IpSec в работе

Перед передачей любых данных компьютер с поддержкой IPSec согласовывает с партнером по связи уровень защиты, используемый в сеансе. В процессе согласования определяются методы аутентификации, хеширования, туннелирования (при необходимости) и шифрования (также при необходимости). Секретные ключи проверки подлинности создаются на каждом компьютере локально на основании информации, которой они обмениваются. Никакие реальные ключи никогда не передаются по сети. После создания ключа выполняется проверка подлинности и начинается сеанс защищенного обмена данными.

Уровень безопасности (высокий или низкий) определяется политиками IP-безопасности обменивающихся компьютеров. Скажем, для связи между компьютером с Windows XP Professional и компьютером, не поддерживающим IPSec, создание защищенного канала не требуется. С другой стороны, в сессии обмена между Windows 2000-сервером, содержащим конфиденциальные данные, и компьютером в интрасети обычно нужна высокая степень безопасности.

Поддержка смарт-карт

Смарт-карта - это устройство с интегральной схемой размером с кредитную карточку, предназначенное для безопасного хранения открытых и закрытых ключей, паролей и прочей личной информации. Она служит для операций шифрования с открытым ключом, проверки подлинности, введения цифровой подписи и обмена ключами.

Смарт-карта предоставляет следующие функции:

• особо защищенное хранилище для закрытых ключей и другой частной информации;

• изоляцию чрезвычайно важных для безопасности вычислений, в том числе проверки подлинности, цифровой подписи и обмена ключами, от других компонентов системы, которые напрямую не работают с этими данными;

• свободу перемещения реквизитов пользователей и другой частной информации между компьютерами на работе и дома, а также удаленными компьютерами.

PIN вместо пароля

Для активизации смарт-карт применяются PIN-коды (Personal Identification Number - персональный идентификационный номер), а не пароли. Код известен только владельцу смарт-карты, что повышает надежность защиты. Для активизации смарт-карты пользователь вводит ее в подключенное к компьютеру устройство чтения и в ответ на запрос системы вводит свой PIN-код.

PIN-код надежнее обычных сетевых паролей. Пароли (или их производные, например, хеш) передаются по сети и подвержены атакам. Устойчивость пароля к взлому зависит от его длины, надежности механизма защиты пароля и от того, насколько трудно его угадать. С другой стороны, PIN-код никогда не передается по сети, и поэтому его нельзя перехватить анализатором пакетов. Дополнительное средство защиты - блокировка смарт-карты после нескольких неудачных попыток подряд ввести PIN-код, что сильно затрудняет подбор кода. Разблокировать смарт-карту может только администратор системы.

Стандарты смарт-карт

Windows 2000 работает со стандартными смарт-картами и устройствами чтения смарт-карт, поддерживающими спецификацию PC/SC (Personal Computer/Smart Card), определенную рабочей группой PC/SC Workgroup, а также технологию Plug and Play. Для поддержки спецификации PC/SC 1.0 в Windows смарт-карта должна конструктивно и по электрическим характеристикам соответствовать стандартам ISO 7816-1, 7816-2 и 7816-3.

Устройства чтения смарт-карт подключают к стандартным интерфейсам периферийных устройств персонального компьютера, таким как RS-232, PS/2, PCMCIA и USB. Некоторые устройства чтения смарт-карт с интерфейсом RS-232 оборудованы дополнительным кабелем, подключаемым к порту PS/2 и используемым для питания устройства. PS/2-порт применяется только для питания, но не для передачи данных.

Устройства чтения смарт-карт считаются стандартными устройствами Windows со своим дескриптором безопасности и PnP-идентификатором. Они управляются стандартными драйверами устройств Windows и устанавливаются и удаляются средствами мастера Hardware wizard.

В Windows 2000 Server и Windows XP Professional имеются драйверы для многих коммерческих PnP-устройств чтения смарт-карт с логотипом совместимости с Windows. Некоторые производители поставляют драйверы для несертифицированных устройств чтения, которые в настоящее время работают с Windows. И все же для обеспечения постоянной поддержки Microsoft рекомендуется приобретать устройства чтения смарт-карт, имеющие логотип совместимости с Windows.

Вход в систему с использованием смарт-карты

Смарт-карты применяются для входа только под доменными, но не локальными учетными записями. Если вход в систему в интерактивном режиме под учетной записью домена в Windows 2000 Server и Windows XP Professional выполняется по паролю, используется протокол проверки подлинности Kerberos v5. При входе со смарт-картой ОС использует Kerberos v5 с сертификатами X.509 v3, если только контроллер домена не работает под Windows 2000 Server.

Если вместо пароля применяется смарт-карта, хранимая на ней пара ключей заменяется общим секретным ключом, созданным на основе пароля. Закрытый ключ есть только на смарт-карте. Открытый ключ предоставляется всем, с кем нужно обмениваться конфиденциальной информацией.

Применение смарт-карт для администрирования

Администраторы выполняют свою обычную работу под учетной записью простого пользователя, а привилегированную административную учетную запись применяют для администрирования. Такие инструментальные средства и утилиты, как Net.exe и Runas.exe, позволяют им работать с дополнительными реквизитами. В Windows XP Professional служебные программы также применяются для управления реквизитами на смарт-картах.

Kerberos v5

В Windows 2000 и Windows XP Professional реквизиты предоставляются в виде пароля, билета Kerberos или смарт-карты (если компьютер оборудован для работы со смарт-картами).

Протокол Kerberos v5 обеспечивает взаимную проверку подлинности клиента (например, пользователя, компьютера или службы) и сервера. Kerberos v5 предоставляет для серверов высокоэффективные средства аутентификации клиентов даже в огромных и чрезвычайно сложных сетевых средах.

Протокол Kerberos основан на предположении, что начальный обмен между клиентами и серверами выполняется в открытой сети, т. е. в такой, где любой неавторизованный пользователь может имитировать клиент или сервер, перехватывать или подделывать сообщения между полномочными клиентами и серверами. Kerberos v5 поддерживает защищенный и эффективный механизм проверки подлинности в сложных сетях с клиентами и ресурсами.

В Kerberos v5 применяется секретный (симметричный) ключ шифрования для защиты передаваемых по сети реквизитов входа в систему. Этот же ключ использует получатель для расшифровки реквизитов. Расшифровка и все последующие шаги выполняются службой центра распространения ключей Kerberos, работающей на каждом контроллере домена в составе Active Directory.

Аутентификатор

Аутентификатор - это информация (например, метка времени), уникальная для каждого сеанса проверки и присоединяемая к зашифрованным реквизитам входа в систему для гарантии того, что переданное ранее сообщение с реквизитами не используются повторно. Для подтверждения получения и принятия исходного сообщения генерируется новый аутентификатор и присоединяется к зашифрованному ответу KDC клиенту. Если реквизиты входа в систему и аутентификатор удовлетворяют KDC, он выпускает билет TGT (ticket-granting ticket), на основании которого диспетчер локальной безопасности (Local Security Authority, LSA) получает билеты служб. Билеты служб содержат зашифрованные данные, подтверждающие подлинность клиента, и применяются для получения доступа к сетевым ресурсам без дополнительной проверки подлинности на все время действия билета. Начальный ввод пароля или реквизитов со смарт-карты "виден" пользователю, все остальное происходит автоматически ("прозрачно") без его участия.

Служба центра распространения ключей Kerberos

Эта служба применяется совместно с протоколом проверки подлинности Kerberos для аутентификации запросов на вход в систему в соответствии с данными в Active Directory.

Kerberos v5 используется в Windows 2000 Server и Windows XP Professional по умолчанию, но для нормальной работы этого протокола требуется, чтобы и контроллеры домена, и клиентские компьютеры работали под управлением Windows 2000 или Windows XP Professional. Если это условие не соблюдается, для проверки подлинности используется протокол NTLM.

13. Функции, задачи защиты информации.

Функции ЗИ:

1. Предотвращение доступа злоумышленника в зону защты;

2. Предупреждение наличия КНПИ в зоне защиты;

3. Предупреждение несанкционированного получения информации, при наличии канала в зоне защиты;

4. Локализация несанкционированного получения информации в зоне защиты

5. Ликвидация последствий несанкционированного получения информации в зоне защиты.

Задачи ЗИ делятся на две группы:

1. Создание механизмов защиты информации;

2. Управление ЗИ.

Первая группа включает в себя:

1. Введение избыточных элементов системы

2. Резервирование элементов системы

3. Регулирование доступа к элементам систесы

4. Регулирование использования элементов системы

5. Маскировка информации

6. Контроль за элементами системы

7. Регистрация сведений

8. Уничтожение информации

9. Сигнализация

10. Реагирование

Во вторую группу входят следующие задачи:

1. Оперативно-диспетчерское управление ЗИ

2. Календарное планирование ЗИ

3. Планирование ЗИ

4. Обеспечение повседневной деятельности ЗИ.

13. Аутентификация субъектов и объектов АСОД.

Напомним, что под идентификацией р] принято понимать присвоение суоъектам доступа уникальных идентификаторов и сравнение таких идентификаторов с перечнем возможных. В свою очередь, аутентификация понимается как проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности.

Тем самым, задача идентификации - ответить на вопрос «кто это?», а аутентификации - «а он ли это на самом деле?». Базовая схема идентификации и аутентификации приведена на рис. 1.3.2.

Приведённая схема учитывает возможные ошибки оператора при проведении процедуры аутентификации: если аутентификация не выполнена, но допустимое число попыток не превышено, пользователю предлагается пройти процедуру идентификации и аутентификации еще раз.

Всё множество использующих в настоящее время методов аутентификации можно разделить на 4 большие группы [б]:

1. Методы, основанные на мании некоторой секретной информации. Классическим примером таких методов является парольная шиита, когда в качестве средства аутентификации пользователю предлагается ввести пароль -некоторую последовательность символов. Данные методы аутентификации являются наиболее распространёнными.

2. Методы, основанные на использовании уникального предмета. В качестве такого предмета могут быть использованы смарт-карта, токен, электронный ключ и т.д.

3. Методы, основанные на использовании биометрических характеристик человека. На практике чаще всего используются одна или несколько из следующих биометрических характеристик:

• отпечатки пальцев;

• рисунок сетчатки или радужной оболочки глаза;

• тепловой рисунок кисти руки;

• фотография или тепловой рисунок лица;

• почерк (роспись);

• голос.

Наибольшее распространение получили сканеры отпечатков пальцев и рисунков сетчатки и радужной оболочки глаза.

4. Методы, основанные на информации, ассоциированной с пользователем. Примером такой информации могут служить координаты пользователя, определяемые при помощи GPS. Данный подход вряд ли может быть использован в качестве единственного механизма аутентификации, однако вполне допустим в качестве одного из нескольких совместно используемых механизмов.

Широко распространена практика совместного использования нескольких из перечисленных выше механизмов - в таких случаях говорят о многофакторной аутентификации.

Особенности парольных систем аутентификации

При всём многообразии существующих механизмов аутентификации, наиболее распространённым из них остаётся парольная защита. Для этого есть несколько причин, из которых мы отметим следующие [б]:

- Относительная простота реализации. Действительно, реализация механизма парольной защиты обычно не требует привлечения дополнительных аппаратных средств.

Традиционность. Механизмы парольной защиты являются привычными для большинства пользователей автоматизированных систем и не вызывают

психологического отторжения - в отличие, например, от сканеров рисунка сетчатки глаза.

