| Travail sur la technologie des réseaux de sécurité de l'information
Leçon 38
Travail sur la technologie des réseaux de sécurité de l'information
Menaces pour la sécurité des systèmes d’information
Il existe quatre actions effectuées avec des informations pouvant contenir une menace : la collecte, la modification, la fuite et la destruction. Ces actions sont fondamentales pour un examen plus approfondi.
En adhérant à la classification acceptée, nous diviserons toutes les sources de menaces en externes et internes.
Les sources de menaces internes sont :
les employés de l'organisation;
Logiciel;
Matériel.
Les menaces internes peuvent se manifester sous les formes suivantes :
Erreurs des utilisateurs et des administrateurs système ;
violation par les employés de l'entreprise des réglementations établies pour la collecte, le traitement, le transfert et la destruction des informations ;
erreurs logicielles ;
pannes et pannes de fonctionnement des équipements informatiques.
Les sources externes de menaces comprennent :
Virus informatiques et logiciels malveillants ;
Organisations et individus ;
Catastrophes naturelles.
Les formes de manifestation de menaces externes sont :
Infection d'ordinateurs par des virus ou des logiciels malveillants ;
accès non autorisé (UAS) aux informations de l'entreprise ;
surveillance de l'information par des structures concurrentes, des services de renseignement et des services spéciaux ;
actions des structures et services de l'État, accompagnées de la collecte, de la modification, du retrait et de la destruction d'informations ;
accidents, incendies, catastrophes d'origine humaine.
Tous les types de menaces (formes de manifestation) que nous énumérons peuvent être divisés en intentionnelles et non intentionnelles.
Par des moyens d'influencer les objets sécurité des informations les menaces sont soumises à la classification suivante : informationnelle, logicielle, physique, électronique et organisationnelle-juridique.
Les menaces liées aux informations comprennent :
Accès non autorisé aux ressources d'information ;
copie illégale de données dans les systèmes d'information ;
vol d'informations dans les bibliothèques, les archives, les banques et les bases de données ;
violation de la technologie de traitement de l'information ;
collecte et utilisation illégales d'informations ;
utilisation d’armes d’information.
Les menaces logicielles incluent :
Utilisation d'erreurs et de « trous » dans le logiciel ;
virus informatiques et logiciels malveillants ;
installation de dispositifs « hypothécaires » ;
Les menaces physiques comprennent :
Destruction ou destruction des installations de traitement de l'information et de communication ;
vol de supports de stockage ;
vol de clés logicielles ou matérielles et de moyens de protection des données cryptographiques ;
impact sur le personnel;
Les menaces électroniques comprennent :
Mise en œuvre appareils électroniques l'interception d'informations dans moyens techniques et locaux ;
interception, décryptage, substitution et destruction d'informations dans les canaux de communication.
Les menaces organisationnelles et juridiques comprennent :
Acquisition de technologies de l'information et de moyens d'informatisation imparfaits ou obsolètes ;
violation des exigences légales et retard dans la prise des décisions juridiques et réglementaires nécessaires dans le domaine de l'information.
Considérons le modèle de sécurité du réseau et les principaux types d'attaques pouvant être menées dans ce cas. Nous examinerons ensuite les principaux types de services et mécanismes de sécurité qui empêchent de telles attaques.
Modèle de sécurité réseau
Classification des attaques réseau
En général, il existe un flux d'informations de l'expéditeur (fichier, utilisateur, ordinateur) vers le destinataire (fichier, utilisateur, ordinateur) :
Riz. 1 Flux d'informations
Toutes les attaques peuvent être divisées en deux classes : passif et actif
.
Attaque passive
Une attaque passive est une attaque dans laquelle l'adversaire est incapable de modifier les messages transmis et d'insérer ses messages dans le canal d'information entre l'expéditeur et le destinataire. Le but d'une attaque passive ne peut être que l'écoute des messages transmis et l'analyse du trafic.
Riz. 2 Attaque passive
Attaque active
Une attaque active est une attaque dans laquelle l'adversaire a la possibilité de modifier les messages transmis et d'insérer ses propres messages. Il existe les types d'attaques actives suivants :
1. Déni de service - Attaque DoS (Déni de service)
Un déni de service perturbe le fonctionnement normal des services réseau. Un adversaire peut intercepter tous les messages envoyés vers une destination spécifique. Un autre exemple d'une telle attaque est la création d'un trafic important, à la suite duquel le service réseau ne sera pas en mesure de traiter les demandes des clients légitimes. Un exemple classique d'une telle attaque dans les réseaux TCP/IP est une attaque SYN, dans laquelle l'attaquant envoie des paquets qui initient l'établissement d'une connexion TCP, mais n'envoie pas de paquets qui terminent l'établissement de cette connexion. En conséquence, le serveur peut manquer de mémoire et ne pas être en mesure d'établir une connexion avec des utilisateurs légitimes.
Riz. 3 attaques DoS
2. Modification du flux de données – attaque « l'homme du milieu »
Modifier un flux de données signifie soit modifier le contenu du message transmis, soit modifier l'ordre des messages.
Riz. 4 Attaque "l'homme au milieu"
3. Créer un faux flux (falsification)
La falsification (violation de l'authenticité) désigne une tentative par un sujet de se faire passer pour un autre.
Riz. 5 Créer un faux flux
4. Réutiliser.
La réutilisation signifie capturer passivement des données, puis les envoyer pour obtenir un accès non autorisé : c'est ce qu'on appelle l'attaque par rejeu. En fait, les attaques par relecture constituent un type d’usurpation d’identité, mais étant donné qu’il s’agit de l’une des attaques les plus courantes visant à obtenir un accès non autorisé, elles sont souvent considérées comme un type d’attaque distinct.
Riz. 6 Rejouer l'attaque
Les attaques répertoriées peuvent exister dans tout type de réseaux, pas seulement dans les réseaux utilisant les protocoles TCP/IP comme transport, et à n'importe quel niveau du modèle OSI. Mais dans les réseaux construits sur la base de TCP/IP, les attaques sont les plus courantes, car, d'une part, Internet est devenu le réseau le plus répandu, et d'autre part, lors du développement des protocoles TCP/IP, les exigences de sécurité n'ont en aucun cas été prises en compte. .
Services de sécurité
Les principaux services de sécurité sont les suivants :
Confidentialité - prévention des attaques passives sur les données transmises ou stockées.
Authentification - la confirmation que les informations proviennent d'une source légitime et que le destinataire est bien celui qu'il prétend être.
Dans le cas d'une transmission de message unique, l'authentification doit garantir que le destinataire prévu du message est le destinataire prévu et que le message provient de la source revendiquée. L'établissement d'une connexion comporte deux aspects.
Premièrement, lors de l'initialisation d'une connexion, le service doit s'assurer que les deux parties sont requises.
Deuxièmement, le service doit garantir que la connexion n'est pas affectée de telle manière qu'un tiers puisse se faire passer pour l'un des parties légitimes après l'établissement de la connexion.
Intégrité - un service qui garantit que les informations n'ont pas changé pendant le stockage ou la transmission. Peut être appliqué à un flux de messages, à un message unique ou à des champs individuels dans un message, ainsi qu'à des fichiers stockés et à des enregistrements de fichiers individuels.
Impossibilité de refus - l'impossibilité, tant pour le destinataire que pour l'expéditeur, de refuser le fait du transfert. De cette façon, lorsqu'un message est envoyé, le destinataire peut vérifier que c'est l'expéditeur légitime qui l'a bien fait. De même, lorsqu'un message arrive, l'expéditeur peut vérifier qu'il a été reçu par un destinataire légitime.
Contrôle d'accès - la capacité de restreindre et de contrôler l'accès aux systèmes et applications via des lignes de communication.
Disponibilité
- le résultat des attaques peut être la perte ou la diminution de la disponibilité d'un service particulier. Ce service est conçu pour minimiser la possibilité d'attaques DoS.
Mécanismes de sécurité
Nous listons les principaux mécanismes de sécurité :
Algorithmes de chiffrement symétriques - des algorithmes de chiffrement dans lesquels la même clé est utilisée pour le chiffrement et le déchiffrement, ou la clé de déchiffrement peut être facilement obtenue à partir de la clé de chiffrement.
Algorithmes de chiffrement asymétriques - des algorithmes de chiffrement dans lesquels deux clés différentes, dites clés publiques et privées, sont utilisées pour le chiffrement et le déchiffrement, et connaissant l'une des clés, il est impossible de calculer l'autre.
Fonctions de hachage
- des fonctions dont la valeur d'entrée est un message de longueur arbitraire et la valeur de sortie est un message de longueur fixe. Les fonctions de hachage possèdent un certain nombre de propriétés qui permettent de déterminer, avec un degré de probabilité élevé, une modification du message d'entrée.
Modèle de réseau
Le modèle de réseau sécurisé en général peut être représenté comme suit :
Fig.7 Modèle de sécurité du réseau
Un message transmis d'un participant à un autre passe par différents types de réseaux. Dans ce cas, nous supposerons qu'un canal d'information logique est établi de l'expéditeur au destinataire à l'aide de divers protocoles de communication (par exemple TCP/IP).
Des fonctionnalités de sécurité sont nécessaires si vous souhaitez protéger les informations transmises contre un adversaire susceptible de constituer une menace pour la confidentialité, l'authentification, l'intégrité, etc. Toutes les technologies d’amélioration de la sécurité comportent deux éléments :
1. Transmission d’informations relativement sécurisée. Un exemple est le cryptage, où le message est modifié de telle manière qu'il devient illisible pour un adversaire, et éventuellement augmenté d'un code basé sur le contenu du message et peut être utilisé pour authentifier l'expéditeur et garantir l'intégrité du message. le message.
2. Certaines informations secrètes partagées par les deux participants et inconnues de l'adversaire. Un exemple est une clé de cryptage.
De plus, dans certains cas, un tiers de confiance (TTP) est nécessaire pour garantir une transmission sécurisée. Par exemple, un tiers peut être chargé de diffuser des informations secrètes entre deux parties qui ne seraient pas mises à la disposition d'un adversaire. Alternativement, un tiers peut être utilisé pour résoudre les différends entre deux parties concernant l'authenticité du message transmis.
À partir de ce modèle général, trois tâches principales doivent être résolues lors du développement d’un service de sécurité spécifique :
1.
Développer un algorithme de cryptage/déchiffrement pour effectuer un transfert d’informations sécurisé. L'algorithme doit être tel que l'adversaire ne puisse pas déchiffrer le message intercepté sans connaître les informations secrètes.
2.
Créez des informations secrètes utilisées par l'algorithme de cryptage.
3.
Développez un protocole de messagerie pour diffuser les informations secrètes partagées de manière à ce qu'elles ne soient pas connues de l'ennemi.
Modèle de sécurité des systèmes d’information
Il existe d'autres situations liées à la sécurité qui ne correspondent pas au modèle de sécurité réseau décrit ci-dessus. Le schéma général de ces situations peut être illustré comme suit :
Riz. 8 Modèle de sécurité des systèmes d’information
Ce modèle illustre la notion de sécurité du système d’information, qui empêche les accès indésirables. Un pirate informatique qui tente de pirater des systèmes accessibles sur le réseau peut simplement apprécier le piratage, ou bien tenter d'endommager et/ou d'infiltrer un système d'information à ses propres fins. Par exemple, l'objectif d'un pirate informatique pourrait être d'obtenir les numéros de carte de crédit stockés dans le système.
Un autre type d'accès indésirable est le placement de quelque chose sur un système informatique qui affecte les programmes d'application et les utilitaires logiciels tels que les éditeurs, les compilateurs, etc. Ainsi, il existe deux types d'attaques :
1.
Accès à l'information afin d'obtenir ou de modifier des données stockées dans le système.
2.
Attaquer les services pour empêcher leur utilisation.
Les virus et les vers sont des exemples de telles attaques. De telles attaques peuvent être menées à la fois à l'aide de disquettes et sur le réseau.
Les services de sécurité qui empêchent les accès indésirables peuvent être divisés en deux catégories :
1.
La première catégorie est définie en termes de fonction de surveillance. Ces mécanismes incluent des procédures de connexion basées, par exemple, sur l'utilisation d'un mot de passe, qui permettent l'accès uniquement aux utilisateurs autorisés. Ces mécanismes incluent également divers pare-feu qui empêchent les attaques à différents niveaux de la pile de protocoles TCP/IP et, en particulier, empêchent la pénétration de vers, virus et autres attaques similaires.
2.
La deuxième ligne de défense se compose de divers moniteurs internes qui contrôlent l'accès et analysent l'activité des utilisateurs.
L'un des concepts de base pour assurer la sécurité d'un système d'information est le concept d'autorisation - la définition et l'octroi de droits d'accès à des ressources et/ou des objets spécifiques.
La sécurité d’un système d’information doit reposer sur les principes de base suivants :
1.
La sécurité d'un système d'information doit être cohérente avec le rôle et les objectifs de l'organisation dans laquelle le système est installé.
2.
Assurer la sécurité des informations nécessite une approche intégrée et holistique.
3.
La sécurité de l'information doit faire partie intégrante du système de gestion d'une organisation donnée.
4.
La sécurité de l’information doit être économiquement justifiée.
5.
Les responsabilités en matière de sécurité doivent être clairement définies.
6.
La sécurité du système d'information doit être réévaluée périodiquement.
7.
D'une grande importance pour assurer la sécurité du système d'information sont facteurs sociaux, ainsi que les mesures de sécurité administratives, organisationnelles et physiques.
Dans le moderne monde global la sécurité du réseau est essentielle. Les entreprises doivent fournir à leurs employés un accès sécurisé aux ressources réseau à tout moment, pour lequel une stratégie moderne de sécurité réseau doit prendre en compte un certain nombre de facteurs tels que l'augmentation de la fiabilité du réseau, la gestion efficace de la sécurité et la protection contre les menaces en constante évolution et les nouvelles méthodes d'attaque. . Pour de nombreuses entreprises, le problème de la sécurité des réseaux devient de plus en plus difficile. La main-d'œuvre mobile d'aujourd'hui qui utilise des smartphones, des ordinateurs portables et des tablettes personnels pour son travail présente de nouveaux défis potentiels. Dans le même temps, les pirates informatiques ne restent pas les bras croisés et ne créent pas de nouvelles cybermenaces de plus en plus sophistiquées.
Une enquête récente auprès des professionnels de l'informatique gérant la sécurité des réseaux [menée par Slashdotmedia] a montré que parmi les facteurs importants dans le choix des solutions de sécurité réseau, près de la moitié des personnes interrogées ont classé la fiabilité de leur solution réseau comme le choix numéro un.
Question posée:
Lors du choix d’une solution de sécurité réseau, quels sont les facteurs les plus importants pour votre entreprise ?
Les vulnérabilités de sécurité des réseaux ouvrent toute une série de problèmes potentiels et exposent une entreprise à divers risques. Les systèmes informatiques peuvent être compromis par leur intermédiaire, les informations peuvent être volées, les employés et les clients peuvent avoir des problèmes pour accéder aux ressources qu'ils sont autorisés à utiliser, ce qui peut obliger les clients à se tourner vers un concurrent.
Les temps d'arrêt dus à des problèmes de sécurité peuvent avoir d'autres implications financières. Par exemple, un site Web en panne pendant les heures de pointe peut générer à la fois des pertes directes et de puissantes relations publiques négatives, ce qui affectera évidemment le niveau des ventes à l'avenir. De plus, certaines industries ont des critères stricts de disponibilité des ressources, dont la violation peut entraîner des amendes réglementaires et d'autres conséquences désagréables.
Outre la fiabilité des solutions, un certain nombre de problématiques sont aujourd’hui mises en avant. Par exemple, environ 23 % des professionnels de l'informatique interrogés identifient le coût de la solution comme l'un des principaux problèmes associés à la sécurité du réseau ; ce qui n’est pas surprenant étant donné que les budgets informatiques de ces dernières années ont été considérablement limités. De plus, environ 20 % des personnes interrogées ont identifié la facilité d'intégration comme une priorité lors du choix d'une solution. Ce qui est naturel dans un environnement où le service informatique doit faire plus avec moins de ressources.
Pour conclure la conversation sur les paramètres clés dans le choix d'une solution, je voudrais noter que seulement 9 % environ des personnes interrogées ont cité les fonctions réseau comme un facteur clé dans le choix des solutions de sécurité réseau. Lors du choix d'une solution de sécurité réseau pour les systèmes d'entreprise et de la minimisation des risques associés, l'un des facteurs les plus importants pour près de la moitié (environ 48 %) des personnes interrogées était la fiabilité du réseau et de la solution associée.
Question posée : De quel type d’attaques réseau votre service informatique s’inquiète-t-il le plus ?
Aujourd’hui, les pirates utilisent diverses méthodes pour attaquer les réseaux des entreprises. L'étude a montré que les professionnels de l'informatique sont les plus préoccupés par deux types spécifiques d'attaques : les attaques par déni de service (DoS) et les écoutes clandestines (Eavesdropping) - ces attaques sont répertoriées comme les attaques les plus dangereuses et prioritaires par environ 25 % des personnes interrogées. Et 15 % des personnes interrogées ont chacune choisi des attaques telles que l'IP Spoofing et le MITM (man-in-the-middle) comme principales menaces. Les autres types de menaces se révèlent être une priorité pour moins de 12 % des personnes interrogées.
Question posée : En termes de vulnérabilités mobiles, quelle est la plus grande préoccupation de votre équipe informatique ?
Aujourd'hui, le nombre de travailleurs mobiles augmente et l'adaptation de la politique Bring Your Own Electronic Devices for Work (BOYD) impose de nouvelles exigences en matière de sécurité des réseaux. Malheureusement, dans le même temps, le nombre d’applications réseau non sécurisées augmente très rapidement. En 2013, HP a testé plus de 2 000 applications et a constaté que 90 % d'entre elles présentaient des failles de sécurité. Cette situation constitue une menace sérieuse pour la sécurité de l'entreprise et il n'est pas surprenant que 54 % des personnes interrogées considèrent les menaces provenant d'applications malveillantes comme les plus dangereuses.
En résumant ce qui précède, nous pouvons conclure ce qui suit : solutions modernes pour assurer la sécurité du réseau, il doit, entre autres, avoir les propriétés suivantes :
- être capable de travailler au septième niveau du modèle OSI (au niveau applicatif) ;
- être capable d'associer un utilisateur spécifique au contenu du trafic ;
- disposer d'un système de protection contre les attaques réseau (IPS) intégré à la solution
- prendre en charge la protection intégrée contre les attaques DoS et les écoutes clandestines ;
- ont généralement un haut degré fiabilité.
- Loi fédérale 149 « sur l'information, les technologies de l'information et la protection de l'information » ;
- Loi fédérale 152 « Sur la protection des données personnelles » ;
- Loi fédérale 139 (modifications de la loi fédérale 149, de la loi sur les communications et de la loi fédérale 436 sur la protection des enfants contre l'information) ;
- Loi fédérale 436 (sur la protection des enfants contre l'information) ;
- FZ 187 (sur la protection de la propriété intellectuelle et d'Internet) ;
- Loi fédérale 398 (sur le blocage des sites Web extrémistes) ;
- FZ 97 (sur les blogueurs qui les assimilaient aux médias) ;
- FZ 242 (sur le placement de données personnelles sur le territoire de la Fédération de Russie).
- en vertu de l'article 137 du Code pénal de la Fédération de Russie (collecte ou diffusion illégale d'informations sur confidentialité personnes) - une peine d'emprisonnement pouvant aller jusqu'à quatre ans ;
- en vertu de l'article 140 du Code pénal de la Fédération de Russie (refus illégal de fournir des documents et matériaux collectés de la manière prescrite) - une amende ou une privation du droit d'occuper certains postes ou de se livrer à certaines activités pour une période de 2 à 5 ans ;
- en vertu de l'article 272 du Code pénal de la Fédération de Russie (accès illégal à des informations informatiques protégées par la loi) - emprisonnement pouvant aller jusqu'à 5 ans.
Le respect des exigences de la législation fédérale par les entreprises est aujourd'hui contrôlé par trois organisme gouvernemental: Service fédéral de sécurité (FSB), Roskomnadzor et FSTEC. Le contrôle s'effectue par la réalisation d'inspections programmées et inopinées, à la suite desquelles l'entreprise peut être tenue pour responsable.
Ainsi, ignorer le problème de la sécurité des réseaux dans notre pays peut non seulement entraîner de lourdes pertes pour les entreprises, mais également entraîner la responsabilité pénale de certains dirigeants de l'entreprise.
Conclusion
Les menaces à la sécurité des informations deviennent de plus en plus complexes, les pirates informatiques et les cybercriminels utilisent de nouvelles techniques et mettent en œuvre des attaques de plus en plus sophistiquées pour compromettre les systèmes et voler des données.Lutter contre les nouvelles attaques nécessite des solutions de sécurité des réseaux et le développement d'une stratégie de sécurité des réseaux répondant aux exigences de fiabilité, de coût et d'intégration avec d'autres systèmes informatiques. Les solutions développées doivent être fiables, assurer une protection contre les attaques au niveau applicatif et permettre d'identifier le trafic.
De ce qui précède, une conclusion simple s'impose : monde moderne les problèmes de sécurité de l'information ne peuvent être ignorés ; en réponse aux nouvelles menaces, il est nécessaire de rechercher de nouvelles approches pour la mise en œuvre de la stratégie de protection des informations et d'utiliser de nouvelles méthodes et outils pour assurer la sécurité des réseaux.
Nos publications précédentes :
»
Informations générales sur la sécurité des réseaux informatiques
La principale caractéristique de tout système de réseau est que ses composants sont répartis dans l'espace et que la connexion entre eux est réalisée physiquement à l'aide de connexions réseau (câble coaxial, paire torsadée, fibre optique) et par programmation à l'aide du mécanisme de message. Dans ce cas, tous les messages de contrôle et les données envoyés entre les objets d'un système informatique distribué sont transmis via des connexions réseau sous forme de paquets d'échange.
Les systèmes de réseau se caractérisent par le fait qu'à côté des menaces locales exécutées au sein du même système informatique, un type spécifique de menace leur est applicable, en raison de la répartition des ressources et des informations dans l'espace. Ce sont ce qu’on appelle les menaces réseau ou distantes. Ils se caractérisent, d'une part, par le fait qu'un attaquant peut se trouver à des milliers de kilomètres de l'objet attaqué et, d'autre part, par le fait que ce n'est pas un ordinateur spécifique, mais les informations transmises via les connexions réseau qui peuvent être attaquées. Avec le développement des réseaux locaux et mondiaux, ce sont les attaques à distance qui deviennent leaders tant par le nombre de tentatives que par le succès de leur application, et, par conséquent, assurer la sécurité des réseaux informatiques du point de vue de la lutte contre les attaques à distance est d'importance. importance primordiale. La spécificité des systèmes informatiques distribués réside dans le fait que si dans les réseaux locaux les menaces les plus fréquentes sont la divulgation et l'intégrité, alors dans les systèmes réseau, la menace de déni de service vient en premier.
Menace à distance - impact potentiellement destructeur d'informations sur un réseau informatique distribué, réalisé par programme via des canaux de communication. Cette définition couvre les deux caractéristiques des systèmes de réseau : la distribution des ordinateurs et la distribution de l'information. Par conséquent, lorsque l'on considère les problèmes d'I&B des réseaux informatiques, deux sous-espèces de menaces à distance sont prises en compte : les menaces à distance contre l'infrastructure et les protocoles du réseau et les menaces à distance contre les services de télécommunication. Les premiers exploitent les vulnérabilités des protocoles réseau et de l’infrastructure réseau, tandis que les seconds exploitent les vulnérabilités des services de télécommunications.
Les objectifs de la sécurité des réseaux peuvent varier selon la situation, mais sont généralement associés à la fourniture des composants suivants de sécurité de l'information :
- intégrité des données;
- confidentialité des données;
- Disponibilité des données.
Intégrité des données - l'un des principaux objectifs des réseaux SI - suppose que les données n'ont pas été modifiées, remplacées ou détruites au cours du processus de transmission sur les lignes de communication, entre les nœuds d'un réseau informatique. L’intégrité des données doit garantir leur sécurité aussi bien en cas d’actes de malveillance qu’en cas d’accident. Garantir l’intégrité des données est généralement l’une des tâches les plus difficiles en matière de sécurité réseau.
Confidentialité des données est le deuxième objectif principal de la sécurité du réseau. Dans l'échange d'informations dans les réseaux informatiques un grand nombre de les informations sont confidentielles, par exemple les informations personnelles des utilisateurs, Comptes(noms et mots de passe), informations sur cartes de crédit et etc.
Disponibilité des données- le troisième objectif de la sécurité des données dans les réseaux informatiques. Les fonctions des réseaux informatiques sont l'accès partagé au matériel et aux logiciels du réseau et l'accès partagé aux données. La violation de l'IB est simplement liée à l'impossibilité de mettre en œuvre ces fonctions.
Les imprimantes, serveurs, postes de travail, données utilisateurs, etc. doivent être disponibles sur le réseau local.
Dans les réseaux informatiques mondiaux, des ressources d'information et divers services doivent être disponibles, par exemple un serveur de messagerie, un serveur de noms de domaine, web-cepBep, etc.
Lors de l'examen des questions liées à la sécurité de l'information dans les réseaux informatiques modernes, les facteurs suivants doivent être pris en compte :
- connectivité mondiale;
- hétérogénéité des systèmes d'information des entreprises ;
- diffusion de la technologie client/serveur.
Lorsqu'elle est appliquée aux systèmes de communication, la connectivité mondiale signifie
Quoi nous parlons sur la protection des réseaux utilisant des services externes basés sur les protocoles TCP/IP et fournissant des services similaires à l'extérieur. Il est très probable que les services externes soient situés dans d’autres pays, les protections dans ce cas doivent donc suivre les normes internationalement reconnues. Les frontières nationales, les lois, les normes ne doivent pas interférer avec la protection des flux de données entre clients et serveurs.
Le fait de la connectivité mondiale implique également une moindre efficacité des mesures de protection physique, la complication générale des problèmes liés à la protection contre les accès non autorisés, la nécessité d'impliquer de nouveaux outils logiciels et matériels, par exemple des pare-feu, pour les résoudre.
L’hétérogénéité des plateformes matérielles et logicielles impose aux fabricants d’équipements de protection de respecter une certaine discipline technologique. Il est important non seulement de nettoyer caractéristiques de protection, mais aussi la possibilité d'intégrer ces systèmes dans les structures d'information modernes des entreprises. Si, par exemple, un produit conçu pour la protection cryptographique est capable de fonctionner exclusivement sur la plateforme Wintel (Windows + Intel), alors son applicabilité pratique soulève de sérieux doutes.
Les systèmes d'information des entreprises s'avèrent hétérogènes sur un autre point important : les données sont stockées et traitées dans différentes parties de ces systèmes. divers degrés importance et secret.
L'utilisation de la technologie « client/serveur » du point de vue d'I&B présente les caractéristiques suivantes :
- chaque service a sa propre interprétation des principaux aspects d'I&B (disponibilité, intégrité, confidentialité) ;
- chaque service a sa propre interprétation des notions de sujet et d'objet ;
- chaque service comporte des menaces spécifiques ;
- chaque service doit être administré à sa manière ;
- les outils de sécurité de chaque service doivent être construits d’une manière spéciale.
Les caractéristiques des réseaux informatiques, et principalement mondiaux, prédéterminent la nécessité d'utiliser des méthodes et moyens de protection spécifiques, par exemple :
- - protection des connexions aux réseaux externes ;
- - protection des flux de données d'entreprise transmis sur les réseaux ouverts ;
- - protection des flux de données entre clients et serveurs ;
- - assurer la sécurité d'un environnement logiciel distribué ;
- - protection des services les plus importants (tout d'abord - un service web) ;
- - Authentification dans les réseaux ouverts.
La mise en œuvre de telles méthodes de protection sera discutée ci-dessous.
DANS Dernièrement l'insécurité des réseaux informatiques face aux attaques mondiales devient de plus en plus évidente. Les attaques réussies contre les réseaux mondiaux sont de loin le phénomène le plus destructeur qui puisse survenir sur les réseaux d'aujourd'hui.
Il existe deux approches à la problématique de la garantie de la sécurité des systèmes et réseaux informatiques (CS) : « fragmentaire » et complexe.
"Fragmentaire" l’approche vise à contrer des menaces bien définies dans des conditions données. Des exemples de mise en œuvre de cette approche incluent des contrôles d'accès individuels, des outils de chiffrement hors ligne, des programmes antivirus spécialisés, etc.
L’avantage de cette approche est une grande sélectivité par rapport à une menace spécifique. Un inconvénient majeur est l’absence d’un environnement de traitement de l’information sécurisé et unifié. Les mesures de protection des informations fragmentaires garantissent la protection d'objets CS spécifiques uniquement contre une menace spécifique. Même une légère modification de la menace entraîne une perte de l’efficacité de la protection.
Une approche complexe se concentre sur la création d'un environnement de traitement de l'information sécurisé dans le CS, qui combine des mesures hétérogènes pour contrer les menaces en un seul complexe. L'organisation d'un environnement sécurisé de traitement de l'information permet de garantir un certain niveau de sécurité CS, ce qui constitue un avantage incontestable d'une approche intégrée. Les inconvénients de cette approche incluent : les restrictions sur la liberté d'action des utilisateurs du CS, la sensibilité aux erreurs d'installation et de paramétrage des outils de protection et la complexité de la gestion.
Une approche intégrée est utilisée pour protéger les CS des grandes organisations ou des petites CS qui effectuent des tâches responsables ou traitent des informations particulièrement importantes. La violation de la sécurité de l'information dans les CS des grandes organisations peut causer d'énormes dommages matériels tant aux organisations elles-mêmes qu'à leurs clients. Par conséquent, ces organisations sont obligées d’accorder une attention particulière aux garanties de sécurité et de mettre en œuvre une protection complète. Une approche intégrée est suivie par la plupart des entreprises et institutions publiques et grandes entreprises. Cette approche a été reflétée dans diverses normes.
Une approche intégrée du problème de la garantie de la sécurité repose sur la politique de sécurité développée pour un CS spécifique. La politique de sécurité régit le fonctionnement efficace des outils de protection CS. Il couvre toutes les caractéristiques du processus de traitement de l'information, déterminant le comportement du système dans diverses situations. Un système de sécurité réseau solide ne peut être créé sans une politique de sécurité réseau efficace. Les politiques de sécurité sont discutées en détail au Chap. 3.
Pour protéger les intérêts des sujets des relations d'information, il est nécessaire de combiner des mesures des niveaux suivants :
législatif (normes, lois, règlements, etc.) ;
administratif et organisationnel (mesures générales prises par la direction de l'organisation et mesures de sécurité spécifiques concernant les personnes) ;
logiciels et matériel (mesures techniques spécifiques). Les mesures législatives sont très importantes pour garantir
sécurité des informations. Ce niveau comprend un ensemble de mesures visant à créer et à maintenir une attitude négative (y compris punitive) dans la société envers les violations et les contrevenants à la sécurité de l'information.
Sécurité des informations- c'est un nouveau domaine d'activité, ici il est important non seulement d'interdire et de punir, mais aussi d'enseigner, d'expliquer, d'aider. La société doit prendre conscience de l'importance de cette question et comprendre les principaux moyens de résoudre les problèmes concernés. L’État peut le faire de manière optimale. Il n'y a pas besoin de coûts matériels importants, des investissements intellectuels sont nécessaires.
Mesures du niveau administratif-organisationnel. L'administration de l'organisation doit être consciente de la nécessité de maintenir un régime de sécurité et d'allouer les ressources appropriées à cet effet. La base des mesures de protection au niveau administratif et organisationnel est la politique de sécurité (voir chapitre 3) et un ensemble de mesures organisationnelles.
L'ensemble des mesures organisationnelles comprend les mesures de sécurité mises en œuvre par les personnes. On distingue les groupes de mesures organisationnelles suivants :
gestion du personnel;
protection physique;
maintenir les performances ;
réponse aux failles de sécurité ;
planification de la restauration.
Pour chaque groupe de chaque organisation, il devrait y avoir un ensemble de réglementations qui déterminent les actions du personnel.
Mesures et moyens au niveau logiciel et matériel. Pour maintenir le régime de sécurité de l'information, les mesures au niveau logiciel et technique sont particulièrement importantes, car la principale menace pour les systèmes informatiques vient d'eux-mêmes : pannes matérielles, erreurs logicielles, erreurs des utilisateurs et des administrateurs, etc. Les mécanismes de sécurité suivants doivent être disponibles au sein des systèmes d’information modernes :
identification et authentification des utilisateurs ;
contrôle d'accès;
journalisation et audit ;
cryptographie;
blindage;
offrant une haute disponibilité.
Le besoin de normes. Les systèmes d'information (SI) des entreprises sont presque toujours construits sur la base de produits logiciels et matériels provenant de différents fabricants. Jusqu'à présent, il n'existe pas une seule société de développement qui fournirait au consommateur une liste complète d'outils (du matériel aux logiciels) pour créer un SI moderne. Pour assurer une protection fiable des informations dans un SI hétérogène, des spécialistes sont nécessaires hautement qualifié qui doit être responsable de la sécurité de chaque composant du SI : les configurer correctement, surveiller en permanence les évolutions en cours et surveiller le travail des utilisateurs. Évidemment, plus le SI est hétérogène, plus il est difficile d’en assurer la sécurité. L'abondance de dispositifs de sécurité, de pare-feu (FW), de passerelles et de VPN dans les réseaux et systèmes d'entreprise, ainsi que la demande croissante d'accès aux données d'entreprise de la part des employés, des partenaires et des clients, conduisent à un environnement de sécurité complexe, difficile à gérer et à gérer. parfois incompatible.
L'interopérabilité des produits de sécurité est une exigence essentielle pour le CIS. Pour la plupart des environnements hétérogènes, il est important de garantir une interaction cohérente avec les produits d’autres fabricants. La solution de sécurité d'une organisation doit garantir la protection sur toutes les plateformes de cette organisation. Par conséquent, il est tout à fait évident qu'il est nécessaire d'appliquer un ensemble unique de normes à la fois par les fournisseurs de sécurité et par les entreprises - les intégrateurs de systèmes et les organisations agissant en tant que clients de systèmes de sécurité pour leurs réseaux et systèmes d'entreprise.
Les normes constituent la base conceptuelle sur laquelle repose tout travail en matière de sécurité de l'information et définissent les critères que la gestion de la sécurité doit suivre. Les normes constituent une base nécessaire pour garantir la compatibilité des produits de différents fabricants, ce qui est extrêmement important lors de la création de systèmes de sécurité réseau dans des environnements hétérogènes.
Une approche intégrée pour résoudre le problème de la garantie de la sécurité, une combinaison rationnelle de mesures législatives, administratives, organisationnelles, logicielles et matérielles, et le respect obligatoire des normes industrielles, nationales et internationales - c'est la base sur laquelle repose l'ensemble du système de protection des réseaux d'entreprise. construit.
Moscou 2014
Leçon ouverte sur le sujet :
"Sécurité de l'information de la technologie de travail en réseau"
Le but de la leçon : familiarisation des étudiants avec le concept de sécurité de l'information.
Objectifs de la leçon:
- Tutoriels :
1. Présenter aux étudiants le concept de sécurité de l'information ;
2. Considérez les principales orientations de la sécurité de l'information ;
3. Familiarisez-vous avec les différentes menaces.
- Développement:
1. Déterminer la séquence d'actions pour assurer la sécurité de l'information ;
2. Améliorer les compétences en communication.
- Éducatif:
1. Cultiver une attitude bienveillante envers l'ordinateur, le respect des règles de sécurité ;
2. Former la capacité de surmonter les difficultés ;
3. Contribuer au développement de la capacité d'évaluer leurs capacités.
Type de cours : leçon d'apprentissage de nouveau matériel.
Formulaire de cours : individuel, groupe.
Équipement: ordinateur portable, projecteur.
Pendant les cours :
1. Moment d'organisation : fixer les objectifs de la leçon.
2. Vérification des devoirs.
Les étudiants soumettent par écrit devoirs concernant le sujet précédent :
a) Qu'est-ce que la recherche de ressources Internet par URL ?
b) Qu'est-ce que la recherche d'informations sur la rubrique du moteur de recherche ?
c) Qu'est-ce que la recherche d'informations par mots-clés ?
d) Principes de formation des demandes.
3. Apprendre du nouveau matériel.
La sécurité de l'information est le processus visant à garantir la confidentialité, l'intégrité et la disponibilité des informations.
Il existe les principaux domaines suivants en matière de sécurité de l'information :
1. Mesures organisationnelles ;
2. Programmes antivirus ;
3. Protection contre la correspondance indésirable ;
1. Mesures organisationnelles.
Tout utilisateur peut assurer la protection des informations sur son ordinateur en suivant ces étapes.
1. Sauvegarder (enregistrer) des fichiers sur des disquettes, des CD, des lecteurs ZIP, des streamers et autres supports magnétiques ;
2. Analysez toutes les disquettes et CD, ainsi que les fichiers reçus via e-mail ou depuis Internet, avant de les utiliser ou de les exécuter ;
3. Utilisation et mise à jour régulière de programmes antivirus et de bases de données antivirus.
2. Programmes antivirus.
Journée de détection, de suppression et de protection contre les virus informatiques développée programmes spéciaux, qui vous permettent de détecter et de détruire les virus. Ces programmes sont appelés programmes antivirus.
Il existe les types de programmes antivirus suivants :
Programmes-détecteurseffectuer une recherche d'une séquence d'octets caractéristiques d'un virus particulier (signature de virus) dans la RAM et dans les fichiers et, si elle est détectée, émettre un message correspondant. L'inconvénient de ces programmes antivirus est qu'ils ne peuvent détecter que les virus connus des développeurs de ces programmes.
Programmes de doctoratou des phages, etprogrammes de vaccinationnon seulement trouver les fichiers infectés par des virus, mais aussi les « traiter », c'est-à-dire supprimez le corps du programme antivirus du fichier, ramenant les fichiers à leur état d'origine. Au début de leur travail, les phages recherchent des virus dans la RAM, les détruisent, puis procèdent ensuite au « traitement » des fichiers. Parmi les phages, on distingue les polyphages, c'est-à-dire programmes médicaux conçus pour rechercher et détruire un grand nombre de virus. Les polyphages les plus connus sont Aidstest, Scan, Norton AntiVirus et Doctor Web.
Auditeurs de programmesont parmi les moyens de protection les plus fiables contre les virus. Les auditeurs se souviennent de l'état initial des programmes, des répertoires et des zones système du disque lorsque l'ordinateur n'est pas infecté par un virus, puis comparent périodiquement ou à la demande de l'utilisateur l'état actuel avec celui d'origine. Les changements détectés sont affichés sur l'écran du moniteur vidéo. En règle générale, les états sont comparés immédiatement après le chargement du système d'exploitation. Lors de la comparaison, la longueur du fichier, le code de contrôle cyclique (somme de contrôle du fichier), la date et l'heure de modification et d'autres paramètres sont vérifiés. Les programmes d'audit disposent d'algorithmes assez avancés, détectent les virus furtifs et peuvent même faire la distinction entre les modifications apportées à la version du programme vérifiée et les modifications apportées par le virus. Parmi les programmes-auditeurs figure le programme Adinf largement utilisé en Russie par Dialog-Science.
Filtrer les programmesou « gardiens » sont de petits programmes résidents conçus pour détecter les activités informatiques suspectes caractéristiques des virus. Par exemple:
- tente de corriger les fichiers avec les extensions COM et EXE ;
- modifier les attributs du fichier ;
- écriture directe sur le disque à une adresse absolue ;
Lorsqu'un programme tente d'effectuer les actions spécifiées, le « gardien » envoie un message à l'utilisateur et propose d'interdire ou d'autoriser l'action correspondante. Les programmes de filtrage sont très utiles, car ils sont capables de détecter un virus en stade précoce son existence avant la reproduction. Cependant, ils ne « guérissent » pas les fichiers et les disques. Les inconvénients des programmes de surveillance incluent leur « caractère intrusif », ainsi que d'éventuels conflits avec d'autres logiciel. Un exemple de programme de filtrage est le programme Vsafe, qui fait partie des utilitaires du système d'exploitation MS DOS.
Vaccins ou immunisants sont des programmes résidents qui empêchent l’infection des fichiers. Les vaccins sont utilisés s'il n'existe aucun programme médical permettant de « traiter » ce virus. La vaccination n'est possible que contre les virus connus. Le vaccin modifie le programme ou le disque de telle manière que cela n'affecte pas leur travail, et le virus les percevra comme infectés et ne prendra donc pas racine. Les programmes de vaccination sont actuellement d’une utilité limitée.
Passons maintenant directement aux « infecteurs ».
Virus peut être classé selon les critères suivants :
en fonction, dépendemment de l'habitatles virus peuvent être divisés en réseau , fichier, démarrage et démarrage de fichier.Les virus de réseau se propagent sur divers réseaux informatiques. Les virus de fichiers infectent principalement les modules exécutables, c'est-à-dire aux fichiers avec les extensions COM et EXE. Les virus de fichiers peuvent également infecter d'autres types de fichiers, mais en règle générale, ils sont écrits dans de tels fichiers, ils n'en prennent jamais le contrôle et perdent donc la capacité de se reproduire. Les virus de démarrage infectent le secteur de démarrage d'un disque (secteur de démarrage) ou le secteur contenant le programme de démarrage du disque système (Master Boot Record). Les virus de démarrage de fichiers infectent à la fois les fichiers et les secteurs de démarrage des disques.
Selon le mode d'infectionles virus sont divisés en résident et non-résident . Lorsqu'un virus résident infecte (infecte) un ordinateur, il laisse sa partie résidente dans la RAM, qui intercepte alors l'accès du système d'exploitation aux objets infectés (fichiers, secteurs de démarrage du disque, etc.) et les infiltre. Les virus résidents résident en mémoire et restent actifs jusqu'à ce que l'ordinateur soit éteint ou redémarré. Les virus non résidents n'infectent pas la mémoire de l'ordinateur et sont actifs pendant une durée limitée.
Par degré d'impactLes virus peuvent être divisés dans les types suivants : non dangereux , qui n'interfèrent pas avec le fonctionnement de l'ordinateur, mais réduisent la quantité de RAM libre et de mémoire disque, les actions de ces virus se manifestent par des effets graphiques ou sonores ; dangereux virus pouvant entraîner divers dysfonctionnements de l'ordinateur ; très dangereux , dont l'impact peut entraîner la perte de programmes, la destruction de données, l'effacement d'informations dans les zones système du disque.
4. Éducation physique.
Nous sourions tous ensemble
Faisons un petit clin d'œil
Tournez à droite, tournez à gauche (tournez à gauche-droite)
Et puis hochez la tête en cercle (inclinaison gauche-droite)
Toutes les idées ont gagné
Nos mains se sont levées (lèvent les mains de haut en bas)
Le fardeau des soucis est secoué
Et nous continuerons le chemin de la science (serrons la main)
5. Poursuite de l'étude de nouveaux matériaux.
3. Protection contre la correspondance indésirable.
Les vers de messagerie constituent l'un des groupes de programmes malveillants les plus nombreux. La part du lion des vers de messagerie est constituée de vers dits passifs, dont le principe est d'inciter l'utilisateur à exécuter un fichier infecté.
Le schéma de tromperie est très simple : une lettre infectée par un ver doit ressembler à des lettres que l'on trouve souvent dans le courrier ordinaire : des lettres d'amis avec un texte amusant ou une image ; des lettres du serveur de messagerie indiquant que certains messages n'ont pas pu être livrés ; des lettres du fournisseur contenant des informations sur les changements dans la composition des services ; des lettres de fournisseurs de logiciels de sécurité contenant des informations sur les nouvelles menaces et les moyens de s'en protéger, ainsi que d'autres lettres similaires.
Le problème de la protection contre le spam – courrier non sollicité à caractère publicitaire – se pose quasiment de la même manière. Et pour résoudre ce problème, il existe moyens spéciaux - filtres anti-spam, qui peut également être utilisé pour se protéger contre les vers de messagerie.
L'application la plus évidente est lorsque vous recevez le premier e-mail infecté (en l'absence d'antivirus, cela peut être déterminé par des signes indirects), que vous le marquez comme spam et qu'à l'avenir, tous les autres e-mails infectés seront bloqués par le filtre.
De plus, les vers de messagerie sont connus pour comporter un grand nombre de modifications légèrement différentes les unes des autres. Un filtre anti-spam peut donc également contribuer à lutter contre les nouvelles modifications des virus connus dès le début de l’épidémie. En ce sens, le filtre anti-spam est encore plus efficace que l'antivirus, car pour que l'antivirus détecte une nouvelle modification, il faut attendre la mise à jour des bases antivirus.
4. Filtres de réseau personnel.
DANS dernières années un grand nombre de filtres de paquets, appelés pare-feu, ou pare-feu (fire-wall), - pare-feu, sont apparus sur le marché de la sécurité de l'information. Les pare-feu sont également utiles au niveau individuel. L’utilisateur moyen est presque toujours intéressé par une solution bon marché ou gratuite à ses problèmes. De nombreux pare-feu sont disponibles gratuitement. Certains pare-feu sont livrés avec des systèmes d'exploitation tels que Windows XP et Vac OS. Si vous en utilisez un systèmes d'exploitation, vous avez déjà installé le pare-feu principal.
Un pare-feu est une barrière logicielle et/ou matérielle entre deux réseaux qui permet d'établir uniquement les connexions autorisées. Le pare-feu protège votre connexion Internet. réseau local ou un ordinateur personnel séparé de la pénétration extérieure et élimine la possibilité d'accès aux informations confidentielles.
Pare-feu gratuits populaires :
alarme de zone;
Pare-feu personnel Kerio 2 ;
Avant-poste d'Agnitum
Pare-feu bon marché avec une durée d'utilisation gratuite ou limitée :
Pare-feu personnel Norton ;
Protection PC ICE noire
Pare-feu personnel MCAfee
Petit pare-feu personnel
Cette liste peut être un bon point de départ pour choisir un pare-feu personnel qui vous permettra de surfer sur Internet sans craindre d'être infecté par des virus informatiques.
6. Le résultat de la leçon.
Qu'avez-vous appris de nouveau pendant la leçon ?
Était-ce intéressant de travailler pendant la leçon ?
Qu'as-tu appris?
Avez-vous atteint l'objectif que vous vous êtes fixé au début de la leçon ?
7. Devoirs.
Remplissez la fiche « Sécurité de l'information »
Dispositions organisationnelles | Types de programmes antivirus | Types de virus |
|
De l'habitat | |||