Безопасность в современных информационных сетях

pic

Информационную безопасность следует понимать как защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
Как свидетельствует статистика, число инцидентов с нарушением безопасности не только не сокращается, а наоборот, растет с невиданной скоростью. И это при том, что технологии защиты не стоят на месте и год от года улучшаются. Однако хакеры совершенствуют свои технологии гораздо быстрее.

Угроза целостности и конфиденциальности информации исходит от множества сторон. Сюда входят DoS-атаки на серверы, подмена Web-страниц, разрушительное действие компьютерных вирусов, несанкционированный доступ к ПК в сети, аварии оборудования или просто неосмотрительная деятельность сотрудников. Решений для борьбы с подобными отдельно взятыми ситуациями существует множество: антивирусные программы, межсетевые экраны, источники бесперебойного питания и тому подобное. Однако для обеспечения информационной безопасности в компьютерных системах отдельно взятого решения явно недостаточно.

Проблема является многосоставной и требует комплексного подхода в ее решении. Такой подход предусматривает реализацию защитных мероприятий с использованием различных механизмов на всех возможных уровнях функционирования компании, в том числе правовом, управленческом, организационном, а также программно-техническом.

В процессе практической реализации большинства защитных мероприятий неизбежно возникает необходимость выполнения требований законодательных и нормативных документов, регламентирующих все аспекты защиты информации организации. Выполнение этих требований предоставляет владельцам информационных систем определенные гарантии, обусловливающие законность и правомерность использования защитных механизмов. Работа в соответствии с действующими стандартами позволяет использовать весь накопленный опыт и тем самым существенно увеличить уровень защищенности.

Обычно процесс обеспечения информационной безопасности в организации начинается с управленческого уровня. Главная цель данных мероприятий — сформировать политику информационной безопасности, обеспечить ее выполнение, а также сформировать систему управления рисками.
Политика безопасности представляет собой совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Политика информационной безопасности организации — это внутренний нормативный документ, который имеет трехуровневую иерархию:

• Требования — это высокоуровневые положения, которые определяют принципы и направления выполнения действий. Например, для критичных серверов должно выполняться регулярное резервное копирование.

• Стандарты — это детальные положения, которые определяют особенности выполнения действий. Например, для серверов А, Б и В ежедневно должно выполняться инкрементальное резервное копирование и еженедельно полное резервное копирование.

• Организационно-распорядительные и нормативно-технические документы — это инструкции, определяющие последовательность выполнения требований и стандартов. Например, инструкция по резервному копированию.

Применение информационных систем связано с определенной совокупностью рисков, которые описывают возможную величину ущерба от конкретных событий (несанкционированный доступ к ПК, сбои ПО и так далее) и вероятность наступления этих событий.

В ходе функционирования компании вероятность событий и величины ущерба могут меняться, поэтому после проведения оценки рисков (описания рисков и определение их величины) необходимо периодически производить их переоценку.
Для облегчения проведения полного анализа рисков можно воспользоваться одним из коммерческих программных пакетов — таких, как Cramm, Lram, Marion, Riskcalc или Riskwatch.
При построении комплексной системы защиты информации важная роль отводится организационным мероприятиям. Основная цель организационных методов заключается в обеспечении полноты реализуемых функций защиты, непрерывности функционирования, а также соответствия реальным угрозам и рискам. Так как система обеспечения защиты информации создается на долгий период и обычно в дальнейшем предполагается только модернизация в целях обеспечения требуемого уровня защищенности, при создании системы необходимы четкое планирование возможных вариантов ее модификации и прогнозирование перспектив ее развития.
В процессе проведения организационных защитных мероприятий выполняются определенные действия в области управления персоналом, реакции на нарушения режима безопасности, планирования восстановительных работ.

pic

Управление персоналом основывается на принципах разделения обязанностей и минимизации привилегий. Принцип разделения обязанностей предписывает так распределять роли и ответственность, чтобы один человек не мог нарушить критически важный для организации процесс. Принцип минимизации привилегий предписывает выделять пользователям только те права доступа, которые необходимы им для выполнения служебных обязанностей.

Реакция на нарушения режима безопасности подразумевает разработку оперативных мероприятий, направленных на обнаружение и нейтрализацию нарушителей и зловредного кода в процессе их вторжения в информационные системы. При этом очень важно, чтобы в нештатной ситуации последовательность действий была спланирована заранее, поскольку меры нужно принимать срочные и скоординированные.

Ни одна организация не застрахована от аварий, вызванных естественными причинами, чьим-то злым умыслом, халатностью или некомпетентностью. В то же время у каждой организации есть функции, выполнение которых она хотела бы продолжать, несмотря ни на что. Планирование восстановительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность к функционированию хотя бы в минимальном объеме.
Следует отдавать себе отчет в том, что полностью сохранить функционирование системы не всегда возможно. Поэтому выявляются только критически важные функции, без которых информационная система не может нормально функционировать, и даже среди критичных функций расставляются приоритеты, чтобы как можно быстрее и с минимальными затратами возобновить деятельность после аварии.

Основу процесса обеспечения информационной безопасности составляет использование программно-технических средств, которые могут включать в себя системы защиты поддерживающей инфраструктуры, хранения данных, защиты от утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН).
Защита поддерживающей инфраструктуры выражается в обеспечении информационной системы компании надежным электро-, водо- и теплоснабжением, кондиционированием воздуха, коммуникациями. Для обеспечения целостности различного электронного оборудования необходимо защитить его от краж и повреждений. Для поддержания доступности целесообразно выбирать оборудование с максимальным временем наработки на отказ, дублировать ответственные узлы, всегда иметь под рукой запчасти.

Крайне желательна установка противопожарной сигнализации и автоматических средств пожаротушения, причем с поправкой на защиту электронной аппаратуры, что накладывает определенные ограничения на выбор средств пожаротушения.
Системы хранения данных предназначены для обеспечения резервного копирования, архивирования, структурированного хранения и восстановления различных данных в требуемые сроки. В ходе резервного копирования (backup) создаются копии последних версий файлов с целью быстрого восстановления работоспособности системы в случае возникновения аварийной ситуации.

Для обеспечения защищенности информационных систем от ПЭМИН рекомендуется применять специальное оборудование, которое производится в соответствии с нормативными требованиями. Для многих госучреждений, обрабатывающих информацию с грифом «Секретно», данное руководство является обязательным. При этом они обязаны использовать только то компьютерное оборудование, которое прошло особые испытания, сертифицировано и включено соответствующими госорганами в специальный перечень (с указанием типов и производителей).
Необходимо также предпринять меры для защиты зданий и прилегающей территории, поддерживающей инфраструктуры от несанкционированного физического доступа. Практическая реализация таких мер выражается в управлении физическим доступом на объекты, то есть надежном отличии посетителей от штатных сотрудников, контроле и при необходимости ограничения входа и выхода сотрудников и посетителей.

pic

Средства управления логическим доступом в информационных системах позволяют специфицировать и контролировать действия, которые субъекты — пользователи и процессы — могут выполнять над объектами — информационными ресурсами. Контроль может производиться различными компонентами системы: ядром операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим ПО (таким, как межсетевой экран) и так далее.
Важным является протоколирование и аудит событий, происходящих в компании. Это позволяет обеспечить подотчетность пользователей и администраторов, возможность реконструкции последовательности событий и обнаружение попыток нарушений безопасности информации в компьютерных системах.
Если пользователи и администраторы знают, что все их действия фиксируются, они, возможно, воздержатся от незаконных операций. Реконструкция последовательности событий позволяет выявить слабые места в защите информационной структуры, найти виновника вторжения, оценить масштабы причиненного ущерба и вернуться к нормальной работе.

Реализация протоколирования и аудита может производиться разными компонентами компьютерной системы — дополнительными защитными механизмами, самой ОС либо СУБД и тому подобное.
Авторизация пользователей применяется во многих технических средствах обеспечения информационной безопасности. Она производится двумя процессами — идентификацией и аутентификацией. Первый процесс позволяет пользователю системы сообщить свое имя, а второй — проверить подлинность пользователя (наиболее распространенным средством здесь являются пароли).
Одним из наиболее мощных средств обеспечения конфиденциальности и контроля целостности информации являются криптографические методы. Во многих отношениях криптография — это последний защитный рубеж.
Различают два основных метода шифрования, называемые симметричными и асимметричными. На сегодняшний день более надежным считается асимметричный метод, в котором применяются два ключа — публичный (public) для зашифровки информации и личный (private) для расшифровки.

Еще одно мощное защитное средство — межсетевой экран (firewall, брандмауэр) — используется для разграничения доступа из одного сетевого пространства в другое. Задача экранирования сводится к защите внутренней области от потенциально враждебной внешней. В то же время экран дает возможность контролировать информационные потоки, направленные во внешнюю область, что способствует поддержанию режима конфиденциальности.

Никакие аппаратные и программные средства, законы и постановления не в состоянии гарантировать полную надежность и безопасность систем. Опыт показывает, что необходима эффективная система мониторинга уровня защищенности сети. То есть наибольший эффект достигается тогда, когда все используемые защитные средства объединены в единую управляемую систему информационной безопасности (Security Information Management System, SIMS), которая позволяет все используемые защитные средства объединить в единый управляемый комплекс.

Уже имеется опыт построения таких систем на базе решений различных компаний Internet Security Systems, Cisco Systems, CheckPoint Software и так далее.
С помощью этих систем можно решить следующие задачи:

• управление с единой консоли средствами защиты, находящихся на различных участках корпоративной сети (в том числе и в удаленных филиалах)

• обеспечение единого, унифицированного интерфейса управления разнородными средствами защиты

• снижение издержек на поддержку управляемых средств защиты

• обеспечение масштабируемости инфраструктуры обнаружения и реагирования на атаки

• снижение числа специалистов, отвечающих за контроль состояния защищенности ресурсов корпоративной сети

• снижение затрат на обучение администраторов безопасности, вынужденных в обычных условиях изучать несколько различных продуктов со своими консолями управления.

• Существенный рост эффективности работы персонала, отвечающего за обеспечение информационной безопасности.

Эффективная система управления информационной безопасностью должна, помимо всего прочего, поддерживать четыре основных механизма управления событиями:

• консолидация (event consolidation)

• агрегирование (event aggregation)

• корреляция (event correlation)

• приоритезация (event prioritization).

Несколько сотен тысяч событий в день — это уже реальность наших дней. А в крупных сетях ежедневная порция информации может превысить миллион событий. Ни один человек не справится с такими объемами информации. Первый шаг в снижении нагрузки на администратора — объединение всех событий от разнородных средств защиты информации на одной консоли.

Но, собрав все данные в одном месте, избавиться от проблемы огромных объемов информации, отображаемых на консоли администратора безопасности, не удастся. Эту проблему призван устранить механизм агрегирования, то есть группирование однотипных событий вместе.
Иными словами, агрегирование облегчает отображение данных и их анализ. Но и этого недостаточно. Агрегирование не спасает от появления сообщений об атаках, которые не несут с собой никакой угрозы. Нужна более интеллектуальная обработка событий, которую дает механизм корреляции, то есть поиск взаимосвязей между разнородными данными. Механизм корреляции снимает с администратора нагрузку проведения ручного анализа и сопоставления разрозненных данных.
Модуль корреляции в SIMS не только автоматизирует процесс сопоставления разнородных данных, но и сам проводит анализ воздействия атаки на ресурсы.
Система централизованного мониторинга атак должна предусматривать возможность задания приоритетов для обнаруживаемых атак или уязвимости. При этом задание приоритетов может быть как статическим, так и динамическим.
У нас далеко не все используют системы обнаружения атак и межсетевые экраны, не говоря уже о средствах, стоящих существенно выше на эволюционной шкале защитных механизмов. Однако, несмотря на это, уже можно найти системы управления информационной безопасностью таких известных в мире безопасности компаний, как Internet Security Systems, Cisco Systems и Symantec.

По оценкам компании IDC, в 2005 году объем рынка таких систем составит 1759 миллионов долларов (в том числе объем рынка систем корреляции — 405 миллионов долларов). Однако, несмотря на желание применять такие системы в своей повседневной деятельности (такое желание высказывают 89% респондентов), только 5% компаний задействуют всю мощь этих решений. Остается надеяться, что в условиях растущей угрозы кибертерроризма отношение к таким системам изменится.
Большинство нарушений в области информационной безопасности в сетях нельзя полностью контролировать только традиционными средствами защиты. Необходимо принимать превентивные меры по обеспечению сетевой защиты и разрабатывать политику сетевой безопасности на базе технологий, позволяющих реализовать упреждающие стратегии защиты. К таковым относится технология построения виртуальных частных сетей на основе протоколов MPLS (многопротокольная коммутация по меткам) — MPLS VPN.

Средства и методы построения виртуальных частных сетей (VPN) отличаются от традиционного подхода к защите сетей. Эти технологии предлагают новый уровень защиты. Они позволяют строить выделенные сети на базе разделяемой сетевой инфраструктуры и таким образом реализовать упреждающую стратегию защиты. Атаки типа «отказ в обслуживании», а также атаки с использованием уязвимости прикладного ПО не могут быть осуществлены в этих сетях. Такие атаки просто не дойдут до цели, так как маршруты MPLS VPN находятся в выделенной маршрутной таблице, которая не задействуется в процессе принятия решения по маршрутизации внешнего трафика.

Продукт MPLS VPN ориентирован, прежде всего, на клиентов, требующих создания защищенных виртуальных соединений между локальными сетями с большими объемами передаваемого трафика, расположенными на большом расстоянии друг от друга.
Бизнес современной компании сегодня так или иначе связан с хранением и передачей информации по компьютерным сетям как локальным, так и общего пользования. Информация приобретает уникальную, исключительную ценность, так как самое дорогое сегодня — это новые идеи, производственные, коммерческие, научно-производственные секреты, тайны банковских счетов, сведения о личной жизни людей и так далее, и не исключено, что найдется тот, кто захочет ее выкрасть, подменить или уничтожить. Поэтому совершенно очевидно, что вопросы защиты информации сегодня становятся ключевыми проблемами бизнеса.

pic

Orphus system