Комплексная информационная безопасность корпоративных информационных систем
Рассмотрены основные требования к системам информационной безопасности, описаны особенности, достоинства и недостатки, входящих в ее состав компонент. Проведен анализ наиболее распространённых информационных угроз и средств организации атак. Предложен вариант построения комплексной эшелонированной з...
Gespeichert in:
| Veröffentlicht in: | Управляющие системы и машины |
|---|---|
| Datum: | 2019 |
| 1. Verfasser: | |
| Format: | Artikel |
| Sprache: | Russian |
| Veröffentlicht: |
Міжнародний науково-навчальний центр інформаційних технологій і систем НАН та МОН України
2019
|
| Schlagworte: | |
| Online Zugang: | https://nasplib.isofts.kiev.ua/handle/123456789/161577 |
| Tags: |
Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
|
| Назва журналу: | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| Zitieren: | Комплексная информационная безопасность корпоративных информационных систем / Ю.М. Лисецкий // Управляющие системы и машины. — 2019. — № 1. — С. 68-75. — Бібліогр.: 15 назв. — рос. |
Institution
Digital Library of Periodicals of National Academy of Sciences of Ukraine| id |
nasplib_isofts_kiev_ua-123456789-161577 |
|---|---|
| record_format |
dspace |
| spelling |
Лисецкий, Ю.М. 2019-12-14T15:56:18Z 2019-12-14T15:56:18Z 2019 Комплексная информационная безопасность корпоративных информационных систем / Ю.М. Лисецкий // Управляющие системы и машины. — 2019. — № 1. — С. 68-75. — Бібліогр.: 15 назв. — рос. 0130-5395 DOI: https://doi.org/10.15407/usim.2019.01.068 https://nasplib.isofts.kiev.ua/handle/123456789/161577 004.9:004.75 Рассмотрены основные требования к системам информационной безопасности, описаны особенности, достоинства и недостатки, входящих в ее состав компонент. Проведен анализ наиболее распространённых информационных угроз и средств организации атак. Предложен вариант построения комплексной эшелонированной защиты корпоративной информационной системы и ее архитектура, обеспечивающая стабильную, управляемую и безопасную работу организации. Вступ. При побудові корпоративної інформаційної системи (КІС) будь-якої сучасної організації особливої уваги заслуговують питання інформаційної безпеки, що стали особливо актуальними останнім часом, так як КІС і особливо дані, що зберігаються в цих системах, поступово перетворилися в об’єкти стратегічного інтересу, що породжує «нескінченний» процес пошуку засобів і шляхів для несанкціонованого доступу до цих даних. Для забезпечення комплексної інформаційної безпеки КІС необхідна побудова надійної архітектури корпоративної системи інформаційної безпеки. Introduction. Implementation of a corporate information system (CIS) for any modern organization requires special attention to be paid to the issue of information security. This issue has recently grown extremely important as more and more CIS and data they store become the object of strategic interest. This brought about the endless search for tools and ways of unauthorized data access. To ensure complex information security of the CIS there is to be built a reliable architecture of the corporate system of the information security. ru Міжнародний науково-навчальний центр інформаційних технологій і систем НАН та МОН України Управляющие системы и машины Проблемы информационной безопасности Комплексная информационная безопасность корпоративных информационных систем Комплексна інформаційна безпека корпоративних інформаційних систем Complex Security of the Corporate Information Systems Article published earlier |
| institution |
Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| collection |
DSpace DC |
| title |
Комплексная информационная безопасность корпоративных информационных систем |
| spellingShingle |
Комплексная информационная безопасность корпоративных информационных систем Лисецкий, Ю.М. Проблемы информационной безопасности |
| title_short |
Комплексная информационная безопасность корпоративных информационных систем |
| title_full |
Комплексная информационная безопасность корпоративных информационных систем |
| title_fullStr |
Комплексная информационная безопасность корпоративных информационных систем |
| title_full_unstemmed |
Комплексная информационная безопасность корпоративных информационных систем |
| title_sort |
комплексная информационная безопасность корпоративных информационных систем |
| author |
Лисецкий, Ю.М. |
| author_facet |
Лисецкий, Ю.М. |
| topic |
Проблемы информационной безопасности |
| topic_facet |
Проблемы информационной безопасности |
| publishDate |
2019 |
| language |
Russian |
| container_title |
Управляющие системы и машины |
| publisher |
Міжнародний науково-навчальний центр інформаційних технологій і систем НАН та МОН України |
| format |
Article |
| title_alt |
Комплексна інформаційна безпека корпоративних інформаційних систем Complex Security of the Corporate Information Systems |
| description |
Рассмотрены основные требования к системам информационной безопасности, описаны особенности, достоинства и недостатки, входящих в ее состав компонент. Проведен анализ наиболее распространённых информационных угроз и средств организации атак. Предложен вариант построения комплексной эшелонированной защиты корпоративной информационной системы и ее архитектура, обеспечивающая стабильную, управляемую и безопасную работу организации.
