6.4 Программно-аппаратные средства и комплексы обеспечения безопасности информации

После того, как проанализирован список угроз и составлен список классов возможных атак на систему, необходимо составление технической спецификации для реализации технологического процесса и составление перечня программно-аппаратных средств.

Для того чтобы минимизировать или предотвратить реализацию данных угроз, выбраны следующие программно-аппаратные комплексы.

1. Межсетевой экран. Устанавливается на границе локальной сети центрального офиса и Интернетом.

2. Аппаратно-программный (программный) комплекс шифрования данных. Обеспечивает шифрование и целостность данных и автоматизированное установление подлинности пользователя. Установление подлинности подтверждает, что данные получены от правильного источника и посылаются по правильному адресу. Проверка целостности предотвращает изменение данных при передаче.

3. Система обнаружения и предотвращения вторжений. Предупреждает о начале атаки на сеть и принимает меры по блокировке атаки. Защищают информацию от несанкционированного доступа к ней.

4. Антивирусные программы. Предотвращают реализацию угрозы по внедрению вредоносного ПО. Устанавливаются на АРМ каждого сотрудника.

5. Антиспам-боты. Устанавливаются на АРМ каждого сотрудника и предотвращают возможность утечки конфиденциальной информации (логинов и паролей сотрудников) через фишинговые сайты.

6. База данных, содержащая информацию о клиентах и заказах со встроенными средствами обеспечения безопасности информации: средством аутентификации, логированием, разграничением доступа, созданием резервных копий (back up и transaction log). Располагается во внутренней сети центрального офиса сети магазинов.

7. Источники бесперебойного питания и резервный генератор.

8. Возможно использование пограничных экранирующих маршрутизаторов. Они обеспечивают передачу данных по адресу, установленному системным администратором, а не по указанному в пакете. Это позволяет построить зону так называемой статической маршрутизации, включив в нее наиболее безопасные почтовые серверы.

6.5 Сравнительная характеристика элементов технологического процесса и их аналогов

Техническая спецификация программно-аппаратных средств и сравнительная характеристика каждого элемента с двумя его аналогами приведена ниже. Также присутствует обоснование выбора каждого элемента.

Маршрутизатор

Выбрано: Cisco 2621. Используется для малых и средних офисов, невысокая цена, поддержка технологий Fast Ethernet и VLAN. Наличие встроенной системы IPS, наличие внутреннего слота AIM (Advanced Interface Module)

Аналог 1: D-link DIR-100. Поддержка VLAN, режим Triple Play, отсутствие механизма IPS.

Аналог 2: 3COM 3CR858-91. Отсутствие поддержки VLAN, отсутствие механизма IPS.

Коммутатор

Выбрано: D-link DES-3028. Максимальная скорость передачи данных 1000Кб/сек, поддержка Web-интерфейса, количество портов 28, поддержка статической маршрутизации.

Аналог 1: ZyXEL ES-4124. Максимальная скорость передачи данных 100Кб/сек, поддержка Web-интерфейса, количество портов 24, поддержка статической маршрутизации.

Аналог 2: D-link DGS-1024D. Максимальная скорость передачи данных 100Кб/сек, нет поддержки Web-интерфейса, количество портов 24, нет поддержки статической маршрутизации.

Межсетевой экран

Выбрано: Ideco ICS 4.3. Сертифицирован ФСТЭК (сертификат действителен до 22 февраля 2014 года). Контроль доступа, детектор сетевых атак, Kaspersky Anti-Virus, ограничение трафика, удаленное подключение, виртуальные частные сети, может использоваться как DHCP-сервер, FTP-сервер, файловый веб-архив, сервер точного времени, DNS-сервер, полноценный маршрутизатор. Встроенный в Ideco ICS модуль DLP сканирует исходящий трафик и блокирует передачу защищенных документов через электронную почту и веб-протоколы, распознавая документы при помощи технологии цифровых отпечатков. Защита от DOS-атак и блокирование чрезмерной активности. IDS/IPS Snort анализирует сетевой трафик. При появлении потенциальных угроз, предотвращает и уведомляет администратора. Подключение к провайдерам, резервирование каналов. Широкие функциональные возможности и невысокая стоимость. Небольшое время восстановление после сбоев из-за встроенной системы мониторинга.