В то же время для парольных систем зашиты характерен парадокс, затрудняющий их эффективную реализацию: стойкие пароли мало пригодны для использования человеком. Действительно, стойкость пароля возникает по мере его усложнения; но чем сложнее пароль, тем труднее его запомнить, и у пользователя появляется искушение записать неудобный пароль, что создаёт дополнительные каналы для его дискредитации.

Остановимся более подробно на основных угрозах безопасности парольных систем. В общем случае пароль может быть получен злоумышленником одним из трёх основных способов:

1. За счёт использования слабостей человеческого фактора [7, 8]. Методы получения паролей здесь могут быть самыми разными: подглядывание, подслушивание, шантаж, угрозы, наконец, использование чужих учётных записей с разрешения их законных владельцев.

2. Путём подбора. При этом используются следующие методы:

• Полный перебор. Данный метод позволяет подобрать любой пароль вне зависимости от его сложности, однако для стойкого пароля время, необходимое для данной атаки, должно значительно превышать допустимые временные ресурсы злоумышленника.

• Подбор по словарю. Значительная часть используемых на практике паролей представляет собой осмысленные слова или выражения. Существуют словари наиболее распространённых паролей, которые во многих случаях позволяют обойтись без полного перебора.

• Подбор с использованием сведений о пользователе. Данный интеллектуальный метод подбора паролей основывается на том факте, что если политика безопасности системы предусматривает самостоятельное назначение паролей пользователями, то в подавляющем большинстве случаев в качестве пароля будет выбрана некая персональная информация, связанная с пользователем АС. И хотя в качестве такой информации может быть выбрано что угодно, от дня рождения тёщи и до прозвища любимой собачки, наличие информации о пользователе позволяет проверить наиболее распространённые варианты (дни рождения, имена детей н т.д.).

3. За счёт использования недостатков реализации парольных систем. К таким недостаткам реализации относятся эксплуатируемые уязвимости сетевых сервисов, реализующих те или иные компоненты парольной системы защиты, или же недекларированные возможности соответствующего программного или аппаратного обеспечения.

Рекомендации по практической реализации парольных систем

При построении системы парольной защиты необходимо учитывать специфику АС и руководствоваться результатами проведённого анализа рисков. В то же время можно привести следующие практические рекомендации:

Установление минимальной длины пароля. Очевидно, что регламентация минимально допустимой длины пароля затрудняет для злоумышленника реализацию подбора пароля путём полного перебора.

Увеличение мощности алфавита паролей. За счёт увеличения мощности (которое достигается, например, путём обязательного использования спецсимволов) также можно усложнить полный перебор.

- Проверка и отбраковка паролей по словарю. Данный механизм позволяет затруднить подбор паролей по словарю за счёт отбраковки заведомо легко подбираемых паролей. Установка максимального срока действия пароля. Срок действия пароля ограничивает промежуток времени, который злоумышленник может затратить на подбор пароля. Тем самым, сокращение срока действия пароля уменьшает вероятность его успешного подбора.

Установка минимального срока действия пароля. Данный механизм предотвращает попытки пользователя незамедлительно сменить новый пароль на предыдущий.

• Отбраковка по журналу истории паролей. Механизм предотвращает повторное использование паролей - возможно, ранее скомпрометированных.

• Ограничение числа попыток ввода пароля. Соответствующий механизм затрудняет интерактивный подбор паролей.

• Принудительная смена пароля при первом входе пользователя в систему. В случае, если первичную генерацию паролей для всех пользователь осуществляет администратор, пользователю может быть предложено сменить первоначальный пароль при первом же входе в систему - в этом случае новый пароль не будет известен администратору.

• Задержка при вводе неправильного пароля. Механизм препятствует интерактивному подбору паролей.

Запрет на выбор пароля пользователем и автоматическая генерация пароля. Данный механизм позволяет гарантировать стойкость сгенерированных паролей -однако не стоит забывать, что в этом случае у пользователей неминуемо возникнут проблемы с запоминанием паролей.

Оценка стойкости парольных систем

Оценим элементарные взаимосвязи между основными параметрами парольных систем [1]. Введём следующие обозначения:

• Л - мощность алфавита паролей;

• L - длина пароля.

• S=A^l - мощность пространства паролей; V- скорость подбора паролей;

• Т-срок действия пароля;

- Р - вероятность подбора пароля в течение его срока действия. Очевидно, что справедливо следующее соотношение:

P= (S-T)/V

Обычно скорость подбора паролей V и срок действия пароля Г можно считать известными. В этом случае, задав допустимое значение вероятности Р подбора пароля в течение его срока действия, можно определить требуемую мошность пространства паролей S.

Заметам, что уменьшение скорости подбора паролей Г' уменьшает вероятность полбора пароля. Из этого, з частности, следует, что если подбор паролей осуществляется путём вычисления хэш-фунхпии и сравнение результата с заданным значением, то большую стойкость парольной системы обеспечит применение медленной хэгд-функпни.

Методы хранения паролей

В общем случае возможны три механизма хранения паролей в АС [9]:

1. В открытом виде. Безусловно, данный вариант не является оптимальным, поскольку автоматически создает множество каналов утечки парольной информации. Реальная необходимость хранения паролей в открытом виде встречается крайне редко, и обычно подобное решение является следствием некомпетентности разработчика.

2. В виде хэш-значения. Данный механизм удобен для проверки паролей, поскольку хэш-значения однозначно связаны с паролем, но при этом сами не представляют интереса для злоумышленника.

3. В зашифрованном биде. Пароли могут быть зашифрованы с использованием некоторого криптографического алгоритма, при этом ключ шифрования может храниться:

• на одном из постоянных элементов системы;

• на некотором носителе (электронный ключ, смарт-карта и т.п.), предъявляемом при инициализации системы;

• ключ может генерироваться из некоторых других параметров безопасности АС - например, из пароля администратора при инициализации системы.

Передача паролей по сети

Наиболее распространены следующие варианты реализации:

1. Передача паролей б открытом виде. Подход крайне уязвим, поскольку пароли могут быть перехвачены в каналах связи. Несмотря на это, множество используемых на практике сетевых протоколов (например. FTP) предполагают передачу паролей в открытом виде.

2. Передача паролей б виде хэш-значений иногда встречается на практике, однако обычно не имеет смысла - хэши паролей могут быть перехвачены и повторно переданы злоумышленником по каналу связи.

3. Передача паролей б зашифрованном биде в большинстве является наиболее разумным и оправданным вариантом.

13. Определение потенциально возможных нарушителей защиты компьютерной безопасности.

Как показывает опыт работы, нормальное безущербное функционирование системы защиты возможно при комплексном использовании всех видов защиты и четко спланированных действиях сил службы охраны по сигналам, получаемым от технических средств охранной сигнализации.

Охрана учреждения, как правило, является достаточно дорогостоящим мероприятием, поэтому при выборе уровня защиты целесообразно оценить возможные потери от "беспрепятственного" действия нарушителя и сравнить их с затратами на организацию охраны. Этот показатель является индивидуальным для каждого объекта и может быть оценен, как правило, весьма приближенно. Практика создания и эксплуатации комплексов технических средств охранной сигнализации показала, что в большинстве случаев для построения эффективной охраны требуется наличие комбинированных ТСОС, учитывающих возможность дублирования функций обнаружения на основе использования различных физических принципов действия средств обнаружения.

В основе эффективного противодействия угрозе проникновения нарушителя в охраняемые помещения лежит проведение априорных оценок:

- приоритетов в системе защиты;

- путей возможного проникновения нарушителей;

- информации, которой может располагать нарушитель об организации системы защиты предприятия;

- технических возможностей нарушителя и т.д., т.е. оценок совокупности количественных и качественных характеристик вероятного нарушителя.

Такая совокупность полученных оценок называется "моделью" нарушителя. Эта модель, наряду с категорией объекта, служит основой для выбора методов организации охраны объекта, определяет сложность и скрытность применяемых технических средств охранной сигнализации и телевизионного наблюдения, варианты инженерно-технической защиты, кадровый состав службы охраны и т.д.

По уровню подготовки и технической оснащенности "нарушителя" условно можно разделить на следующие типы:

- случайные;

- неподготовленные;

- подготовленные;

- обладающие специальной подготовкой и оснащенные специальными средствами обхода;

- сотрудники предприятия.

Наиболее распространенной "моделью" нарушителя является "неподготовленный нарушитель", т.е. человек, пытающийся проникнуть на охраняемый объект, надеясь на удачу, свою осторожность, опыт или случайно ставший обладателем конфиденциальной информации об особенностях охраны. "Неподготовленный нарушитель" не располагает специальными инструментами для проникновения в закрытые помещения и тем более техническими средствами для обхода охранной сигнализации. Для защиты от "неподготовленного нарушителя" часто оказывается достаточным оборудование объекта простейшими средствами охранной сигнализации и организация службы невооруженной охраны.

Более сложная "модель" нарушителя предполагает осуществление им целенаправленных действий, например, проникновение в охраняемые помещения с целью захвата материальных ценностей или получения информации. Для крупного учреждения наиболее вероятной "моделью" является хорошо подготовленный нарушитель, возможно действующий в сговоре с сотрудником или охранником. При этом возможны такие варианты проникновения, как:

- негласное проникновение одиночного постороннего нарушителя с целью кражи ценностей, для установки специальной аппаратуры или для съема информации;

- негласное проникновение нарушителя-сотрудника предприятия с целью доступа к закрытой информации;

- проникновение группы нарушителей в охраняемые помещения в нерабочее время путем разрушения инженерной защиты объекта и обхода средств охранной сигнализации;

- проникновение одного или группы вооруженных нарушителей под видом посетителей с целью силового захвата ценностей;

- вооруженное нападение на объект с целью захвата заложников, ценностей, получения важной информации или организации собственного управления.

Очевидно, "модель" нарушителя может предполагать и сразу несколько вариантов исполнения целей проникновения на 00.

Среди путей негласного проникновения нарушителя прежде всего могут быть естественные проемы в помещениях: двери, окна, канализационные коммуникации, кроме того непрочные, легко поддающиеся разрушению стены, полы, потолки. Поэтому при организации охранной сигнализации в охраняемом помещении в первую очередь должны быть установлены средства обнаружения для защиты окон и дверей. Обнаружение проникновения через стены, полы и потолки выполняют, как правило, СО, предназначенные для защиты объема помещения. Для усиления защиты окон и дверей широко используются металлические решетки и защитные жалюзи. Установка достаточно надежных решеток на окна может иногда позволить отказаться от установки на них средств охранной сигнализации. Однако часто наблюдалось, что неправильная конструкция решеток открывает дополнительные возможности для проникновения в здание. Например, защищая окна первого этажа, решетки могут облегчить доступ к окнам второго этажа.

Возможность проникновения на объект вооруженных нарушителей требует не только усиления вооруженной охраны, но и установки на входах обнаружителей оружия, оборудование особо ответственных рабочих мест сотрудников кнопками и педалями тревожного оповещения, а в ряде случаев и установки скрытых телекамер для наблюдения за работой сотрудников. Входы в хранилища ценностей должны оборудоваться специальными сейфовыми дверями с дистанционно управляемыми замками и переговорными устройствами.

Уровни технической оснащенности нарушителя и его знаний о физических принципах работы СО, установленных на объекте, определяют возможность и время, необходимое ему на преодоление средств инженерной защиты и обход сигнализационной техники. Наиболее эффективны СО, физический принцип действия и способ обхода которых нарушитель не знает. В этом случае вероятность его обнаружения приближается к единице.

В конечном счете, поскольку задачей системы охраны является оказание противодействий нарушителю в достижении его целей, при построении системы охраны в ее структуру закладывается принцип создания последовательных рубежей на пути движения нарушителя. Угроза проникновения обнаруживается на каждом рубеже и ее распространению создается соответствующая преграда. Такие рубежи располагаются последовательно от прилегающей к зданию территории до охраняемого помещения, сейфа. Эффективность всей системы защиты от несанкционированного проникновения будет оцениваться по минимальному значению времени, которое нарушитель затратит на преодоление всех зон безопасности. За это время, с вероятностью близкой к 1, должна сработать система охранной сигнализации. Сотрудники охраны установят причину тревоги и примут необходимые меры.

Если "модель" нарушителя рассматривает негласное проникновение в охраняемое помещение нарушителя-сотрудника, в состав средств охранной сигнализации необходимо включить устройства документирования работы средств обнаружения, чтобы фиксировать несанкционированные отключения каналов сигнализации. Обычно указывается время постановки и снятия с охраны помещения. Аппаратура документирования должна устанавливаться в специальном помещении, куда имеют доступ только начальник охраны или ответственный сотрудник службы безопасности.

Итак, сложность системы охраны, ее насыщенность средствами инженерной и технической защиты определяются "моделью" нарушителя, категорией и особенностями объекта охраны. Количество необходимых зон безопасности определяется, исходя из состава материальных и информационных ценностей, а также специфических особенностей самого объекта. Если объект расположен в здании с прилегающей к нему территорией, то ограждение и периметральная охранная сигнализация образуют первую зону безопасности объекта. Последней зоной безопасности, например сейфовой комнаты, будет специальный сейф с кодовым запирающим устройством и сигнализационным средством, передающим информацию о попытках его вскрытия.

Очевидно, что для разработки "модели" нарушителя применительно к некоторому 00 необходимо обобщение большого опыта как отечественной, так и зарубежной практики построения систем охраны объектов, аналогичных рассматриваемому. С течением времени "модель" нарушителя, а следовательно, и вся концепция охраны могут меняться. Отсюда следует вывод о необходимости периодического дополнения концепции охраны объекта, обновления системы инженерной защиты, системы охранной сигнализации, телевизионного наблюдения, системы контроля доступа и всех иных систем, рассматриваемых системной концепцией обеспечения безопасности.

13. Проектирование систем защиты информации в АСОД.

Для разработки системы защиты информации проектировщикам необходимо выполнить следующие виды работ:

• на предпроектной стадии определить особенности хранимой информации, выявить виды угроз и утечки информации и оформить ТЗ на разработку системы;

• на стадии проектирования выбрать концепцию и принципы построения системы защиты и разработать функциональную структуру системы защиты;

• выбрать механизмы - методы защиты, реализующие выбранные функции;

• разработать программное, информационное, технологическое и организационное обеспечение системы защиты;

• провести отладку разработанной системы;

• разработать пакет технологической документации;

• осуществить внедрение системы;

• проводить комплекс работ по эксплуатации и администриро­ванию системы защиты.

Существенное значение при проектировании системы защиты информации придается предпроектному обследованию объекта. На этой стадии выполняются следующие операции:

• устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой ЭИС, оцениваются уровень конфиденциальности и объемы такой информации;

• определяются режимы обработки информации (диалоговый, телеобработки и режим реального времени), состав комплекса технических средств, общесистемные программные средства и т.д.;

• анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;

• определяются степень участия персонала, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер взаимодействия между собой и со службой безопасности;

• определяется состав мероприятий по обеспечению режима секретности на стадии разработки.

На стадии проектирования выявляется все множество каналов несанкционированного доступа путем анализа технологии хранения, передачи и обработки информации, определенного порядка проведения работ, разработанной системы защиты информации и выбранной модели нарушителя.

Создание базовой системы защиты информации в ЭИС в целом и для информационной базы, в частности, должно основываться на главных принципах, сформулированных в работе [2].

• Комплексный подход к построению системы защиты, означающий оптимальное сочетание программных, аппаратных средств и организационных мер защиты.

• Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки.

• Полнота контроля и регистрация попыток несанкционированного доступа.

• Обеспечение надежности системы защиты, т.е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок пользователей и обслуживающего персонала.

• «Прозрачность» системы защиты информации для общего, прикладного программного обеспечения и пользователей ЭИС.

Установление видов угроз и средств их реализации позволяет проектировщикам ЭИС разработать структуру системы защиты хранимых, обрабатываемых и передаваемых данных, основанную на применении разнообразных мер и средств защиты. Важную часть этой системы составляет организация подсистем:

• управления доступом;

• регистрации и учета;

• обеспечения целостности.

Для каждой подсистемы определяются основные цели, функции, задачи и методы их решения.

Существует несколько подходов к реализации системы защиты. Ряд специалистов из практики своей работы предлагают разделять систему безопасности на две части:

• внутреннюю;

• внешнюю.

Во внутренней части осуществляется в основном контроль доступа путем идентификации и аутентификации пользователей при допуске в сеть и доступе в базу данных. Помимо этого шифруются и идентифицируются данные во время их передачи и хранения.

Безопасность во внешней части системы в основном достигается криптографическими средствами. Аппаратные средства защиты реализуют функции разграничения доступа, криптографии, контроля целостности программ и их защиты от копирования во внутренней части, хорошо защищенной административно.

Как правило, для организации безопасности данных в ИБ используется комбинация нескольких методов и механизмов. Выбор способов защиты информации в ИБ - сложная оптимиза­ционная задача, при решении которой требуется учитывать вероятности различных угроз информации, стоимость реализации различных способов защиты и наличие различных заинтересованных сторон. В общем случае для нахождения оптимального варианта решения такой задачи необходимо применение теории игр, в частности теории биматричных игр с ненулевой суммой, позволяющей выбрать такую совокупность средств защиты, которая обеспечит максимизацию степени безопасности информации при данных затратах или минимизацию затрат при заданном уровне безопасности информации.

После выбора методов и механизмов осуществляется разработка программного обеспечения для системы защиты. Программные средства, реализующие выбранные механизмы защиты, должны быть подвергнуты комплексному тестированию. Изготовитель или поставщик выполняет набор тестов, документирует его и предоставляет на рассмотрение аттестационной комиссии, которая проверяет полноту набора и выполняет свои тесты. Тестированию подлежат как собственно механизмы безопасности, так и пользовательский интерфейс к ним.

Тесты должны показать, что защитные механизмы функционируют в соответствии со своим описанием и что не существует очевидных способов обхода или разрушения защиты. Кроме того, тесты должны продемонстрировать действенность средств управления доступом, защищенность регистрационной и аутентификационной информации. Должна быть уверенность, что надежную базу нельзя привести в состояние, когда она перестанет обслуживать пользовательские запросы.

Составление документации - необходимое условие гарантированной надежности системы и одновременно инструмент проведения выбранной концепции безопасности. Согласно «Оранжевой книге» в комплект документации надежной системы должны входить следующие компоненты:

• руководство пользователя по средствам безопасности;

• руководство администратора по средствам безопасности;

• тестовая документация;

• описание архитектуры.

Руководство пользователя по средствам безопасности предназначено для специалистов предметной области. Оно должно содержать сведения о применяемых в системе механизмах безопасности и способах их использования. Руководство должно давать ответы на следующие вопросы:

• Как входить в систему? Как вводить имя и пароль? Как менять пароль? Как часто это нужно делать? Как выбирать новый пароль?

• Как защищать файлы и другую информацию? Как задавать права доступа к файлам? Из каких соображений это нужно делать?

• Как импортировать и экспортировать информацию, не нарушая правил безопасности?

• Как уживаться с системными ограничениями? Почему эти ограничения необходимы? Какой стиль работы сделает ограничения необременительными?

Руководство администратора по средствам безопасности предназначено и для системного администратора, и для администратора безопасности. В руководстве освещаются вопросы начального конфигурирования системы, перечисляются текущие обязанности администратора, анализируются соотношения между безопасностью и эффективностью функционирования. В состав Руководства администратора должны быть включены следующие вопросы:

• Каковы основные защитные механизмы?

• Как администрировать средства идентификации и аутентификации? В частности, как заводить новых пользователей и удалять старых?

• Как администрировать средства произвольного управления доступом? Как защищать системную информацию? Как обнаруживать слабые места?

• Как администрировать средства протоколирования и аудита? Как выбирать регистрируемые события? Как анализировать результаты?

• Как администрировать средства принудительного управления доступом? Какие уровни секретности и категории выбрать? Как назначать и менять метки безопасности?

• Как генерировать новую, переконфигурированную надежную вычислительную базу?

• Как безопасно запускать систему и восстанавливать ее после сбоев и отказов? Как организовать резервное копирование?

• Как разделить обязанности системного администратора и оператора?

Тестовая документация содержит описания тестов и их результаты.

Описание архитектуры в данном контексте должно включать в себя по крайней мере сведения о внутреннем устройстве надежной вычислительной базы.

Технологический процесс функционирования системы защиты информации от несанкционированного доступа как комплекса программно-технических средств и организационных (процедурных) решений предусматривает выполнение следующих процедур:

• учет, хранение и выдачу пользователям информационных носителей, паролей, ключей;

• ведение служебной информации (генерация паролей, ключей, сопровождение правил разграничения доступа);

• оперативный контроль функционирования систем защиты секретной информации;

• контроль соответствия общесистемной программной среды эталону;

• контроль хода технологического процесса обработки информации путем регистрации анализа действий пользователей.

Следует отметить, что без соответствующей организационной поддержки программно-технических средств защиты информации от несанкционированного доступа и точного выполнения предусмотренных проектной документацией механизмов и процедур нельзя решить проблему обеспечения безопасности информации, хранимой в ИБ и в системе в целом.

Администрирование средств безопасности осуществляется в процессе эксплуатации разработанной системы и включает в себя распространение информации, необходимой для работы функций и механизмов безопасности, а также сбор и анализ информации об их функционировании. Примерами могут служить распространение криптографических ключей, установка значений параметров защиты, ведение регистрационного журнала и т.п.

Концептуальной основой администрирования является информационная база управления безопасностью. Эта база может не существовать как единое (распределенное) хранилище, но каждая из оконечных систем должна располагать информацией, необходимой для проведения в жизнь выбранной концепции безопасности.

Деятельность администратора средств безопасности должна осуществляться по трем направлениям:

• администрирование системы в целом;

• администрирование функций безопасности;

• администрирование механизмов безопасности.

Среди действий, относящихся к системе в целом, отметим поддержание актуальности концепции безопасности, взаимодействие с другими административными службами, реагирование на происходящие события, аудит и безопасное восстановление.

Администрирование функций безопасности включает в себя определение защищаемых объектов, выработку правил подбора механизмов безопасности (при наличии альтернатив), комбинирование механизмов для реализации функции безопасности, взаимодействие с другими администраторами для обеспечения согласованной работы.

Обязанности администратора механизмов безопасности определяются перечнем задействованных механизмов, например таким типовым списком:

• управление ключами (генерация и распределение);

• управление шифрованием (установка и синхронизация криптографических параметров). К управлению шифрованием можно отнести и администрирование механизмов электронной подписи, управление целостностью, если оно обеспечи­вается криптографическими средствами;

• администрирование управления доступом (распределение ин­формации, необходимой для управления, - паролей, списков доступа и т.п.);

• управление аутентификацией (распределение информации, необходимой для аутентификации, - паролей, ключей и т.п.).

13. Структура и содержание общей модели оценки уязвимости в АСОД.

Уязвимость информации, т.е. нарушение установленного статуса и требуемого уровня ее защищенности есть событие, возникающее как результат такого стечения обстоятельств, когда в силу каких-то причин используемые в СОД средства защиты не в состоянии оказать достаточного противодействия проявлению угроз нежелательного их воздействия на защищаемую информацию. Приведенная модель детализируется при изучении конкретных видов уязвимости информации: нарушения целостности, несанкционированной модификации, несанкционированного получения, несанкционированного размножения. При детализации общей модели основное внимание акцентируется на то обстоятельство,что подавляющее большинство нарушений целостности информации осуществляется в процессе ее обработки на различных участках технологических маршрутов. При этом целостность информации в каждом объекте СОД существенно зависит не только от процессов, происходящих на объекте, но и от целостности информации, поступающей на его вход. Основную опасность представляют случайные дестабилизирующие факторы (отказы, сбои и ошибки компонентов СОД), которые потенциально могут проявиться в любое время, и в этом отношении можно говорить о регулярном потоке этих факторов. Из стихийных бедствий наибольшую опасность представляют пожары, опасность которых в большей или меньшей степени также является постоянной. Опасность побочных явлений практически может быть сведена к нулю путем надлежащего выбора места для помещений СОД и их оборудования. Что касается злоумышленных действий, то они связаны главным образом с несанкционированным доступом к ресурсам СОД. При этом наибольшую опасность представляет занесение вирусов. С точки зрения несанкционированного получения информации принципиально важным является то обстоятельство, что в современных СОД несанкционированное получение информации возможно не только путем непосредственного доступа к базам данных, но и многими путями, не требующими такого доступа. При этом основную опасность представляют злоумышленные действия людей. Воздействие случайных факторов само по себе не ведет к несанкционированному получение информации, оно лишь способствует появлению; КНПИ, которыми может воспользоваться злоумышленник. Структурированная схема потенциально возможных злоумышленных действий в современных СОД для самого общего случая представлена на рис. 2.7. - внешняя неконтролируемая зона — территория вокруг СОД, на которой персоналом и средствами СОД не применяются никакие средства и не осуществляются никакие мероприятия для защиты информации; - зона контролируемой территории — территория вокруг помещений СОД, которая .непрерывно контролируется персоналом или средствами СОД; - зона помещений СОД — внутреннее пространство тех помещений, в которых расположены средства системы: - зона ресурсов СОД — та часть помещений, откуда возможен непосредственный доступ к ресурсам системы; - зона баз данных — та часть ресурсов системы, с которых возможен непосредственный доступ к защищаемым данным. Злоумышленные действия с целью несанкционированного получения информации в общем случае возможны в каждой из перечисленных зон. При этом для несанкционированного получения информации необходимо одновременное наступление следующих событий: - нарушитель должен получить доступ в соответствующую зону; - во время нахождения нарушителя в зоне в ней должен проявиться (иметь место) соответствующий КНПИ; - соответствующий КНПИ должен быть доступен нарушителю соответствующей категории; - в КНПИ в момент доступа к нему нарушителя должна находиться защищаемая информация. Рассмотрим далее трансформацию общей модели уязвимости с точки зрения несанкционированного копирования информации. Принципиальными особенностями этого процесса являются следующие: 1. любое несанкционированное копирование есть злоумышленное действие; 2. несанкционированное копирование может осуществляться в организациях-разработчиках компонентов СОД, непосредственно в СОД и сторонних организациях, причем последние могут получать носитель, с которого делается попытка снять копию как законным, так и незаконным путем. Попытки несанкционированного копирования информации у разработчика и в СОД есть один из видов злоумышленных действий с целью несанкционированного ее получения и поэтому имитируются приведенной выше (см. рис. 2.7.) моделью. Если же носитель с защищаемой информацией каким-либо путем (законным или незаконным) попал в стороннюю организацию, то для его несанкционированного копирования могут использоваться любые средства и методы, включая и такие, которые носят характер научных исследований и опытно-конструкторских разработок. Для определения значений показателей уязвимости информации должны быть разработаны методы, соответствующие природе этих показателей и учитывающие все факторы, влияющие на их значение. На основе этих методов должны быть разработаны модели, позволяющие рассчитывать значения любой совокупности необходимых показателей и при любых вариантах архитектурного построения СОД, технологии и условий ее функционирования. В процессе развития теории и практики защиты информации сформировалось три методологических подхода к оценке уязвимости информации: эмпирический, теоретический и теоретико-эмпирический. Сущность эмпирического подхода заключается в том, что на основе длительного сбора и обработки данных о реальных проявлениях угроз информации и о размерах того ущерба, который при этом имел место, чисто эмпирическим путем устанавливаются зависимости между потенциально возможным ущербом и коэффициентами, характеризующими частоту проявления соответствующей угрозы и значения имевшего при ее проявлении размера ущерба. Наиболее характерным примером моделей рассматриваемой разновидности являются модели, разработанные специалистами американской фирмы IBM. Теоретический подход основывается на знании законов распределения всех случайных величин, характеризующих процессы защиты, и построении на этой основе строгих зависимостей. Теоретико-эмпирический подход основывается на житейски-естественном представлении процессов негативного воздействия на информацию и выражении этих процессов с использованием основных положений теории вероятностей.

13. Задача защиты информации в корпоративных сетях.

Говорить о том, что информационная безопасность (ИБ) стала частью корпоративной культуры, у нас в стране можно с большой натяжкой. Необходимость обеспечения ИБ осознали только крупные компании. Да и они до недавнего времени проблемы безопасности воспринимали исключительно как технические, связанные с внедрением межсетевых экранов, антивирусного программного обеспечения, средств обнаружения вторжений и виртуальных частных сетей.

          На самом деле, по рекомендациям исследовательских фирм, от 60 до 80% всех усилий по обеспечению безопасности следует направлять на разработку политики безопасности и сопутствующих ей документов. Почему? Потому, что политика безопасности является самым дешевым и одновременно самым эффективным средством обеспечения информационной безопасности (конечно, если ей следовать). Кроме того, если политика сформулирована, то она является и руководством по развитию и совершенствованию системы защиты.

            Конкретные продукты и решения по информационной безопасности совершенствуются год от года, интегрируются между собой. Все это происходит так стремительно, что кажется, будто недалек тот день, когда кто-нибудь предложит универсальный продукт для защиты любых информационных систем всеми доступными средствами. Это могло бы быть шуткой, если бы мы не наблюдали воочию, как усилия многих специализированных компаний «размазываются» в попытках создать универсальный продукт. На мой взгляд, для потребителей была бы полезнее консолидация усилий нескольких производителей, направленных, например, на создание единой консоли управления...

            Так чего же ждать от производителей средств защиты? Ответить на этот вопрос я попытался в рамках этой статьи, поставив перед собой цель — не анализировать конкретные возможности тех или иных продуктов, а посмотреть, в каком направлении развиваются те или иные средства защиты.

Межсетевые экраны

            Межсетевые экраны были и являются базовым средством обеспечения сетевой безопасности. Впервые они появились в конце 80-х годов. С их помощью решалась задача разделения компьютерных сетей. В то время межсетевой экран представлял собой компьютер, разделявший защищаемую сеть и все остальные, «открытые» сети. С тех пор принципиальных изменений эта технология практически не претерпела.

               Исторически эволюция межсетевых экранов началась с пакетных фильтров общего назначения, затем стали появляться программы-посредники для отдельных протоколов (всевозможные шлюзы, например, почтовые, Proxy-сервера и т.п.). Наконец, компания Check Point Software Technologies разработала технологию stateful inspection. Суть ее состоит в хранении информации о контексте соединений (состояние соединения, текущие номера пакетов и пр.) — как активных, так и существовавших ранее.

              Борьба за потребителя среди производителей межсетевых экранов с определенного момента стала заключаться в том, что каждый из них стремился придать своему детищу наиболее удобное управление и больший функционал — и для обеспечения информационной безопасности, и для решения прикладных задач.

              Сейчас уже практически невозможно отыскать межсетевой экран без возможности организации VPN. Интеграцию межсетевых экранов с антивирусами и средствами обнаружения атак тоже можно считать решенной задачей.

                В развитии технологии межсетевого экранирования можно отметить две основные тенденции. Первая — тенденция к «ожелезиванию». До недавнего времени аппаратные решения конкурировали с программными, которые сегодня стремительно сдают свои позиции. Этому есть объяснение. «Железное» решение снимает с заказчика большое число таких проблем как, например:

·        приобретение компьютера и периферийного оборудования для развертывания межсетевого экрана,

·        приобретение, установка и настройка лицензионной операционной системы,

·        установка и настройка самой системы защиты.

           Помимо снижения временных и финансовых затрат, «ожелезивание» способствует и повышению надежности. Идентичные изделия взаимозаменяемы, легко образуют кластеры для балансировки нагрузки, пригодны для «холодного» и «горячего» резервирования.

             Вторая тенденция в развитии межсетевых экранов — их переклассификация из средств коллективной защиты в персональные. Название «персональный межсетевой экран» плотно вошло в обиход и уже не кажется абсурдным. Более того, межсетевые экраны теперь встраиваются в отдельные приложения, например в ПО Web-серверов.

                Нельзя не отметить и видимую ориентацию производителей средств на сегмент SOHO, что в первую очередь выражается в отмеченном ранее расширении функционала. Этому явлению сложно дать однозначную оценку. С одной стороны, решение «все в одном» удобно, когда мы говорим о защите небольшой сети из 10-50 компьютеров. С другой стороны, возникает риторический вопрос: стоит ли класть все яйца в одну корзину? Когда же речь заходит о крупных системах, в которых одним из важнейших показателей является доступность, то поневоле задумаешься: не станет ли отказ или перегрузка одной из подсистем причиной для сбоя сложного устройства?

Средства построения VPN

                 В этом сегменте средств защиты продолжается борьба за повышение производительности процессов шифрования. Этого требует рост телекоммуникационных возможностей: скоростными каналами с пропускной способностью в 1 Гбит между сетями территориально распределенных подразделений компании уже никого не удивить.

                Второе направление, в котором развивается данная технология — «мобильность» клиента. Под этим понимается не только внедрение соответствующего функционала в карманные компьютеры, смартфоны и телефоны, но и создание клиентов, не требующих предварительной установки какого-либо софта. Такой клиент может загружаться как скрипт, например во время посещения защищенного раздела корпоративного сайта. Достоинство — возможность доступа из любого интернет-кафе, с любого компьютера, недостаток — ключ шифрования генерируется на основе пароля.

Антивирусы

                     До недавнего времени производители средств защиты от вирусов соревновались в основном в скорости обновления антивирусных баз. Например, компания Trend Micro объявляла о 20-минутном «зазоре» от начала распространения вируса до выпуска профилактических правил для своих продуктов, позволяющих пресечь распространение вируса или червя. При этом многие производители забывали о реальных потребностях пользователей. А ведь антивирусные программы — самое распространенное средство защиты — от отдельных компьютеров домашних пользователей до огромных корпоративных сетей. Корпоративная сеть нуждается в централизованном управлении, обновлении и пр. Кроме того, в ней установлено огромное количество прикладных программ, которые тоже необходимо защищать.

                    Первыми, как мне кажется, об этом вспомнили Symantec, Sophos и Trend Micro. Помимо расширенных возможностей управления, они предложили комплекс средств для построения эшелонированной защиты: компоненты их систем не только защищают рабочие станции и сервера, но и закрывают наиболее вероятные пути проникновения вирусов в сеть — почтовые шлюзы и Proxy-сервера для доступа в Интернет.

                  Сегодня многие компании, даже имеющие системы антивирусной защиты на рабочих станциях, добавляют в их функции защиту шлюзов. Параллельное использование двух антивирусов, имеющих разные базы сигнатур и разные методы обнаружения вирусов, позволяет быть уверенным в действительно высоком уровне защиты.

Обнаружение атак

                  Системы обнаружения атак прошли достаточно интересный путь. В начале 80-х годов обнаружение атак заключалось в ручном анализе журналов регистрации событий. Через 10 лет появились первые автоматизированные средства анализа. На очередном витке развития коммуникаций возможностей систем обнаружения атак стало явно не хватать. Жизнь требовала не только обнаружения, но и блокирования вредоносных воздействий. Так системы обнаружения атак слились с межсетевыми экранами и коммутационным оборудованием, появились персональные системы обнаружения атак, позволявшие блокировать атаку непосредственно на защищаемом узле.

                    Следующий виток развития и опять интеграция: обнаружение атак тесно связывается с системами анализа защищенности. Эта технология получила собственное название — система корелляции событий.

                    Корреляция событий позволяет сосредоточить внимание администратора безопасности только на значимых событиях, способных нанести реальный ущерб инфраструктуре компании. Система не будет отвлекать администратора сообщениями о тех атаках, которые не опасны для данной сети (например, направлены на Unix-сервер, которого просто нет в защищаемой сети), или о тех, которые обнаружены в трафике, но блокированы access-листами коммутационного оборудования.

                 По принципу корреляции строят свои решения такие компании, как Internet Security Systems и NetForensics.

                   Кроме того, как и в области VPN, производители IDS отчаянно борются за скоростные показатели своих систем. Основная цель — нормальная работа систем на мультигигабитных скоростях.

Контроль содержимого

                   Последний всплеск интереса к системам контроля содержимого был вызван проблемами распространения спама. Однако основное предназначение средств контроля содержимого — это все-таки предотвращение утечки конфиденциальной информации и пресечение нецелевого использования Интернета.

                  Одна из приоритетных задач производителей подобных средств, — сделать так, чтобы работа системы контроля содержимого не ощущалась пользователем. Ведь анализ больших объемов трафика — ресурсоемкая задача.

                     Здесь в ход идут различные схемы распределения вычислений — от расстановки отдельно стоящих, но централизованно управляемых и реализующих единую политику безопасности серверов в подразделениях компании, до кластеризации и распараллеливания вычислений.

PKI

                  Существует много серьезных проблем, сдерживающих повсеместное внедрение этой технологии. И дело не только в отсутствии в нашей стране положения о лицензировании удостоверяющих центров. В настоящее время немногие приложения могут полноценно работать с ЭЦП. Если говорить об имеющемся и реально эксплуатируемом в компаниях ПО, которое разрабатывалось 5-10 лет назад, то в нем функции работы с ЭЦП вообще не предусматривались. Отечественные разработчики пытаются восполнить этот пробел, но их продукты зачастую несовместимы между собой. Правда, работа по преодолению этой помехи уже ведется.

Управление безопасностью

                     Под управлением безопасностью чаще всего понимается автоматизация управления информационной безопасностью на основе стандарта ISO 17799. В иных случаях управление безопасностью трактуют как создание некой единой консоли для управления всеми подсистемами — от антивируса до систем обнаружения атак. Однако проблема управления стоит гораздо серьезнее.

                        Крупная организация использует в своей сети множество аппаратных и программных средств обработки данных (приложения и СУБД, коммутационное оборудование, средства безопасности и т.п.), каждое из которых управляется подчас несколькими людьми. Руководство ставит перед ними различные задачи: перед администраторами — поддерживать работоспособность и надежность сети, перед службой информационной безопасности — обеспечить конфиденциальность данных, и т.п.

                   Во многих компаниях автоматизировать процессы управления пытаются за счет документооборота: для внесения изменений в объекты, так или иначе влияющие на информационную безопасность предприятия, используют механизм заявок. Но тут возникает новая проблема: по мере накопления заявок невозможно отследить их взаимную непротиворечивость и их соответствие корпоративным требованиям безопасности. Кроме того, отсутствуют механизмы контроля реального состояния объектов.

                     Масло в огонь подливают и проблемы общения с бизнес-подразделениями компании. Термин отдела кадров «зачислен новый сотрудник» означает для отделов IT «завести учетную запись пользователя в:», «создать сертификат для пользователя:» и множество прочих подобных инструкций.

                      Работа по автоматизации процессов управления информационной безопасностью уже ведется. Идеология решения заключается в том, что управление безопасностью нанизывается на каркас бизнес-процессов компании. Система, обладая знаниями об информационной системе организации, не только транслирует эту информацию с языка одного подразделения на язык другого, но и раздает поручения на выполнение конкретных операций. Вездесущие агенты системы контролируют своевременность и правильность выполнения этих поручений.

Заключение

                       Какова бы ни была система защиты информации в конкретной организации, главное — помнить два основных правила.

                    Первое: комплексная защита информации — это, прежде всего, совокупность принятых в компании мер по защите, а не набор продуктов. Нельзя списывать со счетов и то, что в обеспечении информационной безопасности участвует каждый сотрудник компании.

                     Второе: основа любой системы защиты — это люди. От того, насколько грамотно персонал настроит эксплуатируемые системы, как он будет готов реагировать на инциденты в области безопасности, зависит защищенность предприятия в целом.

                     Что же касается технологий и конкретных средств защиты информации, то использование антивирусов, межсетевых экранов и механизмов разграничения доступа обеспечивает лишь минимально необходимый уровень защищенности, а применение дополнительных механизмов защиты должно определяться экономической целесообразностью.

13. Аппаратные и программные средства защиты информации.

Программные средства защиты - это специальные программы, включаемые в состав программного обеспечения системы, для обеспечения самостоятельно или в комплексе с другими средствами, функций защиты данных. По функциональному назначению программные средства можно разделить на следующие группы:

Программные средства идентификации и аутентификации пользователей. Идентификация – это присвоение какому-либо объекту или субъекту уникального образа, имени или числа. Установление подлинности (аутентификация) заключается в проверке, является ли проверяемый объект (субъект) тем, за кого себя выдает. Конечная цель идентификации и установления подлинности объекта в вычислительной системе – допуск его к информации ограниченного пользования в случае положительного результата проверки или отказ в допуске в противном случае. Одним из распространенных методов аутентификации является присвоение лицу уникального имени или числа – пароля и хранение его значения в вычислительной системе. При входе в систему пользователь вводит свой код пароля, вычислительная система сравнивает его значение со значением, хранящимся в своей памяти, и при совпадении кодов открывает доступ к разрешенной функциональной задаче, а при несовпадении – отказывает в нем. Наиболее высокий уровень безопасности входа в систему достигается разделением кода пароля на две части, одну, запоминаемую пользователем и вводимую вручную, и вторую, размещаемую на специальном носителе – карточке, устанавливаемой пользователем на специальное считывающее устройство, связанное с терминалом.

Средства идентификации и установления подлинности технических средств;

Дополнительный уровень защиты по отношению к паролям пользователей. (В ЭВМ хранится список паролей и другая информация о пользователях, которым разрешено пользоваться определенными терминалами, а также таблица ресурсов, доступных с определенного терминала конкретному пользователю);

Средства обеспечения защиты файлов. (Вся информация в системе, хранимая в виде файлов делится на некоторое количество категорий по различным признакам, выбор которых зависит от функций, выполняемых системой. Наиболее часто можно встретить разделение информации: по степени важности, по степени секретности, по выполняемым функциям пользователей, по наименованию документов, по видам документов, по видам данных, по наименованию томов, файлов, массивов, записей, по имени пользователя, по функциям обработки информации: чтению, записи, исполнению,по областям оперативной и долговременной памяти, по времени и т.д. Доступ должностных лиц к файлам осуществляется в соответствии с их функциональными обязанностями и полномочиями;

Средства защиты операционной системы и программ пользователей. (Защита операционной системы – наиболее приоритетная задача. Осуществляется запретом доступа в области памяти, в которых размещается операционная система. Для защиты пользовательских программ применяется ограничение доступа к занимаемым этими программами памяти);

Вспомогательные средства. (К вспомогательным средствам программной защиты информации относятся: программные средства контроля правильности работы пользователей, программные уничтожители остатков информации; программы контроля работы механизма защиты; программы регистрации обращений к системе и выполнения действий с ресурсами; программы формирования и печати грифа секретности; программные средства защиты от компьютерных вирусов.

Аппаратные средства защиты информации  —  это  различные технические устройства, системы и сооружения,  предназначенные для защиты информации от разглашения, утечки и несанкционированного доступа.К аппаратным средствам обеспечения информационной безопасности относятся самые разные по принципу работы, устройству и возможностям технические средства, обеспечивающие пресечение разглашения, защиту от утечки и противодействие несанкционированному доступу к источникам конфиденциальной информации.

Использование аппаратных средств защиты информации позволяет решать следующие задачи:

• проведение специальных исследований технических средств на наличие возможных каналов утечки информации;

• выявление каналов утечки информации на разных объектах и в помещениях;

• локализация каналов утечки информации;

• поиск и обнаружение средств промышленного шпионажа;

• противодействие НСД (несанкционированному доступу) к источникам конфиденциальной информации и  другим действиям.

По назначению аппаратные средства классифицируют на средства обнаружения, средства поиска и детальных измерений, средства активного и пассивного противодействия. При этом по тех возможностям средства защиты информации могут быть общего на значения, рассчитанные на использование непрофессионалами с целью получения общих  оценок,  и  профессиональные комплексы, позволяющие проводить тщательный поиск, обнаружение и измерения все характеристик средств промышленного шпионажа.

Поисковую аппаратуру можно подразделить на аппаратуру поиска средств съема информации и исследования каналов ее утечки.

Аппаратура первого типа направлена на поиск и локализацию уже внедренных злоумышленниками средств НСД. Аппаратура второго типа предназначается для выявления каналов утечки информации.  Определяющими для такого рода систем являются оперативность исследования и надежность полученных результатов.

Профессиональная поисковая аппаратура, как правило, очень дорога, и требует высокой квалификации работающего с ней специалиста. В связи с этим, позволить ее могут себе организации, постоянно проводящие соответствующие обследования. Так что если Вам нужно провести полноценное обследование – прямая дорога к ним.

Конечно, это не значит, что нужно отказаться от использования средств поиска самостоятельно. Но доступные поисковые средства достаточно просты и позволяют проводить профилактические мероприятия в промежутке между серьезными поисковыми обследованиями.

13. Брандмауэры и их характеристики.

Информационные системы корпораций, правительственных учреждении и других организаций постоянно развиваются в следующих направлениях.

• Система централизованной обработки данных, работающая на базе мэйн­фрейма, к которому непосредственно подключено некоторое число терминалов.

• Локальная сеть, объединяющая персональные компьютеры и терминалы друг с другом и мэйнфреймом.

• Объединенная сеть, состоящая из нескольких локальных сетей, связанных друг с другом персональных компьютеров, серверов и, возможно, одного или двух мэйнфреймов.

• Сеть масштаба предприятия, состоящая из нескольких находящихся на дос­таточно большом расстоянии друг от друга объединенных сетей, связывае­мых между собой с помощью ведомственной глобальной сети.

• Связь через Internet, при которой различные объединенные сети оказыва­ются подключенными к Internet и могут быть также связанными друг с другом ведомственной глобальной сетью.

Сегодня связь с Internet для большинства организаций уже является при­вычным делом. Для многих организаций информация и услуги Internet жизнен­но необходимы. Кроме того, доступ к Internet требуется многим индивидуаль­ным пользователям, и если их локальная сеть не обеспечивает такого доступа, они самостоятельно используют средства удгтенного доступа для подключения своих персональных компьютеров к Internet через поставщика услуг Internet (провайдера). Но, хотя доступ к Internet и дает организации очевидные преиму­щества, он в то же время открывает ресурсы внутренней сети организации внешнему миру. Ясно, что это несет в себе определенную угрозу для организа­ции. Для защиты от этой угрозы можно оборудовать каждую рабочую станцию и каждый сервер внутренней сети надежными средствами защиты типа системы защиты от вторжений, но такой подход, очевидно, непрактичен. Рассмотрим, например, сеть с сотнями или даже тысячами отдельных систем, на которых ра­ботают самые разные версии UNIX, да еще и Windows 95, Windows 98 и Win­dows NT. Если будет выявлен какой-либо изъян в системе защиты, придется внести изменения в средства защиты всех систем, которые потенциально могут оказаться уязвимыми. Альтернативой, которая становится все более популяр­ной, является использование брандмауэра. Это устройство размещается между внутренней сетью организации и Internet, обеспечивая контролируемую связь воздвигая внешнюю стену, или границу. Целью создания такой границы являе ся защита внутренней сети от несанкционированного проникновения извне чер< Internet и организация единого центра, в котором должны применяться средст* защиты и контроля. Брандмауэр может представлять собой как отдельный кол пьютер сети, так и группу специально выделенных компьютеров, которые ос; ществляют функции брандмауэра сети, взаимодействуя между собой.

В этом разделе мы сначала обсудим общие характеристики брандмауэров, затем рассмотрим брандмауэры самых распространенных типов. В конце раздел приводятся некоторые типичные конфигурации брандмауэров.

Характеристики брандмауэров

В [BELL94] приводится следующий список основных задач, стоящих пере; разработчиками брандмауэров.

1. Весь поток данных, направляемых из внутренней сети во внешний мир, ка* и идущих в обратном направлении, должен проходить через брандмауэр Для этого физически блокируется любой доступ к локальной сети в обхо* брандмауэра. Как будет показано ниже, эта задача имеет несколько различ­ных конструктивных решений.

2. Из всего потока поступающих к брандмауэру данных пройти его могут только данные, прошедшие аутентификацию в соответствии с локальной политикой защиты. Как будет показано ниже, в брандмауэрах реализуются различные типы политик защиты.

3. Брандмауэр сам по себе должен быть недоступен для вторжения извне. Это предполагает наличие высоконадежной системы с защищенной операцион­ной системой. Данная тема обсуждается в разделе 10.2.

В [SMIT97] перечислены четыре основных средства, с помощью которых брандмауэры осуществляют контроль доступа и обеспечивают реализацию поли­тик защиты соответствующей вычислительной системы. Изначально брандмау­эры осуществляли в основном управление сервисами, но сегодня на них возло­жены и остальные задачи.

• Управление сервисами. Определение типов служб Internet, к которым можно получить доступ из внутренней сети наружу и из внешнего окружения во­внутрь. Брандмауэр может фильтровать поток данных на основе IP-адресов и номеров портов TCP. Он предлагает такой компонент, как прокси-сервер, через который может проходить каждый запрос сервиса и который принимает реше­ние о том, пропустить данный запрос или нет. Брандмауэр может содержать и сами серверные компоненты, например, Web-сервер или почтовую службу.

• Управление направлением движения. Определение направления, в котором могут инициироваться и проходить через брандмауэр запросы к тем или иным службам.

Управление пользователями. Предоставление доступа к службам в зависи­мости от прав доступа пользователей, обращающихся к этим службам. Эта функция обычно применяется к пользователям внутри сети, защищаемой с помощью брандмауэра (локальным пользователям). Однако она может при­ меняться и к потоку данных, поступающему от внешних пользователей, но это требует реализации в какой-то форме технологии аутентификации, на­пример, обеспечиваемой протоколом IPSec (см. главу 6).

• Управление поведением. Контроль за использованием отдельных служб. Так, брандмауэр может фильтровать электронную почту, отсеивая "спэм", или же разрешать доступ извне только к определенной части информации, находящейся на локальном Web-сервере.

Перед рассмотрением особенностей конфигурации брандмауэров различных ипов определим требования, выдвигаемые к ним. Брандмауэр может предлагать ледующие возможности.

1. Брандмауэр определяет единственную точку входа, в которой пресекается несанкционированный доступ внешних пользователей к защищаемой сети, запрещается потенциально уязвимым службам вход в сеть извне или вы­ход изнутри во внешний мир, а также обеспечивается защита от различ­ных атак вторжения, использующих изменение маршрута или указание ложных IP-адресов. Наличие единственной точки входа упрощает задачу контроля безопасности, так как все средства защиты оказываются сосре­доточенными в одном месте.

2. Брандмауэр — это место, где осуществляется мониторинг событий, имею­щих отношение к защите сети. Для этого в брандмауэре могут быть преду­смотрены соответствующие компоненты контроля и извещения.

3. Брандмауэр является удобной платформой для ряда функций Internet, не имеющих непосредственного отношения к безопасности. К таким функциям можно отнести трансляцию локальных сетевых адресов в адреса Internet, а также средства управления сетью, контролирующие использование Internet и ведение соответствующего журнала.

4. Брандмауэр может служить платформой для IPSec. Возможности туннель­ного режима такого брандмауэра (описанные в главе 6) можно использовать при построении виртуальных частных сетей.

Брандмауэры имеют свои ограничения, описанные ниже.

1. Брандмауэр не защищает от атак, идущих в обход. Внутренние компьютер­ные системы могут иметь средства удаленного доступа к внешнему постав­щику услуг Internet. Внутренняя локальная сеть может иметь модемную стойку, обеспечивающую удаленный доступ к сети сотрудникам, находя­щимся в командировке или работающим дома.

2. Брандмауэр не может защитить от внутренних угроз безопасности, напри­мер, со стороны неудовлетворенного служащего или сотрудника, вступив­шего в сговор с внешним нарушителем.

3. Брандмауэр не может защитить от угрозы передачи инфицированных виру­сами программ или файлов. В связи с тем что в рамках защищаемых брандмауэром границ может использоваться множество различных опера­ционных систем и приложений, для брандмауэра оказывается практически невозможным проверять все входящие файлы, электронную почту и полу­чаемые сообщения на предмет наличия вирусов.

Фильтрующий маршрутизатор

Фильтрующий маршрутизатор (packet-filtering router) на основе определен­ного набора правил принимает решение о том, передавать по сети поступивший пакет IP дальше или отвергнуть его. Обычно маршрутизатор настраивается та­ким образом, чтобы фильтровать пакеты, проходящие в обоих направлениях (как извне во внутреннюю сеть, так и из внутренней сети во внешний мир). Пра­вила фильтрования основываются на значениях полей в заголовках IP и транс­портного уровня (TCP или UDP), включая IP-адреса источника и адресата, поле IP-протокола (задающее транспортный протокол), а также номер порта TCP или UDP (определяющий приложение, например SNMP или TELNET).

Фильтр пакетов обычно представляется в виде списка правил, использую­щих значения полей заголовков IP и TCP. Если обнаруживается соответствие одному из правил, на основании этого правила принимается решение о том, можно ли передать пакет дальше или его следует отвергнуть. При несоответст­вии всем правилам выполняется операция, предусмотренная для использования по умолчанию. Существуют следующие возможности.

• Default = discard. Все, что не разрешено, запрещено.

• Default = forward. Все, что не запрещено, разрешено.

Очевидно, что первая политика соответствует более консервативному подхо­ду. Изначально все оказывается запрещенным, и добавление сервисов должно осуществляться для каждого из них в отдельности. В рамках этой политики по отношению к пользователям брандмауэр выступает как препятствие. Вторая по­литика в значительной степени облегчает работу конечных пользователей, но обеспечивает более низкий уровень защиты, поскольку в данном случае админи­стратору системы защиты приходится принимать меры по каждой новой обна­руженной угрозе безопасности.

В табл. 10.1, взятой из [BELL94], представлены примеры наборов правил для брандмауэра, использующего фильтрацию пакетов. В каждом наборе прави­ла применяются "сверху вниз". Символ в поле обозначает соответствие лю­бому значению. Предполагается, что применяется политика default = discard.

A. Разрешено поступление входящей почты (порт 25 предназначен для входя- щих сообщений SMTP), но только на компьютер, выполняющий роль шлю- за (OUR-GW). Однако поступление почты с внешнего узла SPIGOT блокиру- ется, поскольку этот узел печально известен рассылкой сообщений элек- тронной почты, содержащих очень большие по объему файлы.

B. Явное использование политики по умолчанию. Все наборы правил неявно включают это правило в качестве последнего правила.

C. Любому узлу внутренней сети позволено отправлять сообщения во внешний мир. Пакеты TCP с номером порта адресата 25 направляются SMTP-серверу системы получателя. Проблема применения этого правила заключается в том, что использование порта 25 для SMTP является только значением по умолчанию. Внешняя машина может быть сконфигурирована так, что порт 25 будет связан с другим приложением. При использовании этого правила нарушитель может получить доступ к внутренним компьютерам сети, от- правляя пакеты с номером TCP-порта источника, равным 25.

	Action	our host	port	Theirhost	port	comment
В	Block	*	*	*	*	По умолчанию
	Action	our host	port	Theirhost	port	comment
С	Allow	*	*	*	25	Подключение к их SMTP-порту

Action	src	port	Dest	port	flags	comment
Allow	{наши узлы)	*		25		Наши пакеты для их SMTP-портов
Allow	*	25	*	*	ACK	Их ответы
Action	src	port	Dest	port	flags	comment
Allow	(наши узлы)	*				Наши исходящие вы­зовы
Allow	*	*	*	*	ACK	Ответы на наши вы­зовы
Allow	*	*	*	>1024		Поток к узлам, не яв­ляющимся серверами

D. Этот набор правил решает проблему, возникающую с набором правил С. В нем используется следующая возможность TCP-соединений. После создания соединения флаг АСК сегмента TCP используется для сегментов подтвер- ждения, отправляемых второй стороной. Таким образом, данный набор правил разрешает пропускать IP-пакеты с IP-адресами источника из ука- занного списка адресов внутренних узлов сети и с номером TCP-порта на- значения, равным 25. Кроме того, пропускаются входящие пакеты с номе- ром порта источника 25, содержащие флаг АСК в сегменте TCP. Обратите внимание на то, что здесь явно указаны системы отправителя и получате- ля, чтобы явно определить правила,

E. Данный набор правил представляет один из подходов к обработке FTP- соединений. FTP предполагает использование двух TCP-соединений: управ- ляющего соединения для настройки канала передачи файлов и соединения для передачи данных, по которому происходит пересылка файлов. Соедине- ние для передачи данных использует свой номер порта, который назначает- ся динамически. Большинство серверов, а значит, и большинство наруши- телей ориентированы на порты с малыми номерами. Исходящие же вызовы

обычно используют порты с номерами, превышающими 1023. Поэтому дан­ный набор правил разрешает следующие пакеты.

• Пакеты, отправляемые из внутренней сети.

• Пакеты ответов на соединения, установленные компьютерами внут­ренней сети.

• Пакеты, предназначенные для компьютеров внутренней сети и адресо­ванные портам с достаточно большими номерами.

Эта схема требует настройки систем, при которой задействуются только порты с подходящими номерами.

С помощью набора правил Е выявляется проблема работы с приложениями на уровне фильтрации пакетов. Организовать работу с FTP и другими подобны­ми приложениями позволяет описываемый ниже шлюз прикладного уровня.

Одним из достоинств фильтрующего маршрутизатора является его простота. Кроме того, фильтры пакетов, как правило, остаются незаметными для пользовате­лей и обеспечивают высокую скорость работы. Основными недостатками являются сложность верного выбора правил фильтрации и отсутствие средств аутентификации.

В [SEME96] приводится следующий список возможных атак нарушения за­щиты фильтрующего маршрутизатора с указанием соответствующих контрмер.

• Фальсификация IP-адресов. Нарушитель передает извне пакеты, в которых поле отправителя содержит IP-адрес внутреннего узла сети. Нарушитель надеется, что использование такого адреса даст возможность проникнуть в системы, в которых реализуется простая защита адресов источника, про­пускающая пакеты с адресами внутренних узлов, считающихся надежными. Контрмерой является отторжение поступающих извне пакетов, в которых в качестве адреса источника указываются внутренние адреса.

• Использование маршрутизации от источника. Отправитель указывает мар­шрут, по которому пакет должен пересылаться по Internet, в надежде на то, что удастся обойти средства защиты, не проверяющие информацию о мар­шруте, заданном отправителем. Контрмера — запрет прохождения всех па­кетов, использующих данную возможность.

• Разделение на мелкие фрагменты. Нарушитель использует фрагментации IP-пакетов для создания фрагментов исключите-!ьно малой длины, чтобы информация заголовка TCP попала в отдельный фрагмент. Задача такой атаки —обойти правила фильтрации пакетов, использующие информацию заголовка TCP. Нарушитель надеется, что фильтрующим маршрутизатором будет просмотрен только первый пакет, а остальные фрагменты будут про­пущены. Контрмера — отторжение всех пакетов, в которых указан прото­кол TCP, а значение параметра Fragment Offset протокола IP равно 1.

Шлюз прикладного уровня

Шлюз прикладного уровня, который также часто называют прокси-сервером (proxy server), работает как ретранслятор данных прикладного уровня (см. рис. 10.1, б). Пользователь связывается с этим шлюзом с помощью такого построенного на основе TCP/IP приложения, как Telnet или FTP. Шлюз запра­шивает у пользователя имя удаленного узла, к которому необходимо получить доступ. Если пользователь отвечает на этот запрос, сообщая правильный иден­тификатор пользователя и информацию, необходимую для аутентификации, то шлюз связывается с соответствующим приложением удаленного узла и ретранс­лирует сегменты TCP, содержащие данные приложения. Если в шлюзе не реали­зована поддержка прокси-кода для того или иного приложения, соответствую­щий сервис не предоставляется, и данные соответствующего типа через бранд­мауэр пройти не могут. Более того, шлюз можно настроить так, чтобы он поддерживал только определенные возможности приложения, которые админи­стратор сети считает приемлемыми с точки зрения безопасности.

В общем случае шлюзы прикладного уровня обеспечивают более надежную защиту, чем фильтры пакетов. Вместо того чтобы проверять многочисленные возможные комбинации разрешений и запретов на уровне TCP и IP, шлюзу при­кладного уровня приходится рассматривать лишь ограниченное число приложе­ний. Кроме того, при этом легко протоколировать и контролировать весь входя­щий поток данных прикладного уровня.

Основным недостатком шлюзов данного типа является дополнительная на­грузка на процессор, создаваемая каждым соединением. В действительности ме­жду двумя конечными пользователями устанавливается два связанных соедине­ния, общей точкой которых является шлюз, и шлюзу приходится проверять весь поток данных в обоих направлениях, чтобы переправить его дальше.

Шлюз уровня коммутации

Третьим типом брандмауэров являются шлюзы уровня коммутации (рис. 10.1, в). Данный шлюз может быть реализован как в виде отдельной ком­пьютерной системы, так и в виде дополнительной функции шлюза прикладного уровня, предлагаемой для некоторых приложений. Шлюзы уровня коммутации не разрешают внешним узлам устанавливать сквозные TCP-соединения с узлами внутренней сети, а вместо этого устанавливают два TCP-соединения: одно между самим шлюзом и внутренним узлом, а второе — между шлюзом и внешним уз­лом. Если оба соединения установлены, шлюз обычно ретранслирует сегменты TCP от одного соединения к другому, не проверяя их содержимого. Защита осу­ществляется путем разрешения или запрета тех или иных соединений.

Чаще всего шлюзы уровня коммутации используются тогда, когда систем­ный администратор доверяет внутренним пользователям. Шлюз можно настро­ить так, чтобы он поддерживал работу на уровне приложений или выполнял функции прокси-сервера для входящих соединений и функции шлюза уровня коммутации — для исходящих. В такой конфигурации шлюз испытывает высо­кую нагрузку, связанную с необходимостью проверки входящих данных прило­жений на предмет выполнения ими запрещенных функций, однако для исходя­щих данных такой нагрузки нет.

Примером реализации шлюза уровня коммутации является пакет SOCKS [KOBL92], Версия 5 этого пакета описана в документе RFC 1928. В этом доку­менте RFC пакет SOCKS определяется следующим образом. В пакет SOCKS включены следующие компоненты.

• Сервер SOCKS, работающий в составе брандмауэра на базе UNIX.

• Библиотека клиента SOCKS, работающая на внутренних узлах, защите ных брандмауэром.

• Адаптированные для использования с SOCKS стандартные приложен] клиента типа FTP и TELNET. Реализация протокола SOCKS обычно требу перекомпиляции или перекомпоновки использующих TCP приложен! клиента, чтобы последние получили возможность обращения к соответс вующим процедурам библиотеки SOCKS.

Если использующему протокол TCP клиенту необходимо установить соед] нение с объектом, к которому можно получить доступ только через брандмауэ; клиент должен открыть TCP-соединение с соответствующим SOCKS-портом си темы, в которой установлен SOCKS-сервер. По умолчанию сервис SOCKS испол! зует порт TCP с номером 1080. Если на запрос об установке соединения получе положительный ответ, клиент начинает процесс согласования для выбора метод аутентификации, проходит аутентификацию в соответствии с выбранным мете дом, а затем посылает запрос на ретрансляцию. SOCKS-сервер проверяет пост> пивший запрос и либо устанавливает соответствующее соединение, либо посыла ет отказ. При использовании протокола UDP выполняются аналогичные дейст вия. По существу, для аутентификации пользователя, который намеревается отправлять и получать сегменты UDP, открывается специальное соединени< TCP. Сегменты UDP при этом могут пересылаться до тех пор, пока указанное со единение TCP остается открытым.

Бастионный узел

Бастионный узел представляет собой систему, выбранную администраторо?/ брандмауэра в качестве критически важной точки в схеме защиты сети. Как прави­ло, бастионный узел служит платформой для шлюза прикладного уровня или шлюза уровня коммутации. Бастионный узел имеет следующие характеристики.

• На базе аппаратных средств бастионного узла выполняется защищенная версия операционной системы, в результате чего бастионный узел оказыва­ется высоконадежной системой.

• На бастионном узле устанавливаются только те службы, которые сочтет не­обходимыми сетевой администратор. К таким службам относятся прокси-приложения типа Telnet, DNS, FTP, SMTP и средства аутентификации пользователей.

• Бастионный узел может требовать дополнительной аутентификации, прежде чем предоставить пользователю доступ к прокси-приложениям. Кроме того, каждое прокси-приложение может запросить дополнительную аутентифи­кацию перед тем, как предоставить доступ пользователю.

• Каждое прокси-приложение поддерживает только определенный набор стандартных команд из общего множества команд приложения.

Каждое прокси-приложение предоставляет доступ только к определенным узлам. Это значит, что вышеупомянутый ограниченный набор команд и возможностей можно применить только к определенной части систем за­щищаемой сети.

• Каждое прокси-приложение обеспечивает широкие возможности для кон­троля, регистрируя весь поток данных, каждое соединение и длительность его использования. Контрольный журнал является исключительно важным средством выявления попыток вторжения.

• Каждый прокси-модуль представляет собой небольшой программный пакет, специально созданный для защиты сети. Относительная простота модулей позволяет легко проверить их программный код на предмет отсутствия воз­можных изъянов с точки зрения защиты. Например, исходный текст ти­пичного приложения электронной почты в UNIX может содержать свыше 20000 строк, тогда как длина исходного текста прокси-модуля электронной почты может оказаться менее 1000 строк [SEME96].

• Все прокси-приложения бастионного узла являются независимыми. Если воз­никает проблема с работой какого-либо прокси-приложения или в нем выявля­ется изъян защиты, такое приложение может быть удалено без каких-либо по­следствий для других прокси-приложений. Кроме того, если пользователям по­требуется доступ к новой службе, администратор сети может просто установить дополнительный прокси-модуль на бастионный узел.

• Прокси-приложения обычно не используют доступ к диску, кроме чтения своего файла исходной конфигурации. Это делает задачу внедрения "троянского коня" и других опасных файлов на бастионном узле очень трудной для нарушителя.

• Каждое прокси-приложение выполняется в режиме непривилегированного пользователя в личном защищенном каталоге бастионного узла.

Конфигурации брандмауэров

Помимо конфигурации, при которой брандмауэр представлен отдельной системой типа фильтрующего маршрутизатора или шлюза (см. рис. 10.1), воз­можны более сложные конфигурации. И именно такие конфигурации использу­ются чаще всего. На рис. 10.2, в основу которого положены соответствующие иллюстрации из [SEME96], показаны три самые распространенные конфигура­ции брандмауэров. Рассмотрим эти конфигурации по очереди.

В конфигурации брандмауэра с экранированным одноточечным бастион­ным узлом, показанной на рис. 10.2, а, брандмауэр состоит из двух систем: фильтрующего маршрутизатора и бастионного узла. Как правило, маршрутиза­тор при этом настраивается следующим образом.

1. Из потока данных, поступающего из Internet, пропускаются только IP-пакеты, предназначенные для бастионного узла.

2. Из потока данных, поступающего из внутренней сети, пропускаются только пакеты, исходящие из бастионного узла.

Бастионный узел выполняет задачи аутентификации и функции прокси-сервера. Эта конфигурация обеспечивает гораздо более высокий уровень защиты, чем обычный фильтрующий маршрутизатор или шлюз прикладного уровня по следующим причинам. Во-первых, в данной конфигурации реализована фильтра­ция как на пакетном, так и на прикладном уровне, что обеспечивает достаточную гибкость в выборе политики защиты. Во-вторых, нарушителю для вторжения во внутреннюю сеть приходится преодолевать защиту двух отдельных систем.

Данная конфигурация оказывается достаточно гибкой для прямого доступа к Internet. Например, внутренняя сеть может содержать общедоступный инфор­мационный сервер типа Web-сервера, для которого не требуется высокий уро­ вень защиты. В таком случае маршрутизатор можно настроить ч i ии_Ш w.

зволял прямой доступ к данному серверу из Internet.

Если фильтрующий маршрутизатор в только что описанной конфигурации с одноточечным бастионным узлом будет скомпрометирован (т.е. его защита будет взломана), поток данных из Internet может пойти прямо через маршрутизатор в узлы внутренней частной сети. Брандмауэр с экранированным двухточечным бастионным узлом сконфигурирован так, чтобы физически исключить возмож­ность появления такой бреши в системе защиты (рис. 10.2, б). Все преимущества двухуровневой защиты, которыми обладает описанная выше конфигурация, ос­таются при этом в силе. Опять же, информационный сервер и некоторые другие узлы могут быть подключены к маршрутизатору напрямую, если это согласуется с принятой политикой защиты.

Конфигурация брандмауэра с экранированной подсетью (рис. 10.2, в) из всех рассматриваемых здесь вариантов обеспечивает самую надежную защиту. В этой конфигурации установлено два фильтрующих маршрутизатора: один между бастионным узлом и Internet, а второй — между бастионным узлом и внутрен­ней сетью. Данная конфигурация создает изолированную подсеть, которая мо­жет состоять только из бастионного узла, но может также иметь и один или не­сколько информационных серверов, а также модемы, с помощью которых осу­ществляется удаленный доступ к сети. Обычно к узлам, входящим в состав экранированной подсети, можно получить доступ как из Internet, так и из внут­ренней сети, однако поток данных сквозь подсеть блокируется. Данная конфигу­рация обладает следующими преимуществами.

• Предусмотрено три уровня защиты от вторжения нарушителей.

• Внешний маршрутизатор объявляет в Internet только о существовании экрани­рованной подсети, поэтому внутренняя сеть остается для Internet невидимой.

• Точно так же внутренний маршрутизатор сообщает узлам внутренней сети только о существовании экранированной подсети, поэтому системы внутренней

прокладывают прямые маршруты в Internet.

13. Организационные средства защиты информации.

Данные механизмы в обшем случае предусматривают [5]:

• развёртывание системы контроля и разграничения физического доступа к элементам автоматизированной системы.

• создание службы охраны и физической безопасности.

• организацию механизмов контроля за перемещением сотрудников и посетителей (с использованием систем видеонаблюдения, проксимити-карт и

т.д.);

• разработку и внедрение регламентов, должностных инструкций и тому подобных регулирующих документов;

• регламентацию порядка работы с носителями. содержащими конфиденциальную информацию.

Не затрагивая логики функционирования АС. данные меры при корректной и адекватной их реализации являются крайне эффективным механизмом защиты и жизненно необходимы для обеспечения безопасности любой реальной системы.

13. Физические средства защиты информации.

Средства защиты информации можно разделить на:

1. Средства, предназначенные для защиты информации. Эти средства не предназначены для непосредственной обработки, хранения, накопления и передачи защищаемой информации, но находящиеся в одном помещении с ними.

Делятся на:

пассивные – физические (инженерные) средства, технические средства обнаружения, ОС, ПС, СКУД, ВН, приборы контроля радиоэфира, линий связи и т.п.;

активные – источники бесперебойного питания, шумогенераторы, скремблеры, устройства отключения линии связи, программно-аппаратные средства маскировки информации и др.

2. Средства, предназначенные для непосредственной обработки, хранения, накопления и передачи защищаемой информации изготовленные в защищенном исполнении. НИИЭВМ РБ разрабатывает и выпускает защищенные носимые, возимые и стационарные ПЭВМ.

3. Средства, предназначенные для контроля эффективности защиты информации.

Пассивные средства защиты акустического и виброакустического каналов утечки речевой информации.

Для предотвращения утечки речевой информации по акустическому и виброакустическому каналам осуществляются мероприятия по выявлению каналов утечки. В большинстве случаев для несанкционированного съема информации из помещения противник применяет соответствующие замыслу закладные устройства.

Всю процедуру поиска ЗУ можно условно разбить на несколько этапов:

• физический поиск и визуальный осмотр;

• обнаружение радиозакладных устройств как электронных средств;

• проверка наличия каналов утечки информации.

Физический поиск и визуальный осмотр.

Осмотр осуществляется путем обследования всех предметов в зоне контроля, размеры которых достаточно велики для того, чтобы можно было разместить в них технические средства негласного съема информации (настольные приборы, рамы картин, телефоны, цветочные горшки, книги, питаемые от сети устройства: компьютеры, ксероксы, радиоприемники и т. д.).

Физический поиск и визуальный осмотр объектов проводят с применением специальных средств видеонаблюдения и металлодетекторов.

Обнаружение радиозакладных устройств (РЗУ).

Необнаруженных при визуальном осмотре осуществляют по их демаскирующим признакам с применением специальных средств обнаружения. РЗУ, как правило, содержат в своей конструкции электронные схемы и, при своей работе излучают радиосигнал.

Основными признаками излучения радиозакладок являются:

• относительно высокий уровень излучения, обусловленный необходимостью передачи сигнала за пределы контролируемого помещения.

• непрерывная или непрерывная в течение некоторого времени работа (прерывистый режим работы днем и практически, полное молчание ночью; излучение возникает одновременно с поднятием трубки и исчезает, когда трубка положена).

• появление нового источника в обычно свободном частотном диапазоне.

• использование в ряде радиозакладок направленных антенн приводит к сильной локализации излучения, то есть существенной неравномерности его уровня в пределах контролируемого объекта.

• особенности поляризации излучения радиозакладок. При изменении пространственного положения или ориентации приемной антенны наблюдается изменение уровня всех источников. Однако однотипные удаленные источники одного диапазона ведут себя примерно одинаково, тогда как сигнал закладки изменяется отлично от остальных. Эффект поляризации обнаруживается при использовании анализаторов спектра.

• изменение («размывание») спектра излучений радиомикрофонов при возникновении каких-либо шумов в контролируемом помещении. Он проявляется только в том случае, если РЗУ работает без кодирования передаваемой информации.

К основным устройствам, применяемым для обнаружения РЗУ относятся:

- индикаторы поля;

- специальные радиоприемники;

- программно-аппаратные комплексы радиоконтроля;

- нелинейные радиолокаторы.

Индикаторы поля – приборы определяющие наличие ЗУ по их радиоизлучению. Индикаторы, или детекторы поля являются простейшими средствами обнаружения факта использования радиозакладок. Это приемники с низкой чувствительностью, поэтому они обнаруживают излучения радиозакладных устройств на предельно малых расстояниях (10-40 см), чем и обеспечивается селекция «нелегальных» излучений на фоне мощных «разрешенных» сигналов. Важное достоинство детекторов - способность находить передающие устройства вне зависимости от применяемой в них модуляции. Основной принцип поиска состоит в выявлении абсолютного максимума уровня излучения в помещении.

Иногда детекторы используют и в так называемом сторожевом режиме. В этом случае после полной проверки помещения на отсутствие ЗУ фиксируется уровень поля в некоторой точке пространства (обычно это стол руководителя или место ведения переговоров), и прибор переводится в дежурный режим. В случае включения закладки (примерно на удалении до двух метров от детектора), индикатор выдает сигнал о повышении уровня электромагнитного поля. Однако необходимо учитывать тот факт, что если будет использоваться радиозакладка с очень низким уровнем излучения, то детектор скорее всего не зафиксирует ее активизацию.

Специальные радиоприемные устройства.

Радиоприемные устройства, как устройства выявления радиозакладок, должны удовлетворять трем основным условиям:

• иметь возможность настройки на частоту работы устройств, скрытно передающих перехваченную информацию, т.е. иметь возможность контролировать большой набор частот либо одновременно во всем диапазоне либо перестраиваясь от значения к значению за предельно малый промежуток времени - панорамные приемники;

• обладать функциями выделения нужного сигнала по характерным признакам на фоне мешающих сигналов и помех (избирательность по спектру частот);

• обладать способностью к демодуляции различных видов сигналов (избавляться от сигнала несущей частоты, а полезный сигнал преобразовывать в низкочастотный сигнал и демодулировать с помощью детектора, соответствующего типу использованной модуляции).

Программно-аппаратные комплексы радиоконтроля.

Для расширения возможностей специальных приемников их функционально совмещают с персональными компьютерами, что существенно повышает надежность и оперативность поиска ЗУ, делает процедуру выявления более удобной (технологичной).

На компьютер при этом возлагается решение следующих задач:

• хранение априорной информации о радиоэлектронных средствах, работающих в контролируемой области пространства и выбранных диапазонах частот;

• получение программными методами временных и частотных характеристик принимаемых сигналов;

• тестирование принимаемых сигналов по совокупности признаков на принадлежность к излучению ЗУ.

Программно-аппаратные комплексы радиоконтроля обеспечивают:

• выявление излучений РЗУ;

• пеленгование РЗУ в реальном масштабе времени;

• определение дальности до источников излучения;

• аналого-цифровую обработку сигналов с целью определения их принадлежности к излучению РЗУ;

• контроль силовых, телефонных, радиотрансляционных и других сетей;

• работу в многоканальном режиме, позволяющем контролировать несколько объектов одновременно;

• постановку прицельных помех на частотах излучения РЗУ и др.

Программно-аппаратные комплексы радиоконтроля состоят из следующих элементов:

• широкодиапазонного перестраиваемого по частоте приемника (сканера);

• блока распознавания РЗУ, осуществляющего идентификацию излучений радиомикрофонов на основе сравнения принятых детектированных сигналов с естественным акустическим фоном помещения (пассивный способ) или тестовым акустическим сигналом (активный способ);

• блока акустической локации, позволяющего по запаздыванию переизлученного зондирующего звукового импульса определять расстояние до активных радиомикрофонов;

• электронно-вычислительной машины (процессора), осуществляющей как обработку полученных данных, так и управление приемником.

По принципу построения все известные приборы данного класса делятся на две основные группы:

• специально разработанные комплексы, конструктивно выполненные в виде единого устройства;

• комплексы, сформированные на базе серийного сканера, персонального компьютера (обычно notebook) и специального программного обеспечения.

Нелинейные радиолокаторы.

Применяются для поиска внедренных РЗУ, не использующих радиоканал для передачи информации, а также РЗУ, находящихся в пассивном (неизлучающем) состоянии.

Нелинейные радиолокаторы - приборы, излучающие электромагнитную волну с частотой f, а принимающие переизлученные сигналы на частотах f. Если такие сигналы будут обнаружены, то в зоне действия локатора есть полупроводниковые элементы, и их необходимо проверить на возможную принадлежность к ЗУ. Нелинейный радиолокатор обнаруживает только радиоэлектронную аппаратуру и, в отличие от классического линейного радиолокатора, «не видит» отражений от окружающих предметов, то есть обладает высокой избирательностью. Источниками помех для его работы могут служить контакты со слабым прижимом, для которых характерно наличие промежуточного окисного слоя.

Активные технические средства защиты акустического и виброакустического канала.

Для активной защиты речевой информации от необнаруженных закладных устройств и съема по другим каналам используется аппаратура активной защиты:

• Технические средства пространственного зашумления;

• Устройства виброакустической защиты;

• Технические средства ультразвуковой защиты.