Вступ. При побудові корпоративної інформаційної системи (КІС) будь-якої сучасної організації особливої уваги заслуговують питання інформаційної безпеки, що стали особливо актуальними останнім часом, так як КІС і особливо дані, що зберігаються в цих системах, поступово перетворилися в об’єкти стратегічного інтересу, що породжує «нескінченний» процес пошуку засобів і шляхів для несанкціонованого доступу до цих даних. Для забезпечення комплексної інформаційної безпеки КІС необхідна побудова надійної архітектури корпоративної системи інформаційної безпеки.
Introduction. Implementation of a corporate information system (CIS) for any modern organization requires special attention to be paid to the issue of information security. This issue has recently grown extremely important as more and more CIS and data they store become the object of strategic interest. This brought about the endless search for tools and ways of unauthorized data access. To ensure complex information security of the CIS there is to be built a reliable architecture of the corporate system of the information security.
|
| issn |
0130-5395 |
| url |
https://nasplib.isofts.kiev.ua/handle/123456789/161577 |
| citation_txt |
Комплексная информационная безопасность корпоративных информационных систем / Ю.М. Лисецкий // Управляющие системы и машины. — 2019. — № 1. — С. 68-75. — Бібліогр.: 15 назв. — рос. |
| work_keys_str_mv |
AT liseckiiûm kompleksnaâinformacionnaâbezopasnostʹkorporativnyhinformacionnyhsistem AT liseckiiûm kompleksnaínformacíinabezpekakorporativnihínformacíinihsistem AT liseckiiûm complexsecurityofthecorporateinformationsystems |
| first_indexed |
2025-11-26T13:25:32Z |
| last_indexed |
2025-11-26T13:25:32Z |
| _version_ |
1850622757254987776 |
| fulltext |
68 iSSN 0130-5395, control systems and computers, 2019, № 1
doi https://doi.org/10.15407/usim.2019.01.068
удк 004.9:004.75
ю.м. лисеЦКиЙ, д-р технических наук, генеральный директор,
дП «Эс ЭНд ти украиНа»,
киев, 03680, просп. академика Палладина, 44, украина,
iurii.lysetskyi@snt.ua
КомплеКсная инФормаЦионная БеЗопасностЬ
КорпоративныХ инФормаЦионныХ систем
Рассмотрены основные требования к системам информационной безопасности, описаны особенности, достоинства
и недостатки, входящих в ее состав компонент. Проведен анализ наиболее распространённых информационных угроз
и средств организации атак. Предложен вариант построения комплексной эшелонированной защиты корпоративной
информационной системы и ее архитектура, обеспечивающая стабильную, управляемую и безопасную работу
организации.
Ключевые слова: корпоративная информационная система, информационная безопасность, компоненты, архитектура,
сетевая сегментация, демилитаризованная зона, межсетевой экран, аутентификация, криптозащита, DDoS-атака,
кибератака.
проблемы
информационной
безопасности
введение
При построении корпоративной информаци-
онной системы (КИС) любой современной
организации она должна отвечать таким
основным требованиям, как: бесперебойность
работы всех служб организации; надежное
хранение массивов данных и возможность их
распределенной обработки; высокий уровень
информационной безопасности; непрерыв-
ность в работе приложений; эффективное
управление всей системой и ее ресурсами; ре-
зервирование основных элементов системы
(оборудования и каналов) .