Аналог 1: Juniper SRX100B. Пакетная фильтрация, NAT: 200 Мбит/с для IMIX-трафика (максимум 650 Мбит/с), пакетов в секунду: 75 000, защита от атак (IDP-система): 60 Mбит/с, IPSec VPN: 65 Mбит/с, одновременно установленных сессий: 512 Мбайт DRAM - 16 000, новых сессий в секунду: 2 000. 8 портов. Достаточно большое время восстановление после сбоев.

Аналог 2: D-Link DFL-1600 VPN. Нет портов DMZ, Пропускная способность межсетевого экрана 320 Мб/с, большое количество поддерживаемых алгоритмов шифрования, хорошие технические характеристики. Очень высокая стоимость.

Персональный межсетевой экран

Выбрано: Security Studio Endpoint Protection. Программное средство, которое обеспечивает защиту компьютера с применением межсетевого экрана, антивируса и средства обнаружения вторжений. Обеспечивает безопасную работу с сетью Интернет, предотвращая попытки проникновения на компьютер вредоносного программного обеспечения и блокируя нежелательный трафик.

Аналог 1: «Континент-АП». Сертифицированный персональный межсетевой экран, предназначенный для защиты компьютера от сетевых угроз и обеспечивающий безопасное подключение к сетям общего пользования и разграничение доступа к сетевым ресурсам. Обеспечивает фильтрацию входящих и исходящих IP-пакетов по правилам фильтрации и в соответствии с заданным расписанием. События, происходящие при фильтрации сетевого трафика, регистрируются в журнале событий и в журнале пакетов. Отсутствие функций системы обнаружения и предотвращения вторжений и антивируса.

Аналог 2: ZyXEL ZyWALL P1. Аппаратный Интернет-маршрутизатор со встроенным межсетевым экраном, IPSec VPN сервером. Устройство также включает в себя механизм обнаружения и предотвращения вторжений, а также имеет возможность антивирусной проверки трафика (по протоколам FTP, SMTP, POP3, HTTP).

Сервер БД

Выбрано: Oracle Database 11g. Размер блока данных задается вручную. Сертифицирован в России. Технология Real Application Cluster, Real Application Testing. Множество предоставляемых функциональных возможностей. Гибко настраиваемая ролевая модель управления доступом. Высокая производительность, есть BitMap и Reverse индексы. Механизм материализованных представлений, хранение сложных SQL-запросов. Поддержка объектно-ориентированных типов, массивов и вложенных таблиц. Хорошая масштабируемость.

Аналог 1: Microsoft SQL Server 2008. Размер блока постоянный и равен 8Кб. Отсутствие BitMap и Reverse индексов. Поддержка не всех видов триггеров. Хорошая масштабируемость. Достаточно дорогое обслуживание.

Аналог 2: IBM DB2 UDB 9. Поддержка только локальных индексов, отсутствие BitMap и Reverse индексов. Меньше поддерживаемых вариантов партиционирования. Менее развитый механизм блокировок и обеспечение целостности чтения.

Файловый сервер

Выбрано: HP ProLiant ML110 G6. Характеристики: Intel® Pentium® процессор G6950 (2.80GHz), 2Гб ОЗУ, 1 x 160Гб жесткий диск.

Аналог 1: SK Gelios T104I G2. Характеристики: Intel Core i3 процессор (1066MHz), до 16 Гб ОЗУ с возможностью установки до 4 жестких дисков.

Аналог 2: IBM x3850 X5 71454RG. 2 х Intel Xeon 8C процессор (2.0GHz), 4 х 4Гб ОЗУ, с возможностью установки до 16 жестких дисков.

