Сейчас 127 заметки.
Основы информационной безопасности
Что такое «Информационная безопасность»? Информационная безопасность – это состояние информационных систем, полученное вследствие выполненных работ, направленных на обеспечение безопасности информации. Это состояние продолжается до того момента, пока ваши системы не будут скомпрометированы. Следует понимать, что не существует такого понятия, как «абсолютная безопасность», так как любые средства защиты можно обойти тем или иным способом. Зачем нужна безопасность? Прежде чем что-либо защищать, необходимо понимать, что именно мы будем защищать и от чего. Если в вашей компании есть несколько компьютеров, которые используются исключительно для чтения анекдотов, просмотра погоды на неделю и игры в косынку, тогда вам безопасность совершенно не нужна. Т.к. неработоспособность или взлом ваших систем никаким образом не повлияет на ведение вашего бизнеса. Вы можете время от времени приглашать все того-же «компьютерщика» для установки бесплатного антивируса или переустановки операционной системы. Но если ваши сотрудники используют компьютеры для доступа к платежным online системам/системам управления банковским счетом, хранения базы ваших клиентов и другой ценной информации, злоумышленник может потенциально похитить важные данные и воспользоваться ими в личных целях или уничтожить их. В этом случае, для вас будет выгоднее потратить определенные средства на обеспечение безопасности, чтобы максимально защититься от злоумышленника и не дать ему возможность получить контроль над вашими счетами и своровать у вас деньги/информацию. Угрозы для бизнеса Прежде чем рассказывать о различных угрозах для гипотетической компании я попрошу читателя представить себе, что может произойти, если злоумышленник получит полный доступ ко всем компьютерам в вашей компании и сможет незаметно для вас выполнять те же действия с данными, которые хранятся на этих компьютерах, что и обычные сотрудники. Если вам стало страшно, тогда читаем дальше. Согласно исследованию компании Perimetrix, специализирующейся на расследованиях инцидентов безопасности, самыми опасными угрозами ИБ в 2009 году были:
- Утечка данных
- Халатность служащих
- Вирусы
- Хакеры
- Кража оборудования
- Спам
- Аппаратные и программные сбои
- Саботаж
Правильным решением по борьбе с инцидентами безопасности является их предотвращение. Для того, чтобы иметь возможность предотвратить потенциальные утечки данных, защитится от вирусов и хакеров необходимо понимать, откуда исходят угрозы и что они из себя представляют. Источники угроз Условно все источники угроз можно разделить на следующие типы: атаки общей направленности и целенаправленные атаки. Атаки общей направленности Если ваши компьютеры подключены к сети Интернет, они постоянно подвергаются различным автоматизированным атакам. Цель этих атак – получить максимальный доступ к компьютерам компании, найти на них потенциально важные данные (пароли к различным сервисам в Интернет, социальным сетям, банковским счетам и пр.) и подключить компьютеры к своей бот-сети. Бот-сеть – это сеть, состоящая из зараженных компьютеров, контролируемых злоумышленниками. Зараженные системы могут использоваться для проведения атак на другие компании, рассылки спама и прочего. Этому типу атак подвергаются абсолютно все пользователи сети Интернет. Для защиты от этого типа атак в большинстве случаев помогают общие рекомендации, описанные ниже в этой статье. Источником утечек ценной информации могут стать также похищенные ноутбуки, телефоны, накопители информации, документы и прочее. Список основных угроз ИБ, которым ежедневно может подвергаться компания: • Вредоносное ПО Это самая распространенная угроза. Вредоносные приложения проникают на компьютеры компании, используя существующие бреши безопасности в используемом программном обеспечении или используя недостаточную осведомленность сотрудников компании, которые устанавливают вредоносное ПО самостоятельно. Основные источники проникновения вредоносного ПО на компьютеры: o Web сайты Многие пользователи считают, что вредоносное ПО может распространяться только через сайты порнографической направленности и другие сомнительные ресурсы. Это не так. Источником заражения компьютера может стать любой Web сайт. В последние годы злоумышленники используют уязвимости на вполне легитимных сайтах для распространения вредоносного ПО. В качестве примера можно привести инциденты, связанные с взломом сайта антивирусной компании Trend Micro, взломом сайта проекта Microsoft DreamSpark (http://www.securitylab.ru/news/387817.php). Использование браузера, отличного от Internet Explorer на компьютерах компании не повысит уровень защищенности от этой угрозы, т.к. большинство атак нацелены не на уязвимости в браузерах, а на уязвимости в используемых браузерами компонентах. Например, Java, Adobe Flash Player, Adobe Reader, различные мультимедийные плееры, которые устанавливают на систему плагины для отображения видео непосредственно в браузере. o Flash накопители, сетевые папки Огромное количество вредоносного ПО распространяется через внешние накопители. Как правило, эти приложения используют функционал автозапуска и начинают свое проникновение на систему, как только пользователь откроет Flash накопитель у себя на компьютере. Точно таким же образом вредоносное ПО может попасть на компьютер через общедоступные сетевые папки. o Уязвимости операционных систем, сетевых приложений Существует множество сетевых червей, которые используют уязвимости сетевых компонентов операционных систем для проникновения на системы пользователей. Для того, чтобы вредоносное ПО проникло на компьютер достаточно просто подключить этот компьютер к общедоступной сети. o Социальная инженерия Рассылка писем, сообщений по ICQ и в социальных сетях, ссылки на сайтах, призывающие установить то или другое ПО, просмотреть видеоролик, для которого необходимо установить специальный проигрыватель – все это способы обманом заставить пользователя посетить потенциально опасный сайт или скачать и установить вредоносное ПО. o Email рассылки вредоносного ПО Этот тип угроз уходит в прошлое, в настоящий момент очень редко email письма используются для распространения вредоносного кода, т.к. большинство почтовых серверов оснащены фильтрами, блокирующими исполняемые файлы, да и почтовые приложения уже давно и успешно помогают пользователям справляться с подобной угрозой. Тем не менее, необходимо понимать, что файлы, отправленные неизвестным отправителем, являются опасными и их не следует запускать на системе. • Спам Сложно представить пользователей, которые никогда не получали по электронной почте рекламных сообщений. Подобные сообщения называются спамом. Большое количество таких сообщений мешает сотрудникам компании качественно выполнять свою работу. • Фишинг атаки Это атаки с использованием элементов социальной инженерии, с помощью которых злоумышленники могут заполучить доступ к банковским счетам жертвы, к паролям для доступа к почтовым учетным записям, социальным сетям и пр. Например, пользователю приходит письмо с уведомлением о том, что его счет в Webmoney был заблокирован и, чтобы разблокировать его, необходимо посетить ссылку в письме и изменить свои логин и пароль. Ссылка заведомо указывает на сайт, контролируемый атакующим, который может выглядеть в точности как настоящий сайт. После того, как пользователь вводит свои старые учетные данные, программное обеспечение может автоматически воспользоваться имя для получения доступа к кошелькам, и, например, осуществить денежные транзакции. Пример фишинг атаки:
Рис.1 Фишинг атака с элементами социальной инженерии Внимание, не посещайте ссылку, указанную в письме! Это письмо было получено на почтовый ящик, защищенный спам-фильтром от Лаборатории Касперского. Как видно по результату, злоумышленникам удалось обойти спам-фильтр. При наведении курсора мыши на ссылку, присутствующую в письме, мы можем увидеть путь к сайту. Поскольку я никогда не был на этом сайте, моей учетной записи на нем также нет. При нажатии на ссылку мы попадем на скомпрометированный сайт, который запросит у нас учетные данные. После ввода учетных данных, эти данные будут сохранены злоумышленником, а нас перенаправят на сайт email.com. Это стандартный метод сбора учетных данных для проведения последующих атак. Целенаправленные атаки Это атаки, направленные непосредственно на системы или сотрудников вашей компании. В большинстве случаев целью подобных атак является доступ к данным и частичное или полное нарушение нормальной работы компании. Не зависимо от мотивов атакующего, успешные атаки приводят, как правило, к финансовым потерям компании. Защититься от подобных атак довольно сложно и зачастую они оканчиваются успехом для опытного хакера. Для целенаправленных атак характеры те же угрозы, что и для атак общей направленности, но в этом случае злоумышленник владеет некоторой информацией о компании, которая может увеличить вероятность успешного взлома. Существенную угрозу для безопасности бизнеса представляют также недобросовестные сотрудники. Согласно отчету E-Crime за 2007 год 37% успешных атак было осуществлено сотрудниками компаний (далее, инсайдеры). В исследовании за 2010 год 64% компаний опасались кражи важных данных инсайдерами или бывшими сотрудниками. Рейтинг угроз безопасности от инсайдеров в 2008 году (по данным компании Perimetrix (http://www.securitylab.ru/analytics/368176.php)): • Утечка данных – 55% • Искажение информации (включая несанкционированные бухгалтерские операции) - 54% • Кража оборудования – 25% • Саботаж – 21% • Утрата информации – 19% • Сбои в работе компьютерных систем – 12% Общие рекомендации по улучшению состояния безопасности Теперь, когда мы знаем, чего следует опасаться, мы может определиться с тем, как защищать свой бизнес. Рекомендации по защите от атак общей направленности Защита ОС • Не зависимо от используемых операционных систем, на всех системах должны быть установленные все исправления безопасности. • Не позволяйте сотрудникам компании работать с административными привилегиями на системе. Чем выше привилегии у пользователя ОС, тем больше вероятность проникновения вредоносного ПО на систему. • Всегда используйте логин/пароль для локального входа в систему. • Всегда используйте брендмауэр (встроенный или стороннего производителя). • Для защиты от обычных вредоносных приложений используйте антивирус известного вам производителя. Не рекомендуется скачивать и устанавливать антивирусы неизвестных вам компаний. Для защиты от вирусов подойдет как платное, так и бесплатное антивирусное решение. У Microsoft также есть свой антивирус – Microsoft Security Essentials (http://www.microsoft.com/security_essentials/), который бесплатно доступен для SMB компаний. Также могу порекомендовать продукты от Лаборатории Касперского, Symantec, Trend Micro, Panda Software, Eset. • Не предоставляйте пользователям доступ к документам, службам, которые им не требуются. Защита паролей • Не используйте один и тот же логин/пароль для доступа к различным ресурсам. • Для хранения паролей пользуйтесь менеджерами паролей – приложениями, которые умеют безопасно сохранять пароли для доступа к различным ресурсам. • Не храните пароли в браузерах! Современные браузеры не обеспечивают надежную защиту учетных данных. Потому используйте специализированные менеджеры паролей для хранения этой информации. Защита приложений • Всегда устанавливайте исправления безопасности. Большинство производителей программного обеспечения внедрили в свои продукты функционал автоматического обновления. Не забывайте устанавливать исправления. • Для проверки наличия уязвимостей в программном обеспечении можно воспользоваться Secunia PSI или Secunia OSI. • Чтобы оценить реальное состояние безопасности компьютеров от угроз, распространяемых через Web сайты, можно воспользоваться следующими online ресурсами: http://surfpatrol.ru/ http://www.mozilla.com/en-US/plugincheck/ Эти сайты позволяют обнаружить уязвимые компоненты на ваших системах и дать рекомендации по устранению уязвимостей. Проверка осуществляется путем анализа информации, отправляемой браузером. • Изолируйте важные приложения Во всех современных операционных системах есть возможность запускать приложения от имени другого пользователя. Если по какой-то причине вы работаете на системе с привилегиями администратора или опытного пользователя, не обязательно запускать все приложения с этими привилегиями. Вы можете запускать, например, браузер с привилегиями гостевой учетной записи. Для доступа к банковским счетам или платежным online системам я рекомендую использовать отдельные компьютеры или виртуальную ОС с ограниченным доступом к сети на рабочем месте и к сети Интернет. Компания Microsoft выпустила Windows Virtual PC – это приложение, которое позволяет запустить внутри себя любую операционную систему, работая в основной ОС. Из этой системы вы можете, например, осуществлять платежи, управлять счетами. После окончания работы с банковским приложением, вы останавливаете работу Virtual PC. Если на основной системе присутствуют вредоносные приложения, они не смогут получить доступ к виртуальной системе и похитить потенциально важные данные. Кроме того, многие вредоносные приложения преднамеренно не запускаются в виртуальной среде. Это объясняется тем, что виртуальные системы используются аналитиками антивирусных компаний для изучения поведения вредоносного ПО. С точки зрения обеспечения безопасности личных данных, этот недостаток можно использовать в своих полезных целях. Защита информации • Не следует пользоваться бесплатными почтовыми сервисами (mail.ru, yandex.ru,gmail.com и пр.) для обмена электронными сообщениями, содержащими конфиденциальные данные. • Не следует использоваться социальные сети для хранения коммерческих данных. • Не следует пересылать конфиденциальные данные по ICQ, Jabber и др. Например, QIP хранит всю историю переписок свои пользователей у себя на серверах. В случае компрометации ресурса, потенциально важные данные могут оказаться у ваших конкурентов. • Не используйте общедоступные сети/Интернет кафе для доступа к корпоративным ресурсам. • Если компания использует беспроводную сеть, доступ к ней должен быть защищен паролем. • Если сотрудники компании пользуются ноутбуками, на которых содержится важная для компании информация, и выносят их за пределы офиса, необходимо шифровать данные, чтобы в случае кражи ноутбука, злоумышленники не могли получить доступ к этой информации. Одним из приложений, предназначенных для этих целей, является PGP Desktop. • Необходимо постоянно напоминать сотрудникам компании, какая информация является конфиденциальной и какую информацию не следует распространять. Также у Microsoft есть комплексное решение по защите от угроз, ориентированное на небольшие компании – Microsoft Forefront Security Suite. Рекомендации по защите от целенаправленных атак После выполнения всех рекомендаций по защите от атак общей направленности, можно приступить к защите от целенаправленных атак. Следует понимать, что от подобных атак полностью защититься невозможно. Существует возможность лишь максимально увеличить расходы атакующего на проведение самой атаки и тем самым сделать эту атаку нерентабельной. Никто не будет тратить десятки тысяч долларов для того, чтобы получить информацию, которая этих денег не стоит. Утечка данных Утечка данных (преднамеренная и случайная) исходит, как правило, от сотрудников компании. Существуют средства противодействия утечкам информации или DLP (Data Leakage Prevention) системы. Ниже приведена обзорная таблица подобных решений от разных производителей.
Приложение Производитель Стоимость Примечание McAfee Host DLP McAfee 5400$ стоимость 100 рабочих мест без интеграции Trend Micro DLP for Endpoint Trend Micro 4700$ стоимость 100 рабочих мест без интеграции Symantec DLP Symantec от 25000$ Дозор-Джет от 25$/почтовый ящик Check Point DLP Check Point от $3000 встраиваемое лезвие в устройства Check Point SearchInform SearchInform от 13000$ Стоимость для 100 хостов В случае корректно внедрения, эти приложения способны обнаружить и предотвратить утечку данных. В качестве обязательного превентивного средства является подписание соглашения о неразглашении конфиденциальной информации с сотрудниками компании. Разграничение доступа Корректное разграничение доступа пользователей к информационным ресурсам позволяют минимизировать потенциальный урон от атаки. Защита периметра сети Кроме стандартного набора антивируса и брендмауэра на каждой рабочей станции в сети должна присутствовать система обнаружения/предотвращения вторжения (IDS/IPS). Наличие подобной системы при условии ее корректного внедрения, позволит минимизировать риски, связанные с хакерскими атаками и усложнить процесс взлома. Резюмируя вышеизложенное, я бы хотел озвучить 2 самых главных правила информационной безопасности: • Любую атаку можно отразить • Любую защиту можно обойти Это две диаметрально противоположные аксиомы, которыми в настоящий момент руководствуется индустрия информационной безопасности. Атака целесообразна тогда, когда злоумышленнику будет выгодно потратить определенные средства на достижение своей цели. Чем выше стоимость взлома – тем ниже вероятность его успеха. Заключение В этой статье была сделана попытка кратко изложить суть проблемы информационной безопасности и дать общие рекомендации по защите от угроз ИБ.
Развитие компьютерной техники и ее широкое внедрение в различные сферы человеческой деятельности вызвало рост числа противозаконных действий, объектом или орудием совершения которых являются электронно-вычислительные машины. Путем различного рода манипуляций, т. е. внесения изменений в информацию на различных этапах ее обработки, в программное обеспечение, овладения информацией нередко удается получать значительные суммы денег, уклоняться от налогообложения, заниматься промышленным шпионажем, уничтожать программы конкурентов и т.д..
Защита информации вызывает необходимость системного подхода; т.е. здесь нельзя ограничиваться отдельными мероприятиями. Системный подход к защите информации требует, чтобы средства и действия, используемые для обеспечения информационной безопасности – организационные, физические и программно-технические – рассматривались как единый комплекс взаимосвязанных, взаимодополняющих и взаимодействующих мер. Один из основных принципов системного подхода к безопасности информации - принцип "разумной достаточности", суть которого: стопроцентной защиты не существует ни при каких обстоятельствах, поэтому стремиться стоит не к теоретически максимально достижимому уровню защиты, а к минимально необходимому в данных конкретных условиях и при данном уровне возможной угрозы.
1. ЗАЩИТА ИНФОРМАЦИИ ОТ ПОТЕРИ И РАЗРУШЕНИЯ.
В настоящем разделе мы рассмотрим преимущественно моменты, связанные с защитой информации на персональном компьютере, не интегрированном в сеть. Потеря информации может произойти, например, по следующим причинам: 1. нарушение работы компьютера; 2. отключение или сбои питания; 3. повреждение носителей информации; 4. ошибочные действия пользователя; 5. действие компьютерных вирусов; 6. несанкционированные умышленные действия других лиц. Защита от компьютерных вирусов и несанкционированного доступа будут рассматриваться в отдельных разделах. Предотвратить причины 1-4 можно резервированием данных, что является наиболее общим и простым выходом. Средства резервирования таковы: программные средства, входящие в состав большинства комплектов утилит, для создания резервных копий – MS Backup, Norton Backup; создание архивов на внешних носителях информации. Резервирование рекомендуется делать регулярно – раз в день, месяц, после окончания работы с использованием соответствующих программных средств и устройств. Так, для резервирования больших массивов информации по стоимости на единицу хранения наиболее выгодны магнитные ленты. Они также отличаются повышенной надежностью. В случае потери информации она может быть восстановлена: 1. с использованием резервных данных; 2. без использования резервных данных. Во втором случае применяются следующие особенности удаления файлов и каталогов: стирается первая буква имени файла; из FAT стирается информация о занятых секторах ( сложности, если файл фрагментирован). Для успешного восстановления данных необходимо чтобы: после удаления файла на освободившееся место не была записана новая информация файл не был фрагментирован (для этого необходимо регулярно выполнять операцию дефрагментации с помощью, например, утилиты Speedisk из пакета Norton Utilites) Восстановление производится следующими программными средствами: Undelete из пакета утилит DOS; Unerase из комплекта утилит Norton Utilites. Если данные представляют особую ценность для пользователя, то можно применять защиту от уничтожения: 1. присвоить файлам атрибут Read Only 2. использовать специальные программные средства для сохранения файлов после удаления его пользователем, имитирующие удаление, например утилиту SmartCan из пакета Norton Utilites. В этом случае при удалении файлы переписываются в скрытый каталог, где и хранятся определенное число дней, которое пользователь может установить сам. Размер каталога ограничен, и при заполнении его наиболее старые файлы стираются и замещаются вновь удаленными. Необходимо отметить, что большую угрозу для сохранности данных представляют нарушения в системе подачи питания – отключение напряжения, всплески и падения напряжения, импульсные помехи и т.д.. 2. ЗАЩИТА ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
Несанкционированный доступ - чтение, обновление или разрушение информации при отсутствии на это соответствующих полномочий. Несанкционированный доступ осуществляется, как правило, с использованием чужого имени, изменением физических адресов устройств, использованием информации оставшейся после решения задач, модификацией программного и информационного обеспечения, хищением носителя информации, установкой аппаратуры записи. Для успешной защиты своей информации пользователь должен иметь абсолютно ясное представление о возможных путях несанкционированного доступа. Перечислим основные типовые пути несанкционированного получения информации: хищение носителей информации и производственных отходов; копирование носителей информации с преодолением мер защиты; маскировка под зарегистрированного пользователя; мистификация (маскировка под запросы системы); использование недостатков операционных систем и языков программирования; использование программных закладок и программных блоков типа "троянский конь"; перехват электронных излучений; перехват акустических излучений; дистанционное фотографирование; применение подслушивающих устройств; злоумышленный вывод из строя механизмов защиты и т.д.. Для защиты информации от несанкционированного доступа применяются: I. Организационные мероприятия; II. Технические средства; III. Программные средства; IV. Криптография. Организационные мероприятия включают в себя: пропускной режим; хранение носителей и устройств в сейфе (дискеты, монитор, клавиатура и т.д.); ограничение доступа лиц в компьютерные помещения и т.д.. Под техническим способом защиты информации понимаются различные аппаратные способы защиты информации. Технические средства включают в себя: фильтры, экраны на аппаратуру; ключ для блокировки клавиатуры; устройства аутентификации - для чтения отпечатков пальцев, формы руки, радужной оболочки глаза, скорости и приемов печати и т.д.; электронные ключи на микросхемах и т.д. Под программным способом защиты информации понимается разработка специального программного обеспечения, которое бы не позволяло постороннему человеку, не знакомому с этим видом защиты, получать информацию из системы. Программные средства включают в себя: парольный доступ - задание полномочий пользователя; блокировка экрана и клавиатуры с помощью комбинации клавиш в утилите Diskreet из пакета Norton Utilites; использование средств парольной защиты BIOS - на сам BIOS и на ПК в целом и т.д. Под криптографическим способом защиты информации подразумевается ее шифрование при вводе в компьютерную систему. Основными видами несанкционированного доступа к данным являются следующие: чтение; запись. и соответственно требуется защита данных: от чтения; от записи. Защита данных от чтения автоматически подразумевает и защиту от записи, ибо возможность записи при отсутствии возможности чтения практически бессмысленна. Защита от чтения осуществляется: наиболее просто - на уровне DOS введением атрибута Hidden для файлов; наиболее эффективно - шифрованием. Защита от записи осуществляется: установкой атрибута Read Only для файлов; запрещением записи на дискету - рычажок или наклейка); запрещением записи через установки BIOS - дисковод не установлен.
3. ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СЕТЯХ.
Опасность злоумышленных несанкционированных действий над информацией приняла особенно угрожающий характер с развитием компьютерных сетей. Большинство систем обработки информации создавалось как обособленные объекты: рабочие станции, ЛВС, большие универсальные компьютеры и т.д. Каждая система использует свою рабочую платформу (MS DOS, Windows, Novell), а также разные сетевые протоколы (TCP/IP, VMS, MVS). Сложная организация сетей создает благоприятные предпосылки для совершения различного рода правонарушений, связанных с несанкционированным доступом к конфиденциальной информации. Большинство операционных систем, как автономных, так и сетевых, не содержат надежных механизмов защиты информации. Угрозы безопасности сети Пути утечки информации и несанкционированного доступа в компьютерных сетях в основной своей массе совпадают с таковыми в автономных системах (см. выше). Дополнительные возможности возникают за счет существования каналов связи и возможности удаленного доступа к информации. К ним относятся:
- электромагнитная подсветка линий связи;
- незаконное подключение к линиям связи;
- дистанционное преодоление систем защиты;
- ошибки в коммутации каналов;
- нарушение работы линий связи и сетевого оборудования.
Вопросы безопасности сетей решаются в рамках архитектуры безопасности, в структуре которой различают: • угрозы безопасности; • службы (услуги) безопасности; • механизмы обеспечения безопасности. Под угрозой безопасности понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию ресурсов сети, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства. Угрозы принято делить на: 1. непреднамеренные, или случайные; 2. умышленные. Случайные угрозы возникают как результат ошибок в программном обеспечении, выхода из строя аппаратных средств, неправильных действий пользователей или администратора сети и т. п. Умышленные угрозы преследуют цель нанесения ущерба пользователям и абонентам сети и в свою очередь подразделяются на активные и пассивные. Пассивные угрозы направлены на несанкционированное использование информационных ресурсов сети, но при этом не оказывают влияния на ее функционирование. Примером пассивной угрозы является получение информации, циркулирующей в каналах сети, посредством прослушивания. Активные угрозы имеют целью нарушение нормального процесса функционирования сети посредством целенаправленного воздействия на ее аппаратные, программные и информационные ресурсы. К активным угрозам относятся, например, разрушение или радиоэлектронное подавление линий связи, вывод из строя компьютера или операционной системы, искажение сведений в пользовательских базах данных или системной информации и т. п. К основным угрозам безопасности относятся: • раскрытие конфиденциальной информации; • компроментация информации; • несанкционированный обмен информацией; • отказ от информации; • отказ в обслуживании; • несанкционированное использование ресурсов сети; • ошибочное использование ресурсов сети. Угрозы раскрытия конфиденциальной информации реализуются путем несанкционированного доступа к базам данных. Компрометация информации реализуется посредством внесения несанкционированных изменений в базы данных. Несанкционированное использование ресурсов сети является средством раскрытия или компрометации информации, а также наносит ущерб пользователям и администрации сети. Ошибочное использование ресурсов является следствием ошибок, имеющихся в программном обеспечении ЛВС. Несанкционированный обмен информацией между абонентами сети дает возможность получать сведения, доступ к которым запрещен, т.е. по сути приводит к раскрытию информации. Отказ от информации состоит в непризнании получателем или отправителем этой информации фактов ее получения или отправки. Отказ в обслуживании представляет собой весьма распространенную угрозу, источником которой является сама сеть. Подобный отказ особенно опасен в случаях, когда задержка с предоставлением ресурсов сети может привести к тяжелым для абонента последствиям. Службы безопасности сети Службы безопасности сети указывают направления нейтрализации возможных угроз безопасности. Службы безопасности находят свою практическую реализацию в различных механизмах безопасности. Одна и та же служба безопасности может быть реализована с использованием разных механизмов безопасности или их совокупности. Международная организация стандартизации (МОС) определяет следующие службы безопасности: 1. аутентификация (подтверждение подлинности); 2. обеспечение целостности; 3. засекречивание данных; 4. контроль доступа; 5. защита от отказов. Механизмы безопасности Среди механизмов безопасности сетей, предусмотренных МОС, обычно выделяют следующие основные: • шифрование; • контроль доступа; • цифровая подпись; Шифрование применяется для реализации служб засекречивания и используется в ряде других служб. Механизмы контроля доступа обеспечивают реализацию одноименной службы безопасности, осуществляют проверку полномочий объектов сети, т.е. программ и пользователей, на доступ к ресурсам сети. При доступе к ресурсу через соединение контроль выполняется в точке инициализации связи, в промежуточных точках, а также в конечной точке. Самым распространенным и одновременно самым ненадежным методом аутентификации является парольный доступ. Более совершенными являются пластиковые карточки и электронные жетоны. Наиболее надежными считаются методы аутентификации по особым приметам личности, так называемые биометрические методы. Цифровая подпись используется для реализации служб аутентифиации и защиты от отказов. По своей сути она призвана служить электронным аналогом реквизита подпись, используемого на бумажных документах. Механизм цифровой подписи базируется на использовании способа шифрования с открытым ключом. Знание соответствующего открытого ключа дает возможность получателю электронного сообщения однозначно опознать его отправителя. Дополнительными механизмами безопасности, предусмотренными МОС, являются следующие: • обеспечение целостности данных; • аутентификация; • подстановка трафика; • управление маршрутизацией; • арбитраж.
4. ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ В КОРПОРАТИВНОЙ СЕТИ
Обеспечение безопасности информации в крупных автоматизированных системах является сложной задачей. Реальную стоимость содержащейся в таких системах информации подсчитать сложно, а безопасность информационных ресурсов трудно измерить или оценить. Объектом защиты в современных АИС выступает территориально распределенная гетерогенная сеть со сложной структурой, предназначенная для распределенной обработки данных, часто называемая корпоративной сетью. Характерной особенностью такой сети является то, что в ней функционирует оборудование самых разных производителей и поколений, а также неоднородное программное обеспечение, не ориентированное изначально на совместную обработку данных. Решение проблем безопасности АИС заключается в построении целостной системы защиты информации. При этом защита от физических угроз, например доступа в помещения и утечки информации за счет ПЭМИ, не вызывает особых проблем. На практике приходится сталкиваться с рядом более общих вопросов политики безопасности, решение которых обеспечит надежное и бесперебойное функционирование информационной системы. Главными этапами построения политики безопасности являются следующие: обследование информационной системы на предмет установления ее организационной и информационной структуры и угроз безопасности информации; выбор и установка средств защиты; подготовка персонала работе со средствами защиты; организация обслуживания по вопросам информационной безопасности; создание системы периодического контроля информационной безопасности ИС. В результате изучения структуры ИС и технологии обработки данных в ней разрабатывается Концепция информационной безопасности ИС, на основе которых в дальнейшем проводятся все работы по защите информации в ИС. В концепции находят отражение следующие основные моменты: • организация сети организации; • существующие угрозы безопасности информации, возможности их реализации и предполагаемый ущерб от этой реализации; • организация хранения информации в ИС; • организация обработки информации; (на каких рабочих местах и с помощью какого программного обеспечения); • регламентация допуска персонала к той или иной информации; • ответственность персонала за обеспечение безопасности. В конечном итоге на основе Концепции информационной безопасности ИС создается схема безопасности, структура которой должна удовлетворять следующим условиям: 1. Защита от несанкционированного проникновения в корпоративную сеть и возможности утечки информации по каналам связи. 2. Разграничение потоков информации между сегментами сети. 3. Защита критичных ресурсов сети. 4. Защита рабочих мест и ресурсов от несанкционированного доступа (НСД). 5. Криптографическая защита информационных ресурсов. В настоящее время не существует однозначного решения, аппаратного или программного, обеспечивающего выполнение одновременно всех перечисленных условий. Требования конкретного пользователя по защите информации в ИС существенно разнятся, поэтому каждая задача решается часто индивидуально с помощью тех или иных известных средств защиты. Считается нормальным, когда 10 – 15% стоимости информации тратится на продукты, обеспечивающие безопасность функционирования сетевой информационной системы. Защита от несанкционированного проникновения и утечки информации Основным источником угрозы несанкционированного проникновения в АИС является канал подключения к внешней сети, например, к Internet. Вероятность реализации угрозы зависит от множества факторов, поэтому говорить о едином способе защиты в каждом конкретном случае не представляется возможным. Распространенным вариантом защиты является применение межсетевых экранов или брандмауэров. Брандмауэр – барьер между двумя сетями: внутренней и внешней, обеспечивает прохождение входящих и исходящих пакетов в соответствии с правилами, определенными администратором сети. Брандмауэр устанавливается у входа в корпоративную сеть и все коммуникации проходят через него. Возможности межсетевых экранов позволяют определить и реализовать правила разграничения доступа как для внешних, так и для внутренних пользователей корпоративной сети, скрыть, при необходимости, структуру сети от внешнего пользователя, блокировать отправку информации по "запретным" адресам, контролировать использование сети и т.д. Вход в корпоративную сеть становится узким местом, прежде всего для злоумышленника. Разграничение потоков информации между сегментами сети В зависимости от характера информации, обрабатываемой в том или ином сегменте сети, и от способа взаимодействия между сегментами реализуют один из следующих вариантов. В первом варианте не устанавливается никакого разграничения информационных потоков, т.е. защита практически отсутствует. Такой вариант оправдан в случаях, когда ни в одном из взаимодействующих сегментов не хранится и не обрабатывается критичная информация или когда сегменты сетевой информационной системы содержат информацию одинаковой важности и находятся в одном здании, в пределах контролируемой зоны. Во втором варианте разграничение достигается средствами коммуникационного оборудования (маршрути-заторы, переключатели и т.п.). Такое разграничение не позволяет реализовать защитные функции в полном объеме поскольку, во-первых, коммуникационное оборудование изначально не рассматривается как средство защиты и, во-вторых, требуется детальное представление о структуры сети и циркулирующих в ней информационных потоков. В третьем варианте предполагается применение брандмауэров. Данный способ применяется, как правило, при организации взаимодействия между сегментами через сеть Internet, когда уже установлены брандмауэры, предназначенные для контроля за потоками информации между информационной системой и сетью Internet. Защита критичных ресурсов АИС Наиболее критичными ресурсами корпоративной сети являются серверы, а основным способом вмешательства в нормальный процесс их функционирования является проведение атак с использованием уязвимых мест в аппаратном и программном обеспечении. Атака может быть реализована как из внешней сети, так и из внутренней. Основная задача заключается не столько в своевременном обнаружении и регистрации атаки, сколько в противодействии ей. Наиболее мощными инструментами защиты, предназначенными для оперативного реагирования на подобные нападения, являются специальные системы, наподобие системы RealSecure, производимой американской корпорацией Internet Security Systems, Inc., которые позволяют своевременно обнаружить и предотвратить наиболее известные атаки, проводимые по сети. Защита рабочих мест и ресурсов от НСД До настоящего времени большинство автоматизированных систем ориентируется только на встроенные защитные механизмы сетевых операционных систем. При правильном администрировании такие механизмы обеспечивают достаточную защиту информации на серверах корпоративной сети. Однако обработка информации, подлежащей защите, производится рабочих станциях, подавляющее большинство которых (более 90%) работает под управлением MS DOS или Windows'95 и не имеет средств обеспечения безопасности, так как эти операционные системы не содержат встроенных механизмов защиты. Как следствие, на незащищенном рабочем месте может обрабатываться критичная информация, доступ к которой ничем не ограничен. Для рабочих станций рекомендуется применять дополнительные средства защиты, часть из которых описана в предыдущем разделе. Криптографическая защита информационных ресурсов Шифрование является одним из самых надежных способов защиты данных от несанкционированного ознакомления. Особенностью применения подобных средств в России является жесткая законодательная регламентация. Для защиты конфиденциальной информации разрешается применять только сертифицированные ФАПСИ продукты. В настоящее время в корпоративных сетях они устанавливаются только на тех рабочих местах, где хранится информация, имеющая очень высокую степень важности. Этапы построения политики безопасности По окончании работ первого этапа – обследования информационной системы – необходимо иметь полное представление о том, в каком состоянии находится корпоративная сеть и о том, что нужно сделать, чтобы обеспечить в ней защиту информации. На основе данных обследования можно перейти ко второму этапу – выбору, приобретению, установке, настройке и эксплуатации систем защиты в соответствии с разработанными рекомендациями. Любое средство защиты создает дополнительные неудобства в работе пользователя, при этом препятствий тем больше, чем меньше времени уделяется настройке систем защиты. Администратор безопасности должен ежедневно обрабатывать данные регистрации, чтобы своевременно корректировать настройки, обеспечивающие адаптацию к изменениям в технологии обработки информации. Без этого любая система защиты, какой бы хорошей она ни была, обречена на медленное вымирание. Третий этап – обучение администраторов безопасности работе со средствами защиты. В процессе обучения администратор получает базовые знания о технологии обеспечения информационной безопасности, об имеющихся в операционных системах подсистемах безопасности и о возможностях систем защиты, о технологических приемах, используемых при их настройке и эксплуатации. Четвертый этап – информационное обслуживание по вопросам безопасности. Наличие своевременной информации об уязвимых местах и способах защиты способствует принятию адекватных мер обесеспечения безопасности. Источники подобных сведений – книги, журналы, Web-серверы и т.п. Однако администратор безопасности не всегда имеет достаточное количество времени для поиска необходимых сведений в этом море информации. Поэтому при выборе системы защиты необходимо учитывать возможности обеспечения последующей информационной поддержки. Пятый этап – периодический аудит системы информационной безопасности. Корпоративная сеть является постоянно изменяющейся структурой: появляются новые серверы и рабочие станции, меняется программное обеспечение и его настройки, состав информации, персонал, работающий в организации, и т.д. Все это приводит к тому, что степень защищенности системы постоянно изменяется и, что наиболее опасно, снижается. Чтобы адаптировать систему информационной безопасности к новым условиям работы, необходимо отслеживать изменения и своевременно реагировать на них. Многие работы по анализу состояния защищенности корпоративной сети могут быть выполнены при помощи специальных программных средств, например Internet Scanner и System Security Scanner из семейства SAFESUITE корпорации Internet Security Systems Inc. Такие программные средства существенно облегчают работу администратора безопасности по поиску ошибок в настройках и выявлению критичного программного обеспечения, а также позволяют в автоматизированном режиме отслеживать состояние корпоративной сети, своевременно обнаруживать и устранять возможные источники проблем. Составной частью работ пятого этапа является корректировка Плана защиты в соответствии с реальным состоянием корпоративной сети, поскольку самая совершенная схема рано или поздно устаревает и становится препятствием на пути совершенствования технологии обработки данных. Следует помнить, что не существует стандартных решений, одинаково хорошо работающих в разных условиях. Всегда возможны и необходимы дополнения к рассмотренному общему плану организации защиты корпоративной сети, учитывающие особые условия той или иной организации. Однако реализация комплекса рассмотренных мероприятий с учетом возможных дополнений способна обеспечить достаточный уровень защищенности информации в корпоративной сети.