Особого внимания, безусловно, заслужи-
вают вопросы информационной безопасно-
сти, ставшие особенно актуальными в по-
следнее время, так как КИС и особенно дан-
ные, хранящиеся в этих системах, постепен-
но превратились в объекты стратегического
интереса [1, 2] . Это порождает бесконечный
процесс поиска средств и путей для несанк-
ционированного доступа к этим данным [3] .
Для обеспечения комплексной инфор-
мационной безопасности КИС необходимо
построение надежной архитектуры корпо-
ративной системы информационной безо-
пасности .
Компоненты корпоративной
системы информационной
безопасности
Информация в электронном виде, к которой
имеет доступ корпоративная система, должна
обладать следующими свойствами:
конфиденциальностью — доступ заранее
определен и ограничен;
целостностью — гарантируется неизмен-
ность оригинального содержания;
аутентичностью — однозначно определять
лицо (юридическое или физическое), несущее
ответственность за содержание;
достижимостью — обеспечение санкцио-
нированного доступа в определенном режиме
работы (права только на чтение, права на ко-
iSSN 0130-5395, усим, 2019, № 1 69
Комплексная информационная безопасность корпоративных информационных систем
пирование и печать фрагментов, права на от-
правку по электронной почте и др .) .
Эти свойства и должна гарантировать кор-
поративная система информационной безо-
пасности . При этом, как результат, обеспечи-
вается защита информации от большого коли-
чества разнообразных угроз, непрерывность
процессов электронной обработки информа-
ции, минимизируются нарушения жизнедея-
тельности корпорации .
Ранее считалось, что наличие межсетево-
го экрана решает почти 90 процентов про-
блем, связанных с возможными атаками на
КИС . Однако в настоящее время, наряду с
ростом ценности содержимого КИС, растет
и спрос на атакующие технологии .
Сегодня арсенал средств и способов по-
лучения или уничтожения информации в
КИС огромен . Кроме классических средств,
позволяющих легко диагностировать уда-
ленную систему и выявление слабых мест,
появились различные варианты скрытых
вредоносных программ, проникающих че-
рез почтовые системы и Web-сессии, маски-
руемых в изображениях, и др .
Поэтому современная корпоративная систе-
ма информационной безопасности должна
включать в себя компоненты, выполняющие
различные функции и дополняющие друг друга:
сетевая сегментация;
межсетевые экраны;
система аутентификации;
криптозащита;
система определения вторжения и реакции;
система безопасности серверов и рабочих
станций;
антивирусная система и детального кон-антивирусная система и детального кон-
троля контента .
Сетевая сегментация . Основа системы безо-
пасности КИС — тщательное планирование
сетевой сегментации [4] . Необходимо четко
определить как зоны, требующие стандартных
политик безопасности, так и специфических .
Особое внимание требуется при определении
правил для этих зон .
Несмотря на различные требования, все
правила политики безопасности КИС долж-
ны быть единым комплексом, исключаю-
щим слабые места на стыках зон и межзон-
ных обменах .
В большинстве случаев КИС должна иметь
как минимум одну демилитаризованную зо-
ну (ДМЗ) локальной сети . Сегмент ДМЗ рас-
полагается между внешней сетью (Internet,
extranet) и внутренней сетью корпорации и
состоит из систем, предоставляющих такие
открытые ресурсы, как информационные
серверы общего доступа, почтовые серверы,
серверы доменных имен и т .п . Эта зона долж-
на быть защищена межсетевым экраном от
внешней сети и контролироваться средствами
определения вторжений .
Причем реакция на вторжение должна за-
ключаться не только в тревожном оповеще-
нии, но и в экстренных мерах по пресечению
доступа . Мониторинг наиболее критических
систем (непосредственно влияющих на рабо-
тоспособность КИС) должен осуществляться
в масштабе реального времени и анализиро-
ваться средствами безопасности уровня серве-
ров и рабочих станций .
Исходя из сложности приложений, исполь-
зуемых в КИС, возможно создание несколь-
ких ДМЗ для обеспечения различного уровня
доступа к ресурсам . При этом множествен-
ность ДМЗ контролируется межсетевыми экра-
нами с использованием технологий аутентифи-
кации . Для разграничения сетевого трафика це-
лесообразно применение сетевых коммутаторов
в качестве активного сетевого оборудования .