Web-сервер

Выбрано: Oracle WebLogic 11g. Хорошая техническая поддержка, масштабируемость. Создает распределенную, использующую оперативную память, сеть обработки данных, объединяющую и распределяющую память среди систем. Высокая производительность. Легкая интеграция с выбранным сервером БД. Поддержка SSL. Одно из лучших на данный момент средств построения и разработки порталов любой сложности. Включает в себя инструменты быстрой разработки, обеспечения безопасности и администрирования. Обновление информации на портале осуществляется с помощью тех же механизмов, что и начальная разработка, граница проходит в правах доступа к тому или иному разделу сайта. Поддерживает ограничение доступа к определённым директориям или всему серверу, основанное на IP-адресах пользователей.

Аналог 1: Apache. Самый популярный веб-сервер. Надежен. Поддерживает множество механизмов обеспечения безопасности. Есть проблемы с лицензиями.

Аналог 2: Resin. Только для приложений Java. Много уязвимостей. Использование нативного кода для основной функциональности сервера, в частности, для работы с сокетами и файловой системой. Работает на Linux и Win32 системах.

DNS-сервер

Выбрано: Ideco ICS 4.3. Включает в себя кэширующий DNS сервер для локальной сети. Гибкие настройки кэширования позволяют экономить до 20% трафика. Есть возможность указывать соответствие между доменным именем компьютера и его сетевым адресом.

Аналог 1: Microsoft DNS Server. Входит в состав серверных версий Windows. DNS сервер  настроен на использование пересылки запросов на специальные сервера, когда он не может разрешить имя локально. Включена очистка загрязнений в DNS-кэше.

Аналог 2: Хостинг DNS-сервера от RU-CENTER. Три DNS-сервера, отвечающие на запросы о домене. Оборудование, защищенное от DDoS-атак. Подключение к точкам обмена трафиком по каналу 100 Мб/сек.

Почтовый сервер

Выбрано: Ideco Mail Server. Защита от спама, вирусов и DDoS-атак. Обмен мгновенными сообщениями Jabber. Технологии Касперского и ClamAV. Поддержка протоколов SMTP, IMAP, POP3, IMAPs, POP3s. Гибкая система управления почтовыми правилами ― задание фильтров на основе интеллектуального анализа тела письма. Обучаемые фильтры. Создан на базе ядра Linux, высокая надежность и защищенность. Встроенный модуль отказоустойчивости. Существует многоуровневая системы защиты сервера от внешних угроз.

Аналог 1: Courier Mail Server. Обработка и антиспам-фильтрация почты по заданным правилам. Разграничение прав доступа по IP-адресам клиентов. Поддерживает использование удаленного доступа (RAS dial-up). Поддержка протоколов SMTP, POP3. Возможности Web-сервера с поддержкой PHP, HTTP-сервиса.

Аналог 2: UserGate Mail Server. Почтовый сервер с интегрированными средствами антивирусной и антиспам-фильтрации. Обладает модульной структурой, что повышает отказоустойчивость и дает возможность запуска сервера на распределенной системе. Гибкая система правил фильтрации. Поддержка протоколов TLS, SSL, POP3s, SMTPs и IMAPs. Три антивирусных модуля: Kaspersky Antivirus, Panda Antivirus и Entensys Zero-Hou. Фильтрация выполняется в несколько этапов ― по соединениям, по адресу источника, по адресу назначения и по содержанию. Поддерживает контроль SMTP протокола (контроль правильности команд в соответствии с RFC). Поддерживает резервное копирование почтовых сообщений. Несколько уровней защиты от спама ― на основе DNS, на основе распределенной антиспам системы, на основе статистики. Позволяет работать с удаленными учетными записями. Доступ к почте через любой браузер.

Операционная система на рабочих станциях операторов

Выбрано: Windows 7. Удобный интерфейс, привычный конечному пользователю. Поддержка большинства приложений. Большое количество специалистов по поддержке.

Аналог 1: Red Hat Enterprise Linux 5. Не интуитивно понятный интерфейс. Малое количество специалистов.

Аналог 2: OS X. Является полноценной сертифицированной UNIX’03 операционной системой. Поддержка большинства программ, написанных для BSD, Linux и других UNIX-подобных систем. Интерфейс, непривычный большому числу пользователей.

Антивирус

Выбрано: Kaspersky Internet Security 2012. Быстродействие, самозащита, результаты на тесте проактивной антивирусной защиты – 87% от максимального балла (1 место среди аналогов), гибридная защита, совместимость с OS Windows последних версий, защита при пользовании системами онлайн-банкинга и платежными системами PayPal, Яндекс.Деньги и др., а также при совершении покупок в Интернете.

Аналог 1: Eset Smart Security 5.2. Быстродействие, постоянная защита, результаты на тесте проактивной антивирусной защиты – 29% от максимального балла (13 место среди аналогов).

Аналог 2: Dr.Web Security Space 7. Эргономичность, самозащита, лечение компьютера, результаты на тесте проактивной антивирусной защиты – 46% от максимального балла (7 место среди аналогов).

Комплекс шифрования данных

Выбрано: Ideco МагПро ГОСТ-VPN. Программно-аппаратный комплекс на базе сертифицированного СКЗИ «МагПро КриптоПакет» для построения безопасных каналов связи между филиалами корпоративной сети. Соответствует  требованиям ФСБ России к СКЗИ класса КС1. Позволяет создать защищенный VPN-туннель абсолютно прозрачно для пользователей. Интерфейс управления криптошлюзом Ideco МагПро ГОСТ-VPN доступен пользователям Ideco ICS 4.3.

Аналог 1: Континент 3.5. Сертифицированное ФСБ и ФСТЭК средство построения виртуальных частных сетей (VPN) на основе глобальных сетей общего пользования, использующих протоколы семейства TCP/IP. Подключение удаленных и мобильных пользователей к VPN по защищенному каналу, разделение доступа между информационными подсистемами организации, организация защищенного взаимодействия со сторонними организациями, безопасное удаленное управление маршрутизаторами. Высокая надежность и отказоустойчивость. Простота внедрения и обслуживания. Удобство управления и поддержки. Высокая пропускная способность. Высокая масштабируемость. Поддержка всех современных протоколов и технологий. Невысокая стоимость.

Аналог 2: Secret Disk 4. Защита от НСД и раскрытия конфиденциальной информации, обрабатываемой на ПК или ноутбуке. Защита информации при переносе и хранении на съемных носителях. Разграничение прав пользователей на доступ к данным с использованием двухфакторной аутентификации с электронным ключом eToken. Нет возможности построения VPN-туннеля.

Средство аутентификации на сервере БД

Выбрано: SecurLogon для Oracle. Программное решение для взаимной двухфакторной аутентификации между пользователями БД и сервером с использованием USB-токенов и смарт-карт. Обеспечивает шифрование передаваемых данных с использованием протокола SSL. Позволяет защитить канал связи между сервером БД и клиентским рабочим местом одним из поддерживаемых Oracle алгоритмов шифрования.

Аналог 1: СКЗИ «Крипто БД». Средство криптографической защиты информации, хранящейся в базах данных Oracle от несанкционированного доступа. Соответствует требованиям ФСБ России к СКЗИ класса КС1, КС2. Может использоваться для защиты персональных данных, хранящихся в базах данных Oracle. Существует возможность реализации усиленной аутентификации пользователей для доступа к защищённым данным с использованием USB-токенов или смарт-карт.

Аналог 2: ActivIdentity 4TRESS AAA Сервер. Обеспечивает строгую двухфакторную аутентификацию на базе одноразовых паролей (OTP). Совместимо с СУБД Oracle 9i/10.

Система обнаружения и предотвращения вторжений

Выбрано: Детектор атак «Snort», встроенный в Ideco ICS 4.3. Детектор сетевых атак IPS/IDS, интегрированный с Ideco ICS 4.3, позволит системному администратору первым узнавать об опасной сетевой активности. Более того, система реализована таким образом, что у администратора появляется возможность не только обнаруживать угрозы, но и разрывать соответствующие сессии.

Аналог 1: Sourcefire 3D Sensors. Автоматизированный сбор информации о сетевой активности в реальном времени. Обеспечивает защиту информационных ресурсов от внутренних и внешних атак. Обладает высокой скоростью обработки потоковых данных: от 5 Мбит/с до 20 Гбит/с, и способен реализовать как активную, так и пассивную методику реагирования. Дорогостоящее оборудование.

Аналог 2: Snort 2.9.0. Самая популярная в мире OpenSource-система обнаружения вторжений. Может использоваться бесплатно.

Интернет-браузер

Выбрано: Google Chrome 12.0. Автоматические обновления, поддержка HTTPS-соединений и визуализация наличия безопасного соединения, защита от компрометации HTTPS-соединений, механизмы защиты от XSS-атак, фильтр вредоносных сайтов по URL, фильтр вредоносного программного обеспечения, режим «инкогнито», время запуска SunSpider JavaScript ― 762 мс, время горячего запуска ― 0,7 мс, время холодного запуска ― 1 мс, используемая память при загрузке 10 тяжелых страниц ― 256 Мб.

Аналог 1: Microsoft Internet Explorer 9. Автоматические обновления, поддержка HTTPS-соединений и визуализация наличия безопасного соединения, частичная защита от компрометации HTTPS-соединений, механизмы защиты от XSS-атак, фильтр вредоносных сайтов по URL, фильтр вредоносного программного обеспечения, режим «InPrivate», защита от слежения, время запуска SunSpider JavaScript ― 9015 мс, время горячего запуска ― 1,3 мс, время холодного запуска ― 1,8 мс.

Аналог 2: Opera 11.11. Автоматические обновления, поддержка HTTPS-соединений и визуализация наличия безопасного соединения, фильтр вредоносных сайтов по URL, режим «Приватности», время запуска SunSpider JavaScript ― 1400 мс, время горячего запуска ― 1,2 мс, время холодного запуска ― 4,5 мс, используемая память при загрузке 10 тяжелых страниц ― 152 Мб.

PОS-терминал

Выбрано: P80GPRS. Надежный многофункциональный стационарный EFT-POS терминал для безопасного приема платежей как в наличной форме, так и по карточкам с магнитной полосой и смарт-картам. Встроенный PIN Pad для безопасного набора ПИН-кода. Защита от вскрытия. Широкий набор коммуникационных возможностей. Коммуникация: GSM/GPRS, CDMA модем 33,6 КБ/сек, TCP/IP. 32-битный ARM9 200МГц процессор. Объём памяти: 4Мб Flash, 8МБ SDRAM.

Аналог 1: NURIT 8400. Стационарный, надёжный, компактный терминал для организации приема платежей с использованием платежной системы CyberPlat. Терминал позволяет быстро и безопасно осуществлять проведение электронных транзакций. Является универсальным решением для торгового бизнеса. Среди его преимуществ ― небольшие габариты, высокоскоростной термопринтер, русифицированная клавиатура, а наличие элемента питания позволяет завершить транзакцию в случае отключения электроэнергии. Коммуникация: Dial-Up, GSM/GPRS/Dial-Up или Ethernet/Dial-Up. Работа в двух режимах: онлайн и оффлайн. 32-битный ARM7 процессор. Объём памяти: 6 Мб (4 Мб Flash, 2 Мб SRAM).

Аналог 2: «ШТРИХ-MobilePAY». Мобильный терминал, предназначенный для организации приема платежей за различные виды услуг с использованием платежной системы CyberPlat. Устройство отличается небольшими размерами и невысокой ценой, сохраняя при этом все функции полноценного платежного терминала, а наличие встроенной аккумуляторной батареи позволяет производить прием платежей там, где отсутствует электрическая сеть. Данные о приеме платежей передаются в центр обработки информации c помощью встроенного GSM/GPRS-модема. Коммуникация: GSM-модем(900/1800 МГц), GPRS класс 10. Процессор Philips P89C60X2BA (Winbond W78E516BP). Возможность отправки платежей при выключенном питании.

IP-телефония

Выбрано: D-Link DPH-150S/RU. Телефонные звонки передаются через тот же самый канал связи, который используется для выхода в Интернет. Поэтому пользователю понадобится оплатить только это подключение плюс услуги, предоