ЗМІСТ
Введення
1. Технологія аналізу захищеності
2. Технологія виявлення впливу порушника
3. Технологія захисту інформації від НСД
4. Технологія антивірусного захисту
Висновок
Список літератури
Захист інформації - це комплекс заходів, спрямованих на забезпечення інформаційної безпеки.
Таким чином, правильний з методологічної точки зору підхід до проблем інформаційної безпеки починається з виявлення суб'єктів інформаційних відносин та інтересів цих суб'єктів, пов'язаних з використанням інформаційних систем (ІС). Загрози інформаційній безпеці - це зворотний бік використання інформаційних технологій.
З цього положення можна вивести два важливих наслідки:
1. Трактування проблем, пов'язаних з інформаційною безпекою, для різних категорій суб'єктів може істотно різнитися. Для ілюстрації досить зіставити режимні державні організації та навчальні інститути. У першому випадку "хай краще все зламається, ніж ворог дізнається хоч один секретний біт", у другому - "так немає у нас жодних секретів, аби все працювало".
2. Інформаційна безпека не зводиться виключно до захисту від несанкціонованого доступу до інформації, це принципово ширше поняття. Суб'єкт інформаційних відносин може постраждати (зазнати збитки та / або отримати моральну шкоду) не тільки від несанкціонованого доступу, а й від поломки системи, що викликала перерву в роботі. Більше того, для багатьох відкритих організацій (наприклад, навчальних) власне захист від несанкціонованого доступу до інформації стоїть за важливістю аж ніяк не на першому місці.
Повертаючись до питань термінології, відзначимо, що термін "комп'ютерна безпека" (як еквівалент або замінник ІБ) представляється нам занадто вузьким. Комп'ютери - лише одна зі складових інформаційних систем, і хоча наша увага буде зосереджена в першу чергу на інформації, яка зберігається, обробляється і передається за допомогою комп'ютерів, її безпека визначається всією сукупністю складових і, в першу чергу, найслабшою ланкою, яким у переважній більшості випадків виявляється людина (записав, наприклад, свій пароль на "гірчичник", приліплений до монітора).
Відповідно до визначення інформаційної безпеки, вона залежить не тільки від комп'ютерів, але і від підтримуючої інфраструктури, до якої можна віднести системи електро-, водо-і теплопостачання, кондиціонери, засоби комунікацій і, звичайно, обслуговуючий персонал. Ця інфраструктура має самостійну цінність, але нас цікавитиме лише те, як вона впливає на виконання інформаційною системою приписаних їй функцій.
Звернемо увагу, що у визначенні ІБ перед іменником "шкода" стоїть прикметник "неприйнятний". Очевидно, застрахуватися від всіх видів збитку неможливо, тим більше неможливо зробити це економічно доцільним способом, коли вартість захисних засобів і заходів не перевищує розмір очікуваного збитку. Значить, з чимось доводиться миритися і захищатися слід тільки від того, з чим змиритися ніяк не можна. Іноді таким неприпустимим збитком є нанесення шкоди здоров'ю людей або стану навколишнього середовища, але частіше поріг неприйнятність має матеріальне (грошове) вираження, а метою захисту інформації стає зменшення розмірів збитку до допустимих значень.
Інформаційна безпека телекомунікаційних систем є одним з важливих аспектів інформаційної безпеки держави в цілому. Можна виділити цілий ряд очевидних факторів, існування яких додасть проблеми інформаційної безпеки телекомунікаційних систем особливої актуальності при формуванні системного погляду на сучасне життя суспільства і держави.
Проблеми інформаційної безпеки держави в нинішніх умовах є невід'ємною частиною життя сучасного суспільства. Більше того, вони стали найважливішими завданнями внутрішньої і зовнішньої політики багатьох держав світу. Активне обговорення питань забезпечення інформаційної безпеки інфокомунікаційних систем Росії на проходять наукових і науково-технічних конференціях, а також на сторінках спеціальних видань свідчить про велику актуальність багатьох ключових проблем, пов'язаних з появою нових видів інформаційної зброї, серйозними руйнівними наслідками його застосування, недостатньою ефективністю можливих засобів захисту і т.д. Не вироблені до цих пір і досить ефективні шляхи вирішення цих проблем.
Існуючі засоби аналізу захищеності, що реалізують метод аналізу вихідних текстів ПЗ, не можуть бути використані для виявлення технологічних вразливостей ПО вузлів ГСПД і ЦУС, оскільки основна частина вихідних текстів ПО вузлів ГСПД і ЦУС є «закритою», тобто інтелектуальною власністю виробників ПЗ, і не підлягає розповсюдженню поза рамками компанії-розробника. Процедура ж дезассемблірованія, яка може бути застосована для отримання вихідного коду ПЗ вузлів ГСПД і ЦУС з виконуваних модулів програм, не може однозначно гарантувати, що отриманий в результаті цієї процедури вихідний код відповідає дизасемблювати програмі. Це пов'язано з тим, що в процесі дезассемблірованія не завжди є можливість визначити різницю між виконуваними командами та даними програми.
Виявлення технологічних вразливостей ПЗ АС за допомогою аналізу виконуваного коду ПЗ здійснюється шляхом запуску програми АС в рамках тестового середовища, яка перевіряє правильність виконання цієї програми. У процесі виконання програми для неї формується ряд запитів, після чого аналізується реакція тестованої програми, тобто яким чином виконуваний код програми впливає на стан тестового середовища. Якщо в результаті сформованого запиту тестова середу переходить в небезпечний стан, що веде, наприклад, до порушення працездатності АС, то робиться висновок про наявність ряду вразливостей в програмі, що тестується. Такий метод виявлення вразливостей дозволяє виявити ряд помилок, внесених на технологічному етапі, наприклад помилки, що призводять до переповнення буфера, помилки неправильного доступу до пам'яті, вихід за межі масиву даних та ін Основним недоліком розглянутого методу є відсутність гарантій виявлення всіх технологічних вразливостей ПЗ АС, оскільки змоделювати всі можливі стани середовища, в рамках якої виконується програма АС, не представляється можливим.
Існуючі засоби виявлення технологічних вразливостей за допомогою аналізу виконуваного коду можуть бути використані тільки для аналізу захищеності ПЗ ЦУС, оскільки воно базується на стандартних ОС. В даний час на вітчизняному ринку ІБ відсутні засоби аналізу захищеності ПО вузлів ГСПД, які використовують спеціалізовані ОС. Останній спосіб виявлення технологічних вразливостей полягає в імітації ВН на АС та аналізі результатів моделювання цих ВН. У випадку, якщо процес моделювання ВН завершується успіхом, то система робить висновок про наявність уразливості в ПЗ тестованої АС.
Розглянуті вище засоби аналізу захищеності, що функціонують за допомогою імітації ВН, можуть бути використані для виявлення вразливостей ПЗ як вузлів ГСПД, так і ЦУС. Тим не менш, необхідно відзначити, що в даний час системи цього класу, представлені на вітчизняному ринку ІБ, можуть застосовуватися тільки в ГСПД, що функціонують на основі стеку протоколів ТСР / IР.
Виявлення експлуатаційних вразливостей АС може здійснюватися двома способами: за допомогою перевірки налаштувань програмно-апаратного забезпечення АС або за допомогою імітації ВН на АС. Перевірка налаштувань полягає у виявленні тих параметрів роботи програмно-апаратного забезпечення АС, які можуть бути використані порушником при реалізації впливу. Процедура імітації ВН реалізується розглянутими вище засобами моделювання атак, призначеними для виявлення технологічних вразливостей. Засоби виявлення експлуатаційних вразливостей також можуть бути використані для аналізу захищеності вузлів ГСПД і ЦУС.
Проведений аналіз існуючих на вітчизняному ринку засобів виявлення технологічних та експлуатаційних вразливостей показує, що жодна з існуючих коштів не дозволяє гарантувати стовідсоткове виявлення всіх вразливостей, присутніх у ПО вузлів ГСПД і ЦУС. Так, наприклад, в даний час відсутня можливість виявлення за допомогою систем аналізу захищеності тих «закладок», докладний опис параметрів яких не закладено в систему аналізу захищеності.
- Формування банку даних, що містить відомості про роботу АС, який згодом може бути використаний для виявлення ВН на АС, що захищаються системою виявлення ВН. Банк даних, що формується системою виявлення, може включати в себе: параметри заголовків повідомлень, що надходять в АС, час, кількість і обсяг даних, що надходять в АС, число встановлених логічних з'єднань з АС за одиницю часу, поточний рівень завантаження АС, контрольні суми програмного забезпечення АС та ін;
- Визначення на базі сформованого банку даних фактів проведення ВИ на інформаційні ресурси та інфраструктури АС, що захищаються системою виявлення.
Першу функцію систем виявлення ВН виконують сенсори, а другу - аналізатори. Налаштування параметрів роботи сенсорів і аналізаторів здійснюється центром управління системою виявлення ВН. В даний час існує два основних типи сенсорів: сенсори, що функціонують на базі аналізу журналів аудиту АС, і сенсори, що функціонують на базі аналізу трафіку, передаваного по каналу зв'язку, до якого підключена АС.
Основне завдання сенсорів, що функціонують на базі аналізу журналів аудиту АС, полягає у формуванні банку даних, що містить відомості про роботу АС. Такий банк даних створюється на базі реєстраційних записів журналів аудиту, формованих АС. Схематично структура системи виявлення ВН, що включає сенсори, що функціонують на базі аналізу журналу аудиту, зображена на рис. 1.
рис.1. Структура системи виявлення ВН
Недоліком сенсорів, що функціонують на базі аналізу журналів аудиту АС, є платформна залежність, оскільки необхідна для системи виявлення ВН інформація по-різному представлена в різних ОС, під керуванням яких функціонують АС. Так, наприклад, характер подання реєстраційної інформації в журналах ОС робочих станцій користувачів відрізняється від варіанту подання ОС, що використовується в більшості серверів.
До переваг сенсорів, що функціонують на базі аналізу журналів аудиту АС, можна віднести відносно невеликий об'єм і високу точність даних, що витягають сенсором з журналів аудиту АС. Оскільки витягнута інформація не вимагає подальших перетворень і готова до обробки, то системи виявлення із сенсорами на базі аналізу журналу аудиту АС володіють високою швидкодією.
Основне завдання сенсорів, що функціонують на базі аналізу трафіку, полягає в перехопленні повідомлень, переданих по каналах зв'язку, до яких підключена АС, і формуванні банку даних, що містить інформацію про роботу АС. Критерії перехоплення повідомлень повинні задаватися адміністратором безпеки. Схематично структура системи виявлення ВН з сенсорами на базі аналізу мережевого трафіку відображена на рис. 2.4.
рис.2. Структура системи виявлення
Після того як сенсор здійснив перехоплення повідомлення, він повинен отримати з заголовка повідомлення і помістити в банк даних системи виявлення необхідну інформацію, таку як типи і параметри протоколів, використовуваних для формування повідомлень, що надходять в АС, час, кількість і обсяг переданих повідомлень і ін Накопичений в базі даних матеріал дозволить аналізатору системи зробити висновок про наявність ВН на АС.
У порівнянні з сенсорами, що функціонують на базі аналізу журналів аудиту АС, даний тип сенсорів, що базується на аналізі канального трафіку, дозволяє отримувати більший обсяг інформації про роботу АС, що дозволяє виявляти більше число ВН. Так, наприклад, сенсори, що функціонують на базі аналізу журналів аудиту, як правило, не фіксують апаратні адреси АС, які обмінюються між собою повідомленнями, що дозволяє порушнику виконати несанкціоновані дії шляхом фальсифікації свого апаратної адреси. У цьому випадку виявити ВН цього типу здатна лише система виявлення, що включає сенсори, що функціонують на базі аналізу канального трафіку. Іншою перевагою сенсорів цього типу є висока ступінь відмовостійкості. Це пояснюється тим, що сенсори, що функціонують на базі аналізу журналів аудиту, жорстко прив'язані до АС, на якій зберігається журнал, тобто у разі виведення з ладу АС перестане функціонувати і сенсор. У той же час сенсори, що функціонують на основі аналізу канального трафіку, встановлюються в канали зв'язку і не залежать від працездатності оточуючих їх АС.
Діяльність організації забезпечується системою взаємопов'язаних управлінської документації. Її склад визначається компетенцією структурних підрозділів організації, порядком вирішення питань (єдиноначальні чи колегіальний), обсягом і характером взаємозв'язків між організацією та її структурними підрозділами, іншими органами управління та організаціями.
Процес виявлення та регламентації складу інформації - це таємниця фірми, яка є основоположною частиною системи захисту інформації. Склад цих відомостей фіксується в спеціальному переліку, де закріплюється факт віднесення їх до інформації, що захищається і визначальний період конфіденційності відомостей, рівень або гриф таємності, а також список осіб, які мають право використовувати їх відома.
Цінність інформації та вимоги до її надійності перебувають у прямій залежності. Цінність інформації може бути виражена в грошовому еквіваленті і характеризувати конкретний розмір прибутку при її використанні чи розмір збитків при її втраті. Виробнича або комерційна цінність недовговічна і визначається часом, необхідним конкурентам для вироблення тієї ж ідеї чи її розкрадання.
- Паролі, що вводяться користувачем з клавіатури;
- Смарт-карти;
- Ідентифікатори;
- Електронні 118В-ключі;
- Криптографічні ключі користувача;
- Біометричні параметри користувача та ін
Узагальнений алгоритм роботи засобів, побудованих на базі технології захисту інформації від НСД, виглядає наступним чином. На етапі отримання доступу до будь-якого інформаційного ресурсу або інфраструктурі АС засоби захисту запитують аутентифікаційні параметри суб'єкта доступу і порівнюють їх зі значеннями, що зберігаються в БД засоби захисту. У разі встановлення відповідності між порівнюваними величинами суб'єкту дозволяється доступ до відповідних ресурсів і інфраструктур АС. В іншому випадку засіб захисту інформації від НСД кілька разів повторює запит на повторне введення аутентифікаційних даних, після чого блокує доступ до АС і сигналізує адміністратору безпеки про спробу отримання несанкціонованого доступу. У разі якщо АС функціонує в багатокористувацької середовищі, то крім простого контролю доступу засоби захисту інформації від НСД виконують функції розмежування прав доступу різних користувачів до ресурсів і інфраструктур АС.
На додаток до функцій аутентифікації засоби захисту інформації від НСД можуть виконувати контроль цілісності ресурсів та інфраструктур АС. Контроль цілісності може здійснюватися або на основі імітовставки алгоритму ГОСТ 28147-89 [7], або на основі функції хешування алгоритму ГОСТ Р 34.11-34. У цьому випадку засоби захисту інформації від НСД функціонують аналогічно системам виявлення ВН, що базується на методі контролю цілісності (див. п. 5.4). Як правило, для підвищення продуктивності засобами захисту інформації від НСД здійснюється контроль цілісності не всіх ресурсів та інфраструктур АС, а лише їх найбільш критичних компонентів. Контроль цілісності може здійснюватися як в процесі завантаження, так і динамічно в процесі функціонування АС.
У процесі свого функціонування засоби захисту інформації від НСД формують журнал аудиту безпеки, містить такі реєстраційні записи:
- Дату і час спроби доступу суб'єктів до ресурсів і інфраструктур АС із зазначенням її результату (успішний, неуспішна - несанкціонований);
- Ідентифікатор суб'єкта, пред'явлений при спробі отримання доступу;
- Аутентифікаційні параметри суб'єкта, пред'явлені при неуспішної спробі доступу.
Технологія антивірусного захисту реалізується за допомогою спеціалізованого програмного забезпечення, званого антивірусними програмами. Існує чотири основних типи антивірусних програм: сканери, програми контролю цілісності даних, монітори та гібридні антивірусні засоби.
Алгоритм роботи антивірусного сканера полягає у виявленні вірусів на базі сигнатур, що зберігаються в БД сканера. Сигнатура вірусу представляє послідовність коду, характерну для цього вірусу. Якщо в процесі аналізу інформаційних ресурсів та інфраструктур АС на предмет наявності вірусів сканер зустріне фрагмент коду, відповідний сигнатурі, що зберігається в його БД, то він сигналізує про виявлення вірусу. Недоліком антивірусних сканерів є неможливість виявлення тих вірусів, яких немає в його БД. Для усунення цього недоліку в сканерах використовується додатковий компонент - евристичний аналізатор, призначений для виявлення вірусів, заздалегідь невідомих сканера. Однак даний метод виявлення вірусів є недостатньо надійним і характеризується великою кількістю помилкових спрацьовувань.
Програми контролю цілісності даних призначені для виявлення вірусів шляхом відстеження змін, внесених в інформаційні ресурси та інфраструктури захищається АС. Контроль змін ресурсів та інфраструктур здійснюється за допомогою механізму контрольних сум. Алгоритм роботи антивірусних програм цього типу аналогічний роботі систем виявлення ВН. побудованих на базі методу контролю цілісності.
Антивірусні монітори - це спеціальні програми, які функціонують у фоновому режимі ОС захищається АС і здійснюють перевірку всіх ресурсів, інфраструктури, з якими працює ОС АС. При цьому виявлення вірусів здійснюється за допомогою розглянутих вище алгоритмів роботи антивірусних сканерів.
• цілісність - актуальність та несуперечність інформації, її захищеність від руйнування і несанкціонованого зміни;
• конфіденційність - захист від несанкціонованого ознайомлення з інформацією;
• доступність - можливість за прийнятний час одержати необхідну інформацію, інформаційну послугу.
Найбільш ймовірними причинами порушення доступності інформації можна вважати наступні:
• віднесення до інформації обмеженого доступу інформаційних ресурсів, які відповідно до законодавства РФ є відкритими;
• локалізація інформаційних ресурсів усередині окремих підрозділів через небажання керівництва цих підрозділів надавати інформацію працівникам інших підрозділів, навіть на шкоду загальній справі;
• збільшення часу відгуку системи у зв'язку з недостатньою продуктивністю програмно-технічних засобів або із-за ненадійності програм або технічних засобів.
Питання інформаційної безпеки в СД МТ слід вирішувати на основі комплексного врахування всіх трьох названих аспектів. При цьому необхідно мати на увазі два істотних фактори:
• дію аспектів цілісності та конфіденційності, з одного боку, і доступності, з іншого боку, звичайно протилежно. Підвищення рівня цілісності та конфіденційності практично завжди веде до збільшення часу реакції системи, додатковим затримок інформації, тобто до погіршення доступності. Можна зробити систему, добре захищену від НСД, але зовсім непридатну для роботи в режимі, близькому до реального масштабу часу;
• підвищення рівня цілісності та конфіденційності, як правило, пов'язане з різким зростанням вартості системи, а це може виявитися практично неприйнятним для СД.
Потреба в захисті інформації залежить від роду виконуваної вами роботи і від чутливості інформації, якою ви керуєте. Проте всі хочуть секретності і почуття безпеки, яке з'являється разом з обгрунтованою впевненістю в тому, що вони не можуть стати жертвою порушення захисту інформації.
Діяльність організації забезпечується системою взаємопов'язаних управлінської документації. Її склад визначається компетенцією структурних підрозділів організації, порядком вирішення питань (єдиноначальні чи колегіальний), обсягом і характером взаємозв'язків між організацією та її структурними підрозділами, іншими органами управління та організаціями.
Процес виявлення та регламентації складу інформації - це таємниця фірми, яка є основоположною частиною системи захисту інформації. Склад цих відомостей фіксується в спеціальному переліку, де закріплюється факт віднесення їх до інформації, що захищається і визначальний період конфіденційності відомостей, рівень або гриф таємності, а також список осіб, які мають право використовувати їх відома.
Цінність інформації та вимоги до її надійності перебувають у прямій залежності. Цінність інформації може бути виражена в грошовому еквіваленті і характеризувати конкретний розмір прибутку при її використанні чи розмір збитків при її втраті. Виробнича або комерційна цінність недовговічна і визначається часом, необхідним конкурентам для вироблення тієї ж ідеї чи її розкрадання.
Розгляд питань забезпечення гарантованих якісних характеристик процесу передачі даних ГСПД або якості обслуговування ГСПД в умовах можливих впливів порушника інформаційним зброєю на інформаційну сферу ГСПД і становить основу проблеми забезпечення ІБ ТТ.
Впровадження в мережах зв'язку Росії передових телекомунікаційних технологій, дає, з одного боку, істотний ефект у наданні користувачам мереж сучасних послуг зв'язку, а, з іншого боку, створює передумови ризику блокування (як правило, в не самий сприятливий момент часу) процесу передачі інформації і , як наслідок, економічного, соціального та інших видів шкоди користувачеві, оператору зв'язку і державі. Порушники (зловмисники), що вторгаються в роботу мереж зв'язку, здатні не тільки добувати циркулює в них інформацію, але і вводити в засоби зв'язку або активізувати в певні моменти часу вже містяться в засобах зв'язку руйнують «віруси» та програмні закладки, спрямовані на порушення процесів функціонування мереж зв'язку аж до повного блокування процесу передачі інформації.
Розтин у використовуваних телекомунікаційних технологіях недоліків (уразливостей), що сприяють успішним діям порушника, та прийняття активних заходів захисту з підтримки сталого функціонування мереж зв'язку в умовах можливих впливів порушника - є основними завданнями при вирішенні проблем забезпечення їх інформаційної безпеки.
Розгляд питань забезпечення гарантованих якісних характеристик процесу передачі даних ГСПД або якості обслуговування ГСПД в умовах можливих впливів порушника інформаційним зброєю на інформаційну сферу ГСПД і становить основу проблеми забезпечення ІБ ТТ.
Рішення будь-якої нової проблеми вимагає попереднього рішення як мінімум двох завдань:
- Переконати всю ієрархію фахівців і чиновників, пов'язаних з вирішенням цієї проблеми, в необхідності її розв'язання;
- Втілити методологічну основу нової проблеми в механізми і технології, що створюють необхідний практичний базис її рішення.
2. Система забезпечення інформаційної безпеки взаємозв'язаної мережі зв'язку Російської Федерації. Терміни та визначення. Стандарт галузі. ОСТ 45.127-99.
3. Алгулієв PM Методи синтезу адаптивних систем забезпечення інформаційної безпеки корпоративних мереж. М.: УРСС, 2001.
4. Бєлоусов І.В. Інформаційна безпека телекомунікаційних мереж: проблеми та шляхи їх вирішення / / Безпека інформаційних технологій. 1999. № 1.
5. Бешелев С.Д., Гурвіч Р.Г. Математико-статистичні методи експертних оцінок. М.: Статистика, 1980 с.
6. Буяльський К.Л., Шахов В.Г. Організація роботи віддалених користувачів корпоративної мережі в захищеному режимі / / Відомчі корпоративні мережі системи. 2001. № 6.
7. Володін А.В., Устинов Г.М. Про гарантованій доставці інформації / / Документальна електрозв'язок. 1999. № 1.
8. Володін А.В., Устинов Г.М. Система захисту пакетів даних у процесі їх передачі у виділеному захищається фрагменті мережі передачі даних загального користування з комутацією пакетів від несанкціонованих впливів / / Російське агентство по патентах і товарних знаках Свідоцтво на корисну модель від 27.02.2001 р. № 16962.
9. Володін А.В., Устинов Г.Н., Алгулієв PM Як забезпечити безпеку мережі передачі даних / / Технології та засоби зв'язку. 1999. № 4.
10. Гриняв С.М. Інтелектуальне протидія інформаційного зброї. М.: Сінтег, 1999.
11. Кріс Касперски. Техніка мережних атак. М.: СОЛОН-Р, 2001.
12. Кульгин М. Технології корпоративних мереж. Спб.: Пітер, 2000.
13. Лукацький А. В. Виявлення атак. Спб.: БХВ-Санкт-Петербург, 2001.
14. Максим Кульгин. Технології корпоративних мереж. Спб.: Пітер, 2000.
15. Медведовський І.Д., Семьянов П.В., Леонов Д.Г. Атака на Інтернет. М: ДМК, 2000.
16. Милославська Н.Г., Толстой А.І. Інтрамережі: виявлення вторгнень. М.: Юніті, 2001.
17. Новиков А.А., Устинов Г.М. Захист процесу передачі даних від можливості його блокування внаслідок інформаційних впливів порушника на інформаційну сферу мережі передачі даних загального користування - основне завдання забезпечення інформаційної безпеки ВСР РФ / / Тр. 4-го Всеросійського галузевої наради «Безпечне функціонування галузі - складова частина національної безпеки» Мінзв'язку Росії-2001.
18. Оліфер В.Г., Оліфер Н.А. Комп'ютерні мережі. Принципи, технології, протоколи. Спб.: Пітер, 2000.
19. Петраков А. В. Основи практичної захисту інформації. М: Радіо і зв'язок, 2001.368с.
20. Приходько А. Я. Словник-довідник з інформаційної безпеки. М.: СІНТЕГ, 2001. 124 с.
21. Приходько А.Я. Інформаційна безпека в подіях та фактах. М.: СІНТЕГ. 2001.260с.
22. Скородумов Б.І. Інформаційна безпека. Забезпечення безпеки інформації електронних банків; Навчальний посібник. М.: МІФІ, 1995.
23. Устинов Г.Н.. Про проблему забезпечення інформаційної безпеки систем та мереж зв'язку / / Метрологія та вимірювальна техніка в зв'язку. 2000, № 3.
Введення
1. Технологія аналізу захищеності
2. Технологія виявлення впливу порушника
3. Технологія захисту інформації від НСД
4. Технологія антивірусного захисту
Висновок
Список літератури
Введення
Під інформаційною безпекою розуміють захищеність інформації і підтримуючої інфраструктури від випадкових або навмисних впливів природного або штучного характеру, які можуть завдати неприйнятний збиток суб'єктам інформаційних відносин, у тому числі власникам і користувачам інформації і підтримуючої інфраструктури. (Трохи далі ми пояснимо, що слід розуміти під підтримуючої інфраструктурою.)Захист інформації - це комплекс заходів, спрямованих на забезпечення інформаційної безпеки.
Таким чином, правильний з методологічної точки зору підхід до проблем інформаційної безпеки починається з виявлення суб'єктів інформаційних відносин та інтересів цих суб'єктів, пов'язаних з використанням інформаційних систем (ІС). Загрози інформаційній безпеці - це зворотний бік використання інформаційних технологій.
З цього положення можна вивести два важливих наслідки:
1. Трактування проблем, пов'язаних з інформаційною безпекою, для різних категорій суб'єктів може істотно різнитися. Для ілюстрації досить зіставити режимні державні організації та навчальні інститути. У першому випадку "хай краще все зламається, ніж ворог дізнається хоч один секретний біт", у другому - "так немає у нас жодних секретів, аби все працювало".
2. Інформаційна безпека не зводиться виключно до захисту від несанкціонованого доступу до інформації, це принципово ширше поняття. Суб'єкт інформаційних відносин може постраждати (зазнати збитки та / або отримати моральну шкоду) не тільки від несанкціонованого доступу, а й від поломки системи, що викликала перерву в роботі. Більше того, для багатьох відкритих організацій (наприклад, навчальних) власне захист від несанкціонованого доступу до інформації стоїть за важливістю аж ніяк не на першому місці.
Повертаючись до питань термінології, відзначимо, що термін "комп'ютерна безпека" (як еквівалент або замінник ІБ) представляється нам занадто вузьким. Комп'ютери - лише одна зі складових інформаційних систем, і хоча наша увага буде зосереджена в першу чергу на інформації, яка зберігається, обробляється і передається за допомогою комп'ютерів, її безпека визначається всією сукупністю складових і, в першу чергу, найслабшою ланкою, яким у переважній більшості випадків виявляється людина (записав, наприклад, свій пароль на "гірчичник", приліплений до монітора).
Відповідно до визначення інформаційної безпеки, вона залежить не тільки від комп'ютерів, але і від підтримуючої інфраструктури, до якої можна віднести системи електро-, водо-і теплопостачання, кондиціонери, засоби комунікацій і, звичайно, обслуговуючий персонал. Ця інфраструктура має самостійну цінність, але нас цікавитиме лише те, як вона впливає на виконання інформаційною системою приписаних їй функцій.
Звернемо увагу, що у визначенні ІБ перед іменником "шкода" стоїть прикметник "неприйнятний". Очевидно, застрахуватися від всіх видів збитку неможливо, тим більше неможливо зробити це економічно доцільним способом, коли вартість захисних засобів і заходів не перевищує розмір очікуваного збитку. Значить, з чимось доводиться миритися і захищатися слід тільки від того, з чим змиритися ніяк не можна. Іноді таким неприпустимим збитком є нанесення шкоди здоров'ю людей або стану навколишнього середовища, але частіше поріг неприйнятність має матеріальне (грошове) вираження, а метою захисту інформації стає зменшення розмірів збитку до допустимих значень.
Інформаційна безпека телекомунікаційних систем є одним з важливих аспектів інформаційної безпеки держави в цілому. Можна виділити цілий ряд очевидних факторів, існування яких додасть проблеми інформаційної безпеки телекомунікаційних систем особливої актуальності при формуванні системного погляду на сучасне життя суспільства і держави.
Проблеми інформаційної безпеки держави в нинішніх умовах є невід'ємною частиною життя сучасного суспільства. Більше того, вони стали найважливішими завданнями внутрішньої і зовнішньої політики багатьох держав світу. Активне обговорення питань забезпечення інформаційної безпеки інфокомунікаційних систем Росії на проходять наукових і науково-технічних конференціях, а також на сторінках спеціальних видань свідчить про велику актуальність багатьох ключових проблем, пов'язаних з появою нових видів інформаційної зброї, серйозними руйнівними наслідками його застосування, недостатньою ефективністю можливих засобів захисту і т.д. Не вироблені до цих пір і досить ефективні шляхи вирішення цих проблем.
1. Технологія аналізу захищеності
Технологія аналізу захищеності являє собою сукупність методів виявлення технологічних та експлуатаційних вразливостей ПЗ АС [11]. Дана технологія реалізується за допомогою систем аналізу захищеності або сканерів безпеки, що представляють собою спеціалізоване ПЗ. Розглянемо більш детально методи виявлення технологічних та експлуатаційних вразливостей і проаналізуємо можливість використання існуючих засобів, що реалізують ці методи, для виявлення вразливостей ПО вузлів ГСПД і ЦУС.Існуючі засоби аналізу захищеності, що реалізують метод аналізу вихідних текстів ПЗ, не можуть бути використані для виявлення технологічних вразливостей ПО вузлів ГСПД і ЦУС, оскільки основна частина вихідних текстів ПО вузлів ГСПД і ЦУС є «закритою», тобто інтелектуальною власністю виробників ПЗ, і не підлягає розповсюдженню поза рамками компанії-розробника. Процедура ж дезассемблірованія, яка може бути застосована для отримання вихідного коду ПЗ вузлів ГСПД і ЦУС з виконуваних модулів програм, не може однозначно гарантувати, що отриманий в результаті цієї процедури вихідний код відповідає дизасемблювати програмі. Це пов'язано з тим, що в процесі дезассемблірованія не завжди є можливість визначити різницю між виконуваними командами та даними програми.
Виявлення технологічних вразливостей ПЗ АС за допомогою аналізу виконуваного коду ПЗ здійснюється шляхом запуску програми АС в рамках тестового середовища, яка перевіряє правильність виконання цієї програми. У процесі виконання програми для неї формується ряд запитів, після чого аналізується реакція тестованої програми, тобто яким чином виконуваний код програми впливає на стан тестового середовища. Якщо в результаті сформованого запиту тестова середу переходить в небезпечний стан, що веде, наприклад, до порушення працездатності АС, то робиться висновок про наявність ряду вразливостей в програмі, що тестується. Такий метод виявлення вразливостей дозволяє виявити ряд помилок, внесених на технологічному етапі, наприклад помилки, що призводять до переповнення буфера, помилки неправильного доступу до пам'яті, вихід за межі масиву даних та ін Основним недоліком розглянутого методу є відсутність гарантій виявлення всіх технологічних вразливостей ПЗ АС, оскільки змоделювати всі можливі стани середовища, в рамках якої виконується програма АС, не представляється можливим.
Існуючі засоби виявлення технологічних вразливостей за допомогою аналізу виконуваного коду можуть бути використані тільки для аналізу захищеності ПЗ ЦУС, оскільки воно базується на стандартних ОС. В даний час на вітчизняному ринку ІБ відсутні засоби аналізу захищеності ПО вузлів ГСПД, які використовують спеціалізовані ОС. Останній спосіб виявлення технологічних вразливостей полягає в імітації ВН на АС та аналізі результатів моделювання цих ВН. У випадку, якщо процес моделювання ВН завершується успіхом, то система робить висновок про наявність уразливості в ПЗ тестованої АС.
Розглянуті вище засоби аналізу захищеності, що функціонують за допомогою імітації ВН, можуть бути використані для виявлення вразливостей ПЗ як вузлів ГСПД, так і ЦУС. Тим не менш, необхідно відзначити, що в даний час системи цього класу, представлені на вітчизняному ринку ІБ, можуть застосовуватися тільки в ГСПД, що функціонують на основі стеку протоколів ТСР / IР.
Виявлення експлуатаційних вразливостей АС може здійснюватися двома способами: за допомогою перевірки налаштувань програмно-апаратного забезпечення АС або за допомогою імітації ВН на АС. Перевірка налаштувань полягає у виявленні тих параметрів роботи програмно-апаратного забезпечення АС, які можуть бути використані порушником при реалізації впливу. Процедура імітації ВН реалізується розглянутими вище засобами моделювання атак, призначеними для виявлення технологічних вразливостей. Засоби виявлення експлуатаційних вразливостей також можуть бути використані для аналізу захищеності вузлів ГСПД і ЦУС.
Проведений аналіз існуючих на вітчизняному ринку засобів виявлення технологічних та експлуатаційних вразливостей показує, що жодна з існуючих коштів не дозволяє гарантувати стовідсоткове виявлення всіх вразливостей, присутніх у ПО вузлів ГСПД і ЦУС. Так, наприклад, в даний час відсутня можливість виявлення за допомогою систем аналізу захищеності тих «закладок», докладний опис параметрів яких не закладено в систему аналізу захищеності.
2. Технологія виявлення впливу порушника
Технологія виявлення ВН являє собою сукупність методів виявлення атак порушника на АС [14, 23]. Дана технологія реалізується за допомогою спеціалізованих програмно-апаратних комплексів, званих системами виявлення ВН, що виконують дві основні функції:- Формування банку даних, що містить відомості про роботу АС, який згодом може бути використаний для виявлення ВН на АС, що захищаються системою виявлення ВН. Банк даних, що формується системою виявлення, може включати в себе: параметри заголовків повідомлень, що надходять в АС, час, кількість і обсяг даних, що надходять в АС, число встановлених логічних з'єднань з АС за одиницю часу, поточний рівень завантаження АС, контрольні суми програмного забезпечення АС та ін;
- Визначення на базі сформованого банку даних фактів проведення ВИ на інформаційні ресурси та інфраструктури АС, що захищаються системою виявлення.
Першу функцію систем виявлення ВН виконують сенсори, а другу - аналізатори. Налаштування параметрів роботи сенсорів і аналізаторів здійснюється центром управління системою виявлення ВН. В даний час існує два основних типи сенсорів: сенсори, що функціонують на базі аналізу журналів аудиту АС, і сенсори, що функціонують на базі аналізу трафіку, передаваного по каналу зв'язку, до якого підключена АС.
Основне завдання сенсорів, що функціонують на базі аналізу журналів аудиту АС, полягає у формуванні банку даних, що містить відомості про роботу АС. Такий банк даних створюється на базі реєстраційних записів журналів аудиту, формованих АС. Схематично структура системи виявлення ВН, що включає сенсори, що функціонують на базі аналізу журналу аудиту, зображена на рис. 1.
рис.1. Структура системи виявлення ВН
Недоліком сенсорів, що функціонують на базі аналізу журналів аудиту АС, є платформна залежність, оскільки необхідна для системи виявлення ВН інформація по-різному представлена в різних ОС, під керуванням яких функціонують АС. Так, наприклад, характер подання реєстраційної інформації в журналах ОС робочих станцій користувачів відрізняється від варіанту подання ОС, що використовується в більшості серверів.
До переваг сенсорів, що функціонують на базі аналізу журналів аудиту АС, можна віднести відносно невеликий об'єм і високу точність даних, що витягають сенсором з журналів аудиту АС. Оскільки витягнута інформація не вимагає подальших перетворень і готова до обробки, то системи виявлення із сенсорами на базі аналізу журналу аудиту АС володіють високою швидкодією.
Основне завдання сенсорів, що функціонують на базі аналізу трафіку, полягає в перехопленні повідомлень, переданих по каналах зв'язку, до яких підключена АС, і формуванні банку даних, що містить інформацію про роботу АС. Критерії перехоплення повідомлень повинні задаватися адміністратором безпеки. Схематично структура системи виявлення ВН з сенсорами на базі аналізу мережевого трафіку відображена на рис. 2.4.
рис.2. Структура системи виявлення
Після того як сенсор здійснив перехоплення повідомлення, він повинен отримати з заголовка повідомлення і помістити в банк даних системи виявлення необхідну інформацію, таку як типи і параметри протоколів, використовуваних для формування повідомлень, що надходять в АС, час, кількість і обсяг переданих повідомлень і ін Накопичений в базі даних матеріал дозволить аналізатору системи зробити висновок про наявність ВН на АС.
У порівнянні з сенсорами, що функціонують на базі аналізу журналів аудиту АС, даний тип сенсорів, що базується на аналізі канального трафіку, дозволяє отримувати більший обсяг інформації про роботу АС, що дозволяє виявляти більше число ВН. Так, наприклад, сенсори, що функціонують на базі аналізу журналів аудиту, як правило, не фіксують апаратні адреси АС, які обмінюються між собою повідомленнями, що дозволяє порушнику виконати несанкціоновані дії шляхом фальсифікації свого апаратної адреси. У цьому випадку виявити ВН цього типу здатна лише система виявлення, що включає сенсори, що функціонують на базі аналізу канального трафіку. Іншою перевагою сенсорів цього типу є висока ступінь відмовостійкості. Це пояснюється тим, що сенсори, що функціонують на базі аналізу журналів аудиту, жорстко прив'язані до АС, на якій зберігається журнал, тобто у разі виведення з ладу АС перестане функціонувати і сенсор. У той же час сенсори, що функціонують на основі аналізу канального трафіку, встановлюються в канали зв'язку і не залежать від працездатності оточуючих їх АС.
Діяльність організації забезпечується системою взаємопов'язаних управлінської документації. Її склад визначається компетенцією структурних підрозділів організації, порядком вирішення питань (єдиноначальні чи колегіальний), обсягом і характером взаємозв'язків між організацією та її структурними підрозділами, іншими органами управління та організаціями.
Процес виявлення та регламентації складу інформації - це таємниця фірми, яка є основоположною частиною системи захисту інформації. Склад цих відомостей фіксується в спеціальному переліку, де закріплюється факт віднесення їх до інформації, що захищається і визначальний період конфіденційності відомостей, рівень або гриф таємності, а також список осіб, які мають право використовувати їх відома.
Цінність інформації та вимоги до її надійності перебувають у прямій залежності. Цінність інформації може бути виражена в грошовому еквіваленті і характеризувати конкретний розмір прибутку при її використанні чи розмір збитків при її втраті. Виробнича або комерційна цінність недовговічна і визначається часом, необхідним конкурентам для вироблення тієї ж ідеї чи її розкрадання.
3. Технологія захисту інформації від НСД
Технологія захисту інформації від НСД [9] представляє собою сукупність методів і засобів захисту інформаційних ресурсів та інфраструктур АС від несанкціонованого ознайомлення та обробки, включаючи захист від несанкціонованої модифікації, знищення або копіювання інформації. Технологія захисту інформації від НСД базується на проведенні процедури ідентифікації і аутентифікації суб'єктів доступу до цієї інформації. Як аутентифікаційних параметрів доступу можуть виступати:- Паролі, що вводяться користувачем з клавіатури;
- Смарт-карти;
- Ідентифікатори;
- Електронні 118В-ключі;
- Криптографічні ключі користувача;
- Біометричні параметри користувача та ін
Узагальнений алгоритм роботи засобів, побудованих на базі технології захисту інформації від НСД, виглядає наступним чином. На етапі отримання доступу до будь-якого інформаційного ресурсу або інфраструктурі АС засоби захисту запитують аутентифікаційні параметри суб'єкта доступу і порівнюють їх зі значеннями, що зберігаються в БД засоби захисту. У разі встановлення відповідності між порівнюваними величинами суб'єкту дозволяється доступ до відповідних ресурсів і інфраструктур АС. В іншому випадку засіб захисту інформації від НСД кілька разів повторює запит на повторне введення аутентифікаційних даних, після чого блокує доступ до АС і сигналізує адміністратору безпеки про спробу отримання несанкціонованого доступу. У разі якщо АС функціонує в багатокористувацької середовищі, то крім простого контролю доступу засоби захисту інформації від НСД виконують функції розмежування прав доступу різних користувачів до ресурсів і інфраструктур АС.
На додаток до функцій аутентифікації засоби захисту інформації від НСД можуть виконувати контроль цілісності ресурсів та інфраструктур АС. Контроль цілісності може здійснюватися або на основі імітовставки алгоритму ГОСТ 28147-89 [7], або на основі функції хешування алгоритму ГОСТ Р 34.11-34. У цьому випадку засоби захисту інформації від НСД функціонують аналогічно системам виявлення ВН, що базується на методі контролю цілісності (див. п. 5.4). Як правило, для підвищення продуктивності засобами захисту інформації від НСД здійснюється контроль цілісності не всіх ресурсів та інфраструктур АС, а лише їх найбільш критичних компонентів. Контроль цілісності може здійснюватися як в процесі завантаження, так і динамічно в процесі функціонування АС.
У процесі свого функціонування засоби захисту інформації від НСД формують журнал аудиту безпеки, містить такі реєстраційні записи:
- Дату і час спроби доступу суб'єктів до ресурсів і інфраструктур АС із зазначенням її результату (успішний, неуспішна - несанкціонований);
- Ідентифікатор суб'єкта, пред'явлений при спробі отримання доступу;
- Аутентифікаційні параметри суб'єкта, пред'явлені при неуспішної спробі доступу.
4. Технологія антивірусного захисту
Технологія антивірусного захисту представляє собою сукупність методів виявлення і вилучення програмних компонентів, несанкціоновано впроваджених в інформаційну сферу АС і призначених для виконання несанкціонованих дій, спрямованих на реалізацію загроз ІБ. Такі програмні компоненти прийнято називати «вірусами» [46]. Приватними випадками вірусів є: інформаційні «закладки», інформаційні люки, програми типу «троянський кінь» та ін Внесення вірусів може здійснюватися порушником як на технологічному, так і на експлуатаційному етапі життєвого циклу ГСПД.Технологія антивірусного захисту реалізується за допомогою спеціалізованого програмного забезпечення, званого антивірусними програмами. Існує чотири основних типи антивірусних програм: сканери, програми контролю цілісності даних, монітори та гібридні антивірусні засоби.
Алгоритм роботи антивірусного сканера полягає у виявленні вірусів на базі сигнатур, що зберігаються в БД сканера. Сигнатура вірусу представляє послідовність коду, характерну для цього вірусу. Якщо в процесі аналізу інформаційних ресурсів та інфраструктур АС на предмет наявності вірусів сканер зустріне фрагмент коду, відповідний сигнатурі, що зберігається в його БД, то він сигналізує про виявлення вірусу. Недоліком антивірусних сканерів є неможливість виявлення тих вірусів, яких немає в його БД. Для усунення цього недоліку в сканерах використовується додатковий компонент - евристичний аналізатор, призначений для виявлення вірусів, заздалегідь невідомих сканера. Однак даний метод виявлення вірусів є недостатньо надійним і характеризується великою кількістю помилкових спрацьовувань.
Програми контролю цілісності даних призначені для виявлення вірусів шляхом відстеження змін, внесених в інформаційні ресурси та інфраструктури захищається АС. Контроль змін ресурсів та інфраструктур здійснюється за допомогою механізму контрольних сум. Алгоритм роботи антивірусних програм цього типу аналогічний роботі систем виявлення ВН. побудованих на базі методу контролю цілісності.
Антивірусні монітори - це спеціальні програми, які функціонують у фоновому режимі ОС захищається АС і здійснюють перевірку всіх ресурсів, інфраструктури, з якими працює ОС АС. При цьому виявлення вірусів здійснюється за допомогою розглянутих вище алгоритмів роботи антивірусних сканерів.
Висновок
Інформаційна безпека сучасних автоматизованих систем за загальноприйнятим підходу включає три взаємопов'язаних аспекти:• цілісність - актуальність та несуперечність інформації, її захищеність від руйнування і несанкціонованого зміни;
• конфіденційність - захист від несанкціонованого ознайомлення з інформацією;
• доступність - можливість за прийнятний час одержати необхідну інформацію, інформаційну послугу.
Найбільш ймовірними причинами порушення доступності інформації можна вважати наступні:
• віднесення до інформації обмеженого доступу інформаційних ресурсів, які відповідно до законодавства РФ є відкритими;
• локалізація інформаційних ресурсів усередині окремих підрозділів через небажання керівництва цих підрозділів надавати інформацію працівникам інших підрозділів, навіть на шкоду загальній справі;
• збільшення часу відгуку системи у зв'язку з недостатньою продуктивністю програмно-технічних засобів або із-за ненадійності програм або технічних засобів.
Питання інформаційної безпеки в СД МТ слід вирішувати на основі комплексного врахування всіх трьох названих аспектів. При цьому необхідно мати на увазі два істотних фактори:
• дію аспектів цілісності та конфіденційності, з одного боку, і доступності, з іншого боку, звичайно протилежно. Підвищення рівня цілісності та конфіденційності практично завжди веде до збільшення часу реакції системи, додатковим затримок інформації, тобто до погіршення доступності. Можна зробити систему, добре захищену від НСД, але зовсім непридатну для роботи в режимі, близькому до реального масштабу часу;
• підвищення рівня цілісності та конфіденційності, як правило, пов'язане з різким зростанням вартості системи, а це може виявитися практично неприйнятним для СД.
Потреба в захисті інформації залежить від роду виконуваної вами роботи і від чутливості інформації, якою ви керуєте. Проте всі хочуть секретності і почуття безпеки, яке з'являється разом з обгрунтованою впевненістю в тому, що вони не можуть стати жертвою порушення захисту інформації.
Діяльність організації забезпечується системою взаємопов'язаних управлінської документації. Її склад визначається компетенцією структурних підрозділів організації, порядком вирішення питань (єдиноначальні чи колегіальний), обсягом і характером взаємозв'язків між організацією та її структурними підрозділами, іншими органами управління та організаціями.
Процес виявлення та регламентації складу інформації - це таємниця фірми, яка є основоположною частиною системи захисту інформації. Склад цих відомостей фіксується в спеціальному переліку, де закріплюється факт віднесення їх до інформації, що захищається і визначальний період конфіденційності відомостей, рівень або гриф таємності, а також список осіб, які мають право використовувати їх відома.
Цінність інформації та вимоги до її надійності перебувають у прямій залежності. Цінність інформації може бути виражена в грошовому еквіваленті і характеризувати конкретний розмір прибутку при її використанні чи розмір збитків при її втраті. Виробнича або комерційна цінність недовговічна і визначається часом, необхідним конкурентам для вироблення тієї ж ідеї чи її розкрадання.
Розгляд питань забезпечення гарантованих якісних характеристик процесу передачі даних ГСПД або якості обслуговування ГСПД в умовах можливих впливів порушника інформаційним зброєю на інформаційну сферу ГСПД і становить основу проблеми забезпечення ІБ ТТ.
Впровадження в мережах зв'язку Росії передових телекомунікаційних технологій, дає, з одного боку, істотний ефект у наданні користувачам мереж сучасних послуг зв'язку, а, з іншого боку, створює передумови ризику блокування (як правило, в не самий сприятливий момент часу) процесу передачі інформації і , як наслідок, економічного, соціального та інших видів шкоди користувачеві, оператору зв'язку і державі. Порушники (зловмисники), що вторгаються в роботу мереж зв'язку, здатні не тільки добувати циркулює в них інформацію, але і вводити в засоби зв'язку або активізувати в певні моменти часу вже містяться в засобах зв'язку руйнують «віруси» та програмні закладки, спрямовані на порушення процесів функціонування мереж зв'язку аж до повного блокування процесу передачі інформації.
Розтин у використовуваних телекомунікаційних технологіях недоліків (уразливостей), що сприяють успішним діям порушника, та прийняття активних заходів захисту з підтримки сталого функціонування мереж зв'язку в умовах можливих впливів порушника - є основними завданнями при вирішенні проблем забезпечення їх інформаційної безпеки.
Розгляд питань забезпечення гарантованих якісних характеристик процесу передачі даних ГСПД або якості обслуговування ГСПД в умовах можливих впливів порушника інформаційним зброєю на інформаційну сферу ГСПД і становить основу проблеми забезпечення ІБ ТТ.
Рішення будь-якої нової проблеми вимагає попереднього рішення як мінімум двох завдань:
- Переконати всю ієрархію фахівців і чиновників, пов'язаних з вирішенням цієї проблеми, в необхідності її розв'язання;
- Втілити методологічну основу нової проблеми в механізми і технології, що створюють необхідний практичний базис її рішення.
Список літератури
1. ГОСТ 28147-89. Система обробки інформації. Захист криптографічний. Алгоритм криптографічного перетворення.2. Система забезпечення інформаційної безпеки взаємозв'язаної мережі зв'язку Російської Федерації. Терміни та визначення. Стандарт галузі. ОСТ 45.127-99.
3. Алгулієв PM Методи синтезу адаптивних систем забезпечення інформаційної безпеки корпоративних мереж. М.: УРСС, 2001.
4. Бєлоусов І.В. Інформаційна безпека телекомунікаційних мереж: проблеми та шляхи їх вирішення / / Безпека інформаційних технологій. 1999. № 1.
5. Бешелев С.Д., Гурвіч Р.Г. Математико-статистичні методи експертних оцінок. М.: Статистика, 1980 с.
6. Буяльський К.Л., Шахов В.Г. Організація роботи віддалених користувачів корпоративної мережі в захищеному режимі / / Відомчі корпоративні мережі системи. 2001. № 6.
7. Володін А.В., Устинов Г.М. Про гарантованій доставці інформації / / Документальна електрозв'язок. 1999. № 1.
8. Володін А.В., Устинов Г.М. Система захисту пакетів даних у процесі їх передачі у виділеному захищається фрагменті мережі передачі даних загального користування з комутацією пакетів від несанкціонованих впливів / / Російське агентство по патентах і товарних знаках Свідоцтво на корисну модель від 27.02.2001 р. № 16962.
9. Володін А.В., Устинов Г.Н., Алгулієв PM Як забезпечити безпеку мережі передачі даних / / Технології та засоби зв'язку. 1999. № 4.
10. Гриняв С.М. Інтелектуальне протидія інформаційного зброї. М.: Сінтег, 1999.
11. Кріс Касперски. Техніка мережних атак. М.: СОЛОН-Р, 2001.
12. Кульгин М. Технології корпоративних мереж. Спб.: Пітер, 2000.
13. Лукацький А. В. Виявлення атак. Спб.: БХВ-Санкт-Петербург, 2001.
14. Максим Кульгин. Технології корпоративних мереж. Спб.: Пітер, 2000.
15. Медведовський І.Д., Семьянов П.В., Леонов Д.Г. Атака на Інтернет. М: ДМК, 2000.
16. Милославська Н.Г., Толстой А.І. Інтрамережі: виявлення вторгнень. М.: Юніті, 2001.
17. Новиков А.А., Устинов Г.М. Захист процесу передачі даних від можливості його блокування внаслідок інформаційних впливів порушника на інформаційну сферу мережі передачі даних загального користування - основне завдання забезпечення інформаційної безпеки ВСР РФ / / Тр. 4-го Всеросійського галузевої наради «Безпечне функціонування галузі - складова частина національної безпеки» Мінзв'язку Росії-2001.
18. Оліфер В.Г., Оліфер Н.А. Комп'ютерні мережі. Принципи, технології, протоколи. Спб.: Пітер, 2000.
19. Петраков А. В. Основи практичної захисту інформації. М: Радіо і зв'язок, 2001.368с.
20. Приходько А. Я. Словник-довідник з інформаційної безпеки. М.: СІНТЕГ, 2001. 124 с.
21. Приходько А.Я. Інформаційна безпека в подіях та фактах. М.: СІНТЕГ. 2001.260с.
22. Скородумов Б.І. Інформаційна безпека. Забезпечення безпеки інформації електронних банків; Навчальний посібник. М.: МІФІ, 1995.
23. Устинов Г.Н.. Про проблему забезпечення інформаційної безпеки систем та мереж зв'язку / / Метрологія та вимірювальна техніка в зв'язку. 2000, № 3.