始まります。
情報技術の開発に対する明確な戦略、情報インフラストラクチャの統一要件、情報セキュリティポリシー、および企業情報システムの主要コンポーネントに対する承認された規制を備えている大学は、通常、管理における強力な管理コアと大学の高い権限によって区別されます。 ITサービスの責任者。
もちろん、そのような大学は異なるオペレーティング環境や中間層システムを使用する可能性がありますが、これは組織的、技術的、または経済的な理由によるものであり、大学の CIS の展開と情報リソースへの安全なアクセスの統一原則の導入を妨げるものではありません。 。
第 3 レベルの大学における CIS アーキテクチャの開発状況は、次のように特徴づけられます。 別個のビジネス プロセスを自動化し、ローカル データ セットに依存するローカル ソフトウェア アプリケーションから、ユーザーに運用上のアクセスを提供する企業のクライアント サーバー情報システムへの移行。大学のデータベースはほぼ完成しました。 さまざまな情報システムによって生成されたデータを統合するという問題は、何らかの形で解決され、ビジネスプロセスの改善、経営および意思決定の品質の向上が可能になりました。
90年代前半だったら。 XX世紀 会計ソフトや管理会計ソフト(人事、レポーティングなど)の需要は高かったのですが、現時点ではこの需要はほぼ満たされています。 現在、教育機関の活動に関する信頼できるデータを管理者だけでなく、すべての教師や学生に提供すること、つまり CIS 内に流通するデータを効果的に管理することが課題となっており、ひいては社会の発展に貢献することが求められています。このようなネットワークにおける情報セキュリティを確保するという課題はさらに重要です。
大学の企業ネットワークの情報セキュリティ
教育プロセスと大学管理システムへのインターネットと新しい情報技術の積極的な導入により、企業ネットワークの出現の前提条件が作成されました。
大学の企業ネットワークは、大学の運営や教育活動の課題を解決するために設計されたコンピュータ、サーバー、ネットワーク機器、通信、通信などの情報システムとソフトウェアシステムです。
企業ネットワークは通常、大学の構造部門だけでなく、地方事務所も統合します。 以前は大学はこれらのネットワークにアクセスできませんでしたが、インターネットの大幅な普及とそのアクセスのしやすさにより、現在では教育組織に積極的に導入され始めています。
大学の統合情報セキュリティは、大学の企業ネットワーク内のサーバーに含まれる情報や、遠隔教育システムの電気通信チャネルを介して送信される情報を保存、制限し、アクセスを許可するためのシステムです。
広い意味での「大学の総合的な情報セキュリティ」には、大学の知的情報資産を外部および内部の攻撃的な影響から保護するシステムと、情報へのアクセスを管理し、攻撃的な情報空間から保護するシステムの2つの側面が含まれます。 最近、インターネットが制御されずに大規模に発展したため、セキュリティの最後の側面が特に重要になってきています。
「情報空間」という用語は、教育機関、機関、図書館の企業ネットワーク内のサーバー、グローバル インターネット、電子メディア上に含まれる情報のほか、テレビ通信チャネルやテレビを介して送信される情報を指します。
攻撃的な情報空間とは、情報にさらされた直後としばらく経った後(長期的な影響)の両方で、その内容がユーザーに攻撃性の発現を引き起こす可能性がある情報空間です。
この用語は、特定の形式および内容の情報が攻撃性や敵意の発現を伴う特定の影響を引き起こす可能性があるという仮説に基づいています。
大学の企業ネットワークにおける複雑な情報セキュリティの問題は、他のシステムに比べてはるかに広範囲かつ多様かつ深刻です。 これは次の機能によるものです。
大学の企業ネットワークは通常、「乏しい資金」(設備、人員、ライセンスのないソフトウェア)という概念に基づいて構築されています。
一般に、企業ネットワークには戦略的な開発目標がありません。 これは、ネットワークのトポロジ、ハードウェア、ソフトウェアが現在のタスクの観点から考慮されることを意味します。
大学の 1 つの企業ネットワークでは、教育および科学活動の提供と、教育および科学プロセスの管理の問題の解決という 2 つの主なタスクが解決されます。 これは、複数の自動化システムまたはサブシステムが 1 つの管理システム (ACS「学生」、ACS「職員」、ACS「教育プロセス」、ACS「図書館」、ACS「研究」、 ACS「会計」など);
企業ネットワークは、さまざまなタスクのために長期間にわたって作成されたため、ハードウェアとソフトウェアの両方において異種混合です。
包括的な情報セキュリティ計画は、原則として存在しないか、最新の要件を満たしていません。
このようなネットワークでは、情報セキュリティに対する内部および外部の両方の脅威が発生する可能性があります。
不正なデータベース管理の試み。
ネットワーク調査、ネットワーク監査プログラムの不正な起動。
ライブラリを含む情報の削除。
ゲームプログラムの起動;
ウイルスプログラムやトロイの木馬のインストール。
自動制御システム「VUZ」のハッキングを試みる。
インターネット経由で他の組織を含むネットワークをスキャンする。
ライセンスのないソフトウェアをインターネットから不正にダウンロードし、ワークステーションにインストールする。
会計システムへの侵入を試みる。
OS、ファイアウォール、プロキシ サーバーの「ホール」を検索します。
OS の不正なリモート管理の試み。
ポートスキャンなど
脅威、その原因、リスクの分析
情報に対する潜在的な脅威のソースは次のとおりです。
教育プロセスが行われるコンピューター化された教室。
インターネット;
情報セキュリティ分野の資格を持たない大学職員のワークステーション。
情報リスク分析は次の段階に分けることができます。
保護対象の重要度による分類。
強盗にとって保護対象物の魅力を判断する。
潜在的な脅威とオブジェクトへの考えられるアクセス チャネルの特定。
既存のセキュリティ対策の評価。
防御の脆弱性の特定とそれらを排除する方法。
脅威のランク付けリストを作成する。
不正アクセス、サービス妨害攻撃、機器の故障による被害の評価。
不正アクセスからの保護が必要な主なオブジェクトは次のとおりです。
会計 LAN、企画および財務部門からのデータ、統計およびアーカイブ データ。
データベースサーバー。
アカウント管理コンソール。
WWW/ftp サーバー。
研究プロジェクト用のLANとサーバー。
原則として、インターネットとの通信は、複数の通信回線 (光ファイバー バックボーン、衛星および無線チャネル) を介して同時に実行されます。 他の大学との通信や安全なデータ交換のために別のチャネルが提供されます。
伝送される情報の漏洩や破損のリスクを排除するため、このようなネットワークはグローバルネットワークや大学の一般ネットワークとは接続しないでください。
大学のデータ交換のための重要なノード (例: 会計 LAN) も別途存在する必要があります。
保護線
外部攻撃 (インターネット) に対する防御の第一線はルーターです。 これは、ネットワークセクションを相互に接続するだけでなく、トラフィックをより効果的に分離し、ネットワークノード間の代替パスを使用するために使用されます。 サブネットの機能とワイド エリア ネットワーク (WAN) との通信は、その設定によって異なります。 その主なセキュリティ目標は、分散型サービス拒否 (DDOS) 攻撃からの保護です。
2 番目のフロンティアは、ハードウェアとソフトウェアの複合体である Cisco PIX ファイアウォールであるファイアウォール (FWE) です。
次に来るのは非武装地帯(DMZ)です。 このゾーンでは、メイン プロキシ サーバー、DNS サーバー、www/ftp、メール サーバーを配置する必要があります。 プロキシ サーバーは、トレーニング スタッフのワークステーション、ルーターに直接接続されていないサーバーからのリクエストを処理し、トラフィックをフィルタリングします。 このレベルのセキュリティ ポリシーは、不要なトラフィックをブロックして保存することによって決定する必要があります (マルチメディア コンテンツ、ISO イメージのフィルタリング、キーワードを使用した不要/わいせつなコンテンツのページのブロック)。 ウイルスに感染した情報のダウンロードを防ぐために、このサーバーにウイルス対策ツールを配置することが正当化されます。
プロキシ サーバーからの情報は、統計サーバーに並行して送信される必要があります。統計サーバーでは、インターネット上のユーザー アクティビティを表示および分析できます。 メール サーバーには、Kaspersky Antivirus for Mail サーバーなどのメール アンチウイルスが必要です。
これらのサーバーはグローバル ネットワークに直接接続されているため、サーバーにインストールされているソフトウェアを監査することは、大学の情報セキュリティ エンジニアの主なタスクです。 コストを節約し、柔軟性をカスタマイズするには、オープンソースの OS とソフトウェアを使用することをお勧めします。
最も一般的なオペレーティング システムには、FreeBSD と GNU Linux があります。 ただし、より保守的な Open BSD や、超安定したリアルタイム OS QNX の使用を妨げるものはありません。
ウイルス対策アクティビティを集中管理するには、Dr.Web Enterprise Suite などのクライアントサーバーアーキテクチャを備えた製品が必要です。 グラフィカル コンソールを使用してウイルス対策データベースの設定と更新を一元管理し、ウイルス アクティビティに関する統計情報があればそれを読みやすく提供できます。
大学職員の利便性を高めるために、VPN テクノロジーを使用して大学の内部ネットワークへのアクセスを整理できます。
一部の大学は、インターネット アクセス用に独自のダイヤルアップ プールを持ち、大学の通信チャネルを使用しています。 権限のない者がこのアクセスを違法な目的で使用するのを防ぐため、教育機関の従業員はプールの電話番号、ログイン名、またはパスワードを公開しないでください。
ロシアのほとんどの大学のネットワークとサーバーのセキュリティの程度には、まだ不十分な点が多くあります。 これには多くの理由がありますが、主な理由の 1 つは、情報セキュリティ ポリシーを策定および施行するための対策の組織化が不十分であることと、これらの活動の重要性が過小評価されていることです。 2つ目は、情報セキュリティ分野における機器の購入や新技術の導入のための資金が不足していることです。
本学の総合的な情報セキュリティシステムの仕組み
包括的な情報セキュリティ システムには、次のポリシーの策定が含まれる必要があります。
まず第一に、これは大学の企業ネットワークを最新の状態に展開、開発、維持するための財務方針です。 これは支配的であり、不足融資、合理的十分性融資、優先融資の 3 つの分野に分類できます。
2 番目のポリシーは、大学の企業ネットワークの展開と維持の組織レベルによって決定されます。
3 番目の政策は、手形交換所の人員配置に関するものです。 経験豊富なシステム管理者の需要が高まっているため、これは特に大学にとって重要です。
ソフトウェア ポリシーは現在、企業ネットワークの開発においてコストがかかる要素の 1 つです。 OS および Microsoft ソフトウェア製品の独占市場の状況下で問題を解決するための合理的なアプローチは、慎重な検討を必要とする別の問題です。
十分な資金が確保されている状況では、技術サポート ポリシーが完全に適切であるとは限りません。 しかし、古くなった機器を更新するという問題が常にあります。
最後に、最新のポリシーは、情報システムにおける寛容な行動に関する道徳的および倫理的基準の形成と、攻撃的な情報空間への訪問に対する合理的な制限に関連しています。 これらの分野の過小評価は、大学の企業ネットワークを維持するための財政コストの増加によって補われるでしょう。
参考文献
1. 1997 年 12 月 17 日付けロシア連邦大統領令第 1300 号により承認されたロシア連邦の国家安全保障の概念 (2000 年 1 月 10 日付けロシア連邦大統領令第 24 号により修正) )。
2. ロシア連邦の情報セキュリティ原則。2000 年 9 月 9 日にロシア連邦大統領によって承認されました (Pr-1895)。
3. トルファノフ A.I. 研究対象としての大学の情報セキュリティ ポリシー // 地球文明の問題。 - Vol. 9. - イルクーツク: ISTU、2004 / library.istu.edu/civ/default.htm。
4. Volkov A.V. 大学における情報セキュリティの確保 // 情報セキュリティ。 - 2006. - No. 3、4 / http://www. itssec.ru/articles2/bepub/insec-3 + 4-2006。
5. クリュコフ V.V.、マヨロフ V.S.、シャクゲルディアン K.I. Active Directory テクノロジに基づく大学の企業コンピュータ ネットワークの実装 // Proc. 全ロシア人 科学的 会議 「インターネット上の科学サービス」 -ノヴォロシースク、2002年。 - P. 253-255。
6. Minzov A. S. 大学の企業ネットワークの複雑な情報セキュリティの特徴 / http://tolerance。 ムビウ。 ru/base/ミンゾフ(2).htm#top.
この記事は 2009 年 1 月 22 日に編集者に到着しました。
高等教育機関の情報セキュリティ
O.M.プロタリンスキー、I.M.アズムハメドフ
高等教育機関における情報セキュリティの提供の具体的な性格が明らかになりました。 脅威、その原因、リスクが分析されます。 情報保護の境界と複雑な情報セキュリティシステムの構造を検討します。
キーワード: 情報セキュリティ、高等教育機関、セキュリティの脅威、情報セキュリティ。
大学の情報セキュリティ。 統一情報空間の構築中の情報保護に関する作業の組織化 技術科学候補者、グリボフスキー・パベル・アナトリエヴィッチ准教授 技術科学候補者、マジニコフ・パベル・ヴィクトロヴィッチ准教授 A.F.モジャイスキー陸軍士官学校情報収集処理システム学科
情報システムは、データベースに含まれる一連の情報と、その処理を保証する情報技術および技術的手段です。 (連邦法 2006 149-FZ「情報、情報技術、および情報保護について」)。 国家情報システム - 連邦情報システムと地域情報システムは、それぞれ連邦法、ロシア連邦の構成主体の法律、国家機関の法的行為に基づいて作成されます。 (連邦法 2006 149-FZ「情報、情報技術、および情報保護について」)。 自動化システム。 確立された機能を実行するための情報技術を実装した、人材とその活動のための一連の自動化ツールで構成されるシステム (GOST) 用語と定義
情報システム、情報化ツールには以下が含まれます。 アクセス制限情報が処理される施設内で公開情報を処理するための技術的手段およびシステム アクセス制限情報を使用して交渉を行うための前提 国家機密を構成する情報を含まないアクセス制限情報の保護の主な目的オープン情報 オープン情報 国家機密を構成する情報を含まない、アクセスが制限された情報 FIAC は、鍵情報システムの 1 つです。 インフラストラクチャー ISPDLVSARM 印刷、コピー手段 通信、交換機など 家庭用機器 火災警報器、防犯警報機 電話など 通信手段 情報システム。 州のIS 地方自治体のIS その他のIS
情報保護 情報保護システムは、関連する法的、組織的、行政的および規制上の文書によって確立された規則に従って組織され、機能する一連の団体および(または)執行者、それらが使用する情報保護テクノロジー、および保護の対象です。情報保護の分野で。 (GOST R 情報保護。基本的な用語と定義)。 情報保護活動の対象 政府機関、認可政府機関、情報化施設で情報を処理する組織、ライセンシー組織 保護の対象となるもの 保護の対象となるもの どのような脅威からどのように保護するか 情報化の対象、IP、知的財産を含む 情報が処理および保存されるソフトウェア、連邦法によってアクセスが制限されているソフトウェア、情報保護ツール、技術的チャネルを通じた漏洩による公開情報、不正アクセス、破壊、変更、ブロック、コピー、提供、配布、および他の違法行為から。 一連の法的、組織的、技術的措置
2013 年 2 月 11 日付連邦技術輸出管理局 (ロシア FSTEC) 命令 N 17 「国家情報システムに含まれる国家機密を構成しない情報の保護要件の承認について」IS 法体系
他の電子形式の情報(署名情報)に添付される、またはそのような情報に関連付けられ、情報に署名した本人を特定するために使用される電子形式の情報 文書への署名の結果としての権利および義務の受諾の事実情報セキュリティ法制電子署名の仕組み
2011 年 4 月 6 日のロシア連邦法 N 63-FZ「電子署名について」。 1995 年 4 月 3 日のロシア連邦大統領令 N 334「暗号化ツールの開発、生産、販売、運用、および情報分野でのサービスの提供における法律遵守の措置について」暗号化」; 「暗号化(暗号化)情報セキュリティ手段の開発、生産、実装および運用に関する規制」(規制 PKZ-2005) 2005 年 2 月 9 日ロシア連邦 FSB 命令により承認 N 66; 2001 年 6 月 13 日の FAPSI 命令第 152 号「国家機密を構成する情報を含まないアクセスが制限された情報に対する暗号保護手段を使用した、通信チャネルを介した保管、処理および送信のセキュリティを組織および確保するための指示の承認について」。 」 情報セキュリティ法制電子署名の仕組み
強化された電子署名を使用する場合、電子対話の参加者は次のことを義務付けられます。 1) 電子署名キーの機密性を確保し、特に同意なしに参加者に属する電子署名キーの使用を許可しないこと (連邦法 63-FZ 第 10 条) 2011 年 4 月 6 日)。 2) 電子署名キーの機密性が侵害されたと信じる理由がある場合は、電子署名キーを使用しないこと (2011 年 4 月 6 日連邦法 63-FZ の第 10 条)。 3) この連邦法 (2011 年 4 月 6 日の連邦法 63-FZ 第 10 条) に従って確立された要件への準拠の確認を受けた電子署名ツールを使用して、適格な電子署名を作成および検証し、適格な電子署名のキーを作成します。検証用の署名とキー。 .); 4) CIPF の確立された形式、運用および技術文書に従って、コピーごとに記録を保管します。 (2001 年 6 月 13 日の FAPSI 命令 152 の第 26 条)。 情報セキュリティ法制電子署名の仕組み
1C: 州機関の文書フロー 「1C: 州機関の文書フロー 8」は、州および地方自治体の機関における文書会計の自動化、従業員のやり取り、業績規律の管理と分析といった幅広い問題に対する包括的な解決策を目的としています。 。 2009 年 10 月 2 日のロシア連邦政府命令 N 1403-r 部門間の電子文書管理システムと連邦行政当局の電子文書管理システムとの相互作用を組織化するための技術要件。 連邦行政当局の電子文書管理情報システムの要件。これには、これらのシステムを通じて限定的に配布される公式情報を処理する必要性が含まれます(日付付きロシア連邦通信・マスメディア省の命令により承認)。 1C: 国家機関の文書の流れ。 情報セキュリティ要件
連邦行政当局の電子文書管理情報システムの要件。これには、これらのシステムを通じて限定的に配布される公式情報を処理する必要性が含まれます(日付付きロシア連邦通信・マスメディア省の命令により承認)。 21. 配布が限定されている機密情報を保護するには、情報セキュリティ要件に従って認定された技術情報保護ツールおよび (または) ソフトウェア情報保護ツールを使用する必要があります。 22. 情報保護の要件とその実装対策、および特定のソフトウェアおよびハードウェア保護ツールは、確立されたセキュリティ クラスに応じて決定され、明確化されなければなりません。 25. 連邦執行機関の EDMS は、2008 年 3 月 17 日付けのロシア連邦大統領令 N 351「情報セキュリティを確保するための措置について」に従い、情報通信ネットワーク インターネットに直接 (保護されていない) 接続をしてはならない。国際情報交換の情報および電気通信ネットワークを使用する場合のロシア連邦」(ロシア連邦法集、2008 年、第 12 条、第 1110 条、2008 年、第 43 条、第 4919 条、2011 年、第 4 条、第 4 条、第 1110 条) .572)。 1C: 国家機関の文書の流れ。 情報セキュリティ要件
2009 年 10 月 2 日のロシア連邦政府命令 N 1403-r 部門間の電子文書管理システムと連邦執行機関の電子文書管理システムとの相互作用を組織するための技術的要件 17. 部門間の電子文書管理の相互作用を組織する場合電子文書管理システムを使用する場合は、ウイルス対策保護を提供する必要があります。 18. 公式秘密を構成する情報として分類された情報を保護するには、情報セキュリティ要件に従って認定された技術的および (または) ソフトウェア情報保護ツールを使用する必要があります。 電子文書管理システム アダプタを備えたゲートウェイ自動ワークステーションおよび専用パーソナル電子コンピュータは、機密情報の技術的保護の要件への準拠を認証される必要があります。 19. 情報保護の要件とその実装対策、および具体的な保護手段は、侵入者の脅威と行動の開発されたモデルに基づいて、確立されたセキュリティ クラスに応じて決定され、明確化されるべきです。 1C: 国家機関の文書の流れ。 情報セキュリティ要件 ご清聴ありがとうございます。 質問がありますか? A.F. モザイスキーにちなんで命名された高等科学アカデミーの情報収集および処理システム部門