- •1. Основные принципы построения беспроводных систем связи
- •1.1. Стандарты семейства ieee 802.11
- •1.1.1. Основные принципы
- •1.1.3. Физический уровень
- •1.1.4. Стандарты ieee 802.11а и 802.11g
- •1.2. Схема распределенного управления в локальных сетях
- •1.3. Работа беспроводных систем связи в условиях городских и региональных сетей
- •1.4. Структура беспроводной сети в локальном территориальном районе
- •2. Идентификация рисков информационной безопасности беспроводных систем связи
- •2.1. Идентификация нарушителей
- •2.2. Потенциал нападения нарушителей
- •2.3. Спектр угроз безопасности беспроводных систем связи
- •2.4. Спектр уязвимостей беспроводных систем связи
- •2.4.1. Уязвимости, обусловленные средой передачи и диапазоном рабочих частот
- •2.4.2. Уязвимости системы аутентификации
- •2.4.3. Уязвимости криптографических протоколов
- •2.4.3.1. Crc и целостность данных.
- •2.4.3.2. Шифрование rc4
- •2.4.3.3. Вычисление ключевого потока
- •2.4.3.4. Получение секретного ключа
- •2.5. Атаки, применяемые к беспроводным системам связи
- •2.5.2. Атаки на систему аутентификации
- •2.5.3. Атаки на криптографические протоколы
- •2.5.3.1. Пассивные сетевые атаки
- •2.5.3.2. Активные сетевые атаки
- •2.5.3.3. Повторное использование вектора инициализации
- •2.5.3.4. Манипуляция битами
- •2.6. Определение вероятностей реализации угроз
- •3. Политика безопасности оператора беспроводной связи
- •3.1. Общие положения
- •3.2. Цели и задачи
- •3.3. Основные принципы
- •3.4. Подход к разработке политики безопасности согласно iso 17799
- •3.5. Структура неформальной политики безопасности
- •3.6. Формализация положений политики безопасности
- •3.7. Основные методики формирования политики безопасности
- •4. Обеспечение информационной безопасности беспроводных систем связи
- •4.1. Основные принципы и подходы к защите
- •4.2. Мероприятия по организации минимального уровня защищенности
- •4.3. Мероприятия по обеспечению информационной безопасности беспроводных сетей
- •4.4. Наказания за нарушения политики безопасности
- •394026 Воронеж, Московский просп., 14
3. Политика безопасности оператора беспроводной связи
3.1. Общие положения
Причиной появления ПБ послужило то, что БЛВС обеспечивает разделение информации и программ между большим числом пользователей. Эта среда увеличивает риск безопасности и требует более сильных механизмов защиты, чем те, что были бы необходимы при работе на отдельно стоящих ПК.
Политика информационной безопасности (ПБ) - набор законов, правил, практических рекомендаций и практического опыта, определяющих управленческие и проектные решения в области ЗИ. На основе ПИБ строится управление, защита и распределение критичной информации в системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение ИС в различных ситуациях.
3.2. Цели и задачи
Эта политика имеет две цели:
Первая - подчеркнуть для всех служащих Компании важность безопасности в среде БЛВС Компании и явно указать их роли при поддержании этой безопасности.
Вторая - установить определенные обязанности по обеспечению безопасности данных и информации, и самой БЛВС Компании.
Для создания эффективной политики безопасности необходимо:
- отнести информацию к категории ограниченного доступа (служебной тайне);
- прогнозировать и своевременно выявлять угрозы безопасности информационным ресурсам, причины и условия, способствующие нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;
- создать условия функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;
- создать механизм и условия оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;
- создать условия для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, и тем самым ослабить возможное негативное влияние последствий нарушения информационной безопасности.
- провести анализ рисков в области информационной безопасности;
- определить оптимальный уровень риска для предприятия на основе заданного критерия. Политику безопасности и соответствующую корпоративную систему защиты информации необходимо построить таким образом, чтобы достичь заданного уровня риска;
- провести аудит безопасности. На основании результатов аудита определить основные условия, требования и базовую систему мер по обеспечению ИБ в организации, позволяющих уменьшить риски до приемлемой величины.
3.3. Основные принципы
а) Обеспечение конфиденциальности информации, передаваемой по БЛВС, осуществляется в основном на прикладном уровне. Допускается применение средств шифрования при непременном условии обеспечения высоких эксплуатационных характеристик БЛВС.
б) Идентификация пользователей БЛВС обеспечивается с помощью идентификаторов и паролей.
в) Идентификация системы выбирается в стиле КОБИТ, например S.MAINSYS, где S - идентификатор группы родственных систем, а MAINSYS - идентификатор конкретной (главной) системы.
г) Авторизация (аутенификкация) соединений (процессов, ресурсов) в БЛВС осуществляется с помощью механизмов двусторонней аутентификации.
д) Целостность информационных и телекоммуникационных ресурсов БЛВС (ПО, конфигурационные файлы, таблицы маршрутизации, настройки системы защиты) обеспечивается и контролируется с помощью методов и средств защиты информации:
- подключение внешних пользователей (клиентов) и информационных систем организации осуществляется преимущественно через двухуровневую систему (подсистему) защиты;
- осуществление контроля за правильностью работы операторского прикладного ПО на рабочих станциях, непосредственно взаимодействующих с сетевыми ресурсами организации, может осуществляться с применением средств активного аудита.