Межсетевые экраны . Межсетевой экран
рассматривается как основное средство за-
щиты от угрозы несанкционированного (не-
авторизованного) доступа из внешних систем
к наиболее важным информационным ресур-
сам КИС [5] . Он включает в себя компоненты
аппаратного и программного обеспечения,
реализующие политику безопасности управ-
ления сетевым трафиком между двумя и более
сегментами сети, и должен реализовывать сле-
дующие виды контроля:
разрешенные сервисы — количество сер-разрешенные сервисы — количество сер-
висов, разрешенных для прохождения через
межсетевой экран, должно быть минимально
70 iSSN 0130-5395, control systems and computers, 2019, № 1
Ю.М. Лисецкий
необходимым для реализации функциониро-
вания определенных приложений;
ограничение коммуникационных потоков —
межсетевой экран должен контролировать и
ограничивать направление коммуникационных
потоков взаимодействующих сетевых сегментов;
контроль доступа — количество систем,
разрешенных для использования соответству-
ющих сервисов, должно быть ограничено так
же, как и число пользователей;
контроль сообщений — для сокрытия то-
пологии защищаемых информационных ком-
понент межсетевой экран не должен возвра-
щать контрольные сообщения сетевых прото-
колов (host unreachable, port unavailable и т .д .) .
Аутентификация . Важной характеристикой
защищенности КИС является уровень довери-
тельных отношений между всеми объектами
системы — пользователями, приложениями,
подсистемами и т .д . Это обеспечивается си-
стемой аутентификации, обладающей необхо-
димыми функциональными средствами про-
верки и предоставления конкретных прав и
полномочий . Выбор определенной технологии
аутентификации зависит от классификации
информации, типа прикладных систем, сер-
висов, сетевой топологии корпорации и осу-
ществляется на этапе планирования системы
безопасности, в противном случае очень слож-
но гарантировать целостность выполнения по-
литики безопасности .
Для гарантированности аутентичности воз-
никающего информационного трафика кор-
порация может расширять механизм аутенти-
фикации, обеспечивая прохождение обратных
транзакций к определенному запрашивающе-
му объекту . В качестве примера можно при-
вести системы электронной почты, контроли-
рующие легальность сервера, запрашивающе-
го соединение; подключение к приложениям
через специальные клиенты, обеспечивающие
доступ только в случае подтверждения взаим-
ных запросов .
Криптозащита . Криптозащита является
основной компонентой при обеспечении кон-
фиденциальности электронной информации,
конкретных документов и данных [6-9] . Она
также используется для закрытия данных в
процессе их передачи и деталей самой сессии .
Для достижения большей безопасности не-
обходима реализация криптозащиты данных в
процессах хранения и использования на сторо-
не получателя . Например, использование спе-
циальных аппаратных ключей, содержащих в
памяти цифровой сертификат пользователя, и
позволяют шифровать не только трафик, но и
данные, хранящиеся на локальных дисках .
системы
определения вторжения
Адаптивные системы определения вторжения
представляют собой относительно новый эле-
мент в системах защиты . Их главная цель – сле-
жение в реальном масштабе времени за после-
довательными событиями как на сетевом уров-
не, так и на уровне приложений . Анализ собы-
тий позволяет предсказать атаки или попытки
вторжения, основанные на выполнении разре-
шенных операций (например, через обраще-
ние к серверу доменных имен) . Это дополняю-
щие средства к межсетевым экранам, которые
обычно также умеют модернизировать полити-
ку безопасности в зависимости от типа атаки .
Причем, при обнаружении опасных действий
осуществляется не только тревожное опове-
щение, но и динамически изменяются соот-
ветствующие правила для межсетевого экрана
с целью их пресечения . Системы определения
вторжения делятся на сетевые (исследова-
нию подвергаются тип и содержание сетевых
пакетов) и системы уровня приложений (ис-
следованию подвергаются результаты аудита
работы серверов приложений и рабочих стан-
ций) . Обнаружение неавторизованного досту-
па (или попытки) к корпоративным ресурсам,
как и их использование, определяется специ-
альными методиками поиска:
известных сигнатур атак;
неадекватного поведения (на основе по-неадекватного поведения (на основе по-
следовательности определенной активности
пользователя или приложения) .
Сетевые системы определения вторжения
обычно устанавливаются в каждой зоне или
iSSN 0130-5395, усим, 2019, № 1 71
Комплексная информационная безопасность корпоративных информационных систем
сегментах внутренней сети, контролируемых
межсетевым экраном . Система должна быть
сконфигурирована на работу с нескольки-
ми сетевыми контроллерами: один (или не-
сколько) для анализа трафика, другой — для
осуществления связи с консолью управления
сетевой системой определения вторжения .
Интерфейсы, определяющие связь систем
определения вторжения с консолью, обыч-
но выделены в отдельный сегмент локальной
сети, контролируемой межсетевым экраном .
Это дает ряд преимуществ:
межсетевой экран ограничивает доступ к
сегменту систем обнаружения вторжения;
повышается производительность системы
в вопросе анализа отчетов процессов обнару-
жения вторжения;
исключается влияние информационного
трафика (отчетов систем обнаружения втор-
жения) на полезный трафик .
Связь систем определения вторжения с кон-
солью обязательно подвергается криптозащи-
те и строгой аутентификации, системное вре-
мя синхронизируется .
Системы обнаружения вторжения уровня
приложений предназначены для установки на
тех компонентах, которые являются информа-
ционным ресурсом и имеют классификацию
критичных в нотации разработанной полити-
ки безопасности . Для правильного функцио-
нирования на исследуемых компонентах необ-
ходимо в полном объеме выполнять процессы
аудита и регистрации событий .
Безопасность серверов и рабочих станций .
Это самый критичный аспект в системе кор-
поративной информационной безопасности
[10, 11] . Основным принципом поддержания
безопасности серверов и рабочих станций явля-
ется их правильная конфигурация с обязатель-
ной инсталляцией актуальных обновлений и
изменений программного обеспечения . Однако
появляются новые технологии, направленные
на укрепление серверов приложений — систе-
мы, позволяющие на уровне ядра операционной
системы распределить полномочия по управле-
нию каждым приложением . В этом случае даже
раскрытие пароля системного администратора
не позволит получить доступ к данным или фай-
лам конфигурации приложения, как и остано-
вить процессы, связанные с ним . Эта же система
не позволит администратору остановить работу
операционной системы без согласия пользова-
теля, ответственного за работу приложения .
Применение подобных технологий очень ак-
туально, например, для провайдеров, предостав-
ляющих услуги хостинга . Владельцы приложе-
ний получают возможность эксклюзивно управ-
лять содержимым и работой приложений, но не
имеют доступа к управлению ресурсами опе-
рационной системы сервера . Администраторы
серверов имеют возможность полного управле-
ния работой операционной системы, но не мо-
гут влиять на работу приложений и иметь доступ
к не принадлежащим им данным .
Антивирусная система и детального контро-
ля контента. Проблема анализа контента в
настоящее время приобрела дополнительную
актуальность, что, прежде всего, связано с рос-
том интенсивности использования почтовых
пересылок с прикрепленными документами .
Это, с одной стороны, повышает опасность по-
лучения вирусов и вредоносных приложений,
с другой — этот канал может использоваться
для передачи конфиденциальной информации
(как умышленно, так и случайно) . Чтобы кон-
тролировать эти ситуации, современные анти-
вирусные программы корпоративного уровня
имеют специальные программные интерфей-
сы для стыковки с межсетевыми экранами . В
этом случае весь контент-трафик проходит че-
рез антивирусный сервер, который осуществ-
ляет тщательную проверку, причем не только с
целью поиска сигнатур известных вирусов, но
и сигнатур, заданных администратором (на-
пример, наличие слов «конфиденциально» в
тексте документов) .
требования к корпоративной
системе информационной
безопасности и ее архитектура
Для организации комплексной безопасности
к системам защиты КИС предъявляются сле-
дующие требования [2]:
72 iSSN 0130-5395, control systems and computers, 2019, № 1
Ю.М. Лисецкий
обеспечение гранулированного детерми-
нированного доступа к ресурсам корпоратив-
ной сети на основе анализа информации о IP-
адресах, портах, используемых устройствах,
типах приложений, данных геолокации;
антивирусная защита передаваемой по сети
информации, антиспам-защита почтовых систем;
предотвращение комплексных атак и атак
нулевого дня, атак типа отказ в обслуживании;
предотвращение утечки критически важ-
ных данных и защита их целостности;
защита от уязвимостей и угроз корпоратив-
ных порталов, Web-приложений, используемых
для доступа к базам данных, браузеров и т .п .;
централизованное согласованное управле-
ние средствами защиты;
предоставление инструмента анализа рис-
ков безопасности и ретроспективного ана-
лиза [12, 13] .
Современная защищенная КИС требу-
ет внедрения целого комплекса программно-
аппаратных средств . Традиционно основным
инструментом являются межсетевые экраны,
осуществляющие фильтрацию пакетов в соответ-
ствии с заданными правилами, динамическую
трансляцию IP-адресов и терминацию VPN-
соединений [5] . Кроме традиционной роли по
аутентификации, авторизации и отчетности AAA
Рис. Архитектура корпоративной системы информационной безопасности
iSSN 0130-5395, усим, 2019, № 1 73
Комплексная информационная безопасность корпоративных информационных систем
(Authentication, Authorization, Accounting) действий
пользователей, в современных сетях осуществля-
ется контроль над соблюдением политик безопас-
ности, включая не только доступ к информаци-
онным системам, но и контроль за соответствием
пользовательского устройства этим политикам
(анализ версионности установленных программ-
ных продуктов, установленных обновлений, про-
верку актуальности антивирусной базы, контроль
за целостностью файловой системы и т .д .)
Возрастающая роль Web-приложений в
бизнес-процессах привела к появлению спе-
циализированных межсетевых экранов, направ-
ленных на контроль и защиту соответствую-
щих приложений WAF (Web-Application Firewall) .
Обработка Web-пакетов основана на корреляции
зависимостей поведения приложений и прото-
колов, анализа XML/SOAP потока и выявлении
атак на уровне Web-трафика .
Еще одна возможность защиты — размеще-
ние ловушек (Honeypot) . Это ресурс, специ-
ально созданный для привлечения несанкци-
онированных действий . Проактивная система
собирает информацию о действиях взломщи-
ков и их методах, а также инструментах, ис-
пользуемых для атаки . Несмотря на прогресс
информационных технологий, устройства пе-
риметра сети имеют физические ограничения
мощности аппаратных средств и пропускной
способности каналов связи . Поэтому работа
КИС может быть парализована с помощью
DDoS (Distributed Denial of Service) атак, на-
правленных на отказ в обслуживании [14] .
DDoS-атака представляет собой поток лож-
ных запросов на базе различных протоколов,
основной целью которого является блоки-
ровка ресурсов или сервисов КИС . Наиболее
уязвимы базы данных и программные сред-
ства для доступа к ним [15] . Поэтому для за-
щиты применяются специализированные
программные продукты, обеспечивающие
разграничение полномочий, логирование
проводимых действий с механизмами авто-
матической отчетности и обладающие мини-
мальным влиянием на производительность
баз данных . В последнее время DDoS-атаки
используют также в качестве основного ин-
струмента реализации кибератак .
Второе по опасности место хранения корпо-
ративной информации — это рабочий компью-
тер . Кроме мест хранения и интерфейса Web-
доступа, очень важно защитить приложения,
использующие критически важные данные .
Чаще всего данные передаются и обрабатыва-
ются с помощью браузеров, которые уязвимы
для атак типа шпион в браузере . Защититься
от атак данного типа помогают программы,
контролирующие интерфейс прикладного
программирования (Application Programming
Interface) браузера и выполняющие блокиров-
ку клавиатурных шпионов .
Описанный комплекс средств позволяет по-
строить эшелонированную защиту КИС и тем
самым обеспечить стабильную, управляемую и
безопасную работу организации . Архитектура
корпоративной системы информационной
безопасности представлена на рисунке .
Заключение
В статье рассмотрены основные требования
к системам информационной безопасности,
описаны особенности, достоинства и недо-
статки, входящих в ее состав компонент .
Проведен анализ наиболее распространённых
информационных угроз и средств организации
атак . Комплексное использование описанных
компонент, входящих в состав корпоративной
системы информационной безопасности, по-
зволяет защититься от большинства известных
видов атак, а разработка эффективной и надеж-
ной архитектуры построения корпоративной
системы информационной безопасности —
одна из важных и актуальных задач .
REFERENCES
1. Koneev, I.R., 2003. Enterprise Information Security. Saint-Petersburg: BHV-Petersburg, 752 p. (In Russian).
2. Lysetskyi, Yu.M., 2016. «Some Aspects of Complex Security of Corporate Networks». Proceedings of the 5th
International Scientific and Practical Conference on Informational Management Systems and Technologies,
Odessa, pp. 145–148. (In Ukrainian).
74 iSSN 0130-5395, control systems and computers, 2019, № 1
Ю.М. Лисецкий
3. Gerasimenko, V.A., 1994. Protection of Information in Automatic Data Procession Systems. Book 1.
Moscow: EnergyAtomIzdat, 400 p. (In Russian).
4. Melyuk, A.A., Pazizin, S.V., Pogozhin, N.S., 2001. Introduction to Protection of Information in Automated
Systems. Moscow: Goryachaya Liniya – Telecom, 48 p. (In Russian).
5. Ogltry, T., 2001. Practical Application of Firewalls. Moscow: DMD Press, 400 p. (In Russian).
6. Babenko L.K., Ischukova E.A., 2006. Modern Algorithms of Block Cyphering and Methods of their Analysis.
Moscow: Gelios ARV, 376 p. (In Russian).
7. Tchmora, A.L., 2002.Modern Applied Cryptography. 2nd edition. Moscow: Gelios ARV, 256 p. (In Russian).
8. Schneier, B., 2002. Applied Cryptography. Moscow: Triumph. 816 p. (In Russian).
9. Ferguson, N., Schneier, B., 2005. Applied Cryptography. Moscow: Williams, 424 p. (In Russian).
10. Anin, B.Y., 2000. Protection of Computer Information. Saint-Petersburg: BHV- Saint-Petersburg, 384 p.
(In Russian).
11. Sokolov, A.V., Stepanyuk, A.V., 2002. Manual on Protection from Computer Terrorism. Saint-Petersburg:
BHV-Saint-Petersburg, Arlit, 496 p. (In Russian).
12. Litvinov, V.V., Kazimir, V.V., Rindich, E.V., 2009. Modern State of Information Protection in IP-Telephony.
Mathematical Machines and Systems, 2, pp.76-84 (In Ukrainian).
13. Korneev, V.V., Gareev, A.F., Vasyuti, S.V., Ie, 2001. Databases. Intellectual Procession. Moscow: Knowledge,
496 p. (In Russian).
14. Lysetskyi, Yu.M., 2014. «Information Security: Protection from DDoS-Attacks». Proceedings of the
16th International Conference «System Analysis and Information Technologies SAIT, Kiev, 405–406 pp.
(In Ukrainian).
15. Simon, A., 1999. Databases Strategic Technologies. Moscow: Finance and Statistics, 484 p. (In Russian).
Received 22.02.2018
Yu.M. Lisetskyi, Dr . of Eng . Sci ., General Director, DP «S&T UKRAINE»,
Prosp . Akad . Palladina, 03680, Kiev, Ukraine 44,
Iurii .Lysetskyi@snt .ua
COMPLEX SECURITY OF THE CORPORATE INFORMATION SYSTEMS
Introduction. Implementation of a corporate information system (CIS) for any modern organization requires special atten-
tion to be paid to the issue of information security . This issue has recently grown extremely important as more and more
CIS and data they store become the object of strategic interest . This brought about the endless search for tools and ways of
unauthorized data access . To ensure complex information security of the CIS there is to be built a reliable architecture of the
corporate system of the information security .
Components of the Corporate System of Information Security. Electronic information accessed by the corporate system
is to possess the following qualities: confidentiality, authenticity, integrity, accessibility . They are to be provided by the cor-
porate system of the information security, thus, it is to contain the complementary components with different functions:
network segmentation, firewalls, authentication system, cryptoprotection, intrusion detection and reaction system, server
and workstation security system, anti-virus system, detailed content control system .
Requirements to the Corporate System of Information Security and its Architecture. To provide complex security there
exist the following requirements to the CIS protection systems: granular determined access to corporate networks resources
based on the analysis of IP-addresses, ports, devices, applications and geolocation data; anti-virus protection of the network
information; anti-spam protection of the mailing systems; advanced and “zero day” threats prevention; DDoS-protection;
leakage prevention and integrity protection of the critical information; protection from threats and vulnerabilities of corpo-
rate portals, Web-applications used to access databases, browsers etc .; centralized and coherent management of protection
tools; provision of security risks analysis and retrospective analysis tool .
Conclusion. This way the modern CIS requires implementation of the whole complex of hardware and software devices
for its protection . Complex usage of the described components of the corporate system of the information security enables
protection from the most known types of attacks . It is also shown that development of effective and reliable architecture of
the corporate system of information security is an important and urgent task .
Keywords: corporate informative system, informative safety, components, architecture, network segmentation, demilitarized zone,
firewall, authentification, cryptoprotection, DDoS-attack, cyber attack.
iSSN 0130-5395, усим, 2019, № 1 75
Комплексная информационная безопасность корпоративных информационных систем
Ю.М. Лисецкий, д-р технічних наук, генеральний директор,
ДП «ЭС ЭНД ТИ УКРАИНА», просп . Академіка Палладіна, 03680, Київ, Україна 44,
Iurii .Lysetskyi@snt .ua
КОМПЛЕКСНА ІНФОРМАЦІЙНА БЕЗПЕКА КОРПОРАТИВНИХ ІНФОРМАЦІЙНИХ СИСТЕМ
Вступ . При побудові корпоративної інформаційної системи (КІС) будь-якої сучасної організації особливої уваги
заслуговують питання інформаційної безпеки, що стали особливо актуальними останнім часом, так як КІС і
особливо дані, що зберігаються в цих системах, поступово перетворилися в об’єкти стратегічного інтересу, що
породжує «нескінченний» процес пошуку засобів і шляхів для несанкціонованого доступу до цих даних . Для
забезпечення комплексної інформаційної безпеки КІС необхідна побудова надійної архітектури корпоративної
системи інформаційної безпеки .
Компоненти корпоративної системи інформаційної безпеки. Інформація в електронному вигляді, до якої має
доступ корпоративна система, повинна мати такі властивості: конфіденційність; цілісність; автентичність;
досяжність . Ці властивості і повинна забезпечувати корпоративна система інформаційної безпеки . Тому сучасна
корпоративна система інформаційної безпеки повинна включати в себе компоненти, які виконують різні функції
і доповнюють один одного: мережеву сегментацію; міжмережеві екрани; систему аутентифікації; криптозахист;
систему визначення вторгнення і реакцію; систему безпеки серверів і робочих станцій; антивірусну систему і
систему детального контролю контенту .
Вимоги до корпоративної системи інформаційної безпеки та її архітектура. Для організації комплексної безпеки
до систем захисту КІС ставляться такі вимоги: забезпечення гранульованого детермінованого доступу до ресурсів
корпоративної мережі на основі аналізу інформації про IP-адреси, порти, використовувані пристрої, типи додатків,
даних геолокації; антивірусний захист інформації, що передається по мережі інформації, антиспам-захист поштових
систем; запобігання комплексних атак і атак «нульового дня», атак типу «відмова в обслуговуванні»; запобігання витоку
критично важливих даних і захист їх цілісності; захист від вразливостей і загроз корпоративних порталів, Web-додатків,
що використовуються для доступу до баз даних, браузерів тощо; централізоване узгоджене управління засобами захисту;
надання інструментів аналізу ризиків безпеки і ретроспективного аналізу .
Висновок . Таким чином, сучасна КІС для свого захисту вимагає впровадження цілого комплексу програмно-
апаратних засобів . Комплексне використання описаних компонент, що входять до складу корпоративної системи
інформаційної безпеки, дозволяє захиститися від більшості відомих видів атак, а розробка ефективної і надійної
архітектури побудови корпоративної системи інформаційної безпеки є одним з важливих і актуальних завдань .
Ключові слова: корпоративна інформаційна система, інформаційна безпека, компоненти, архітектура, мережева
сегментація, демілітаризована зона, міжмережевий екран, аутентифікація, криптозахист, DDoS- атака, кібератака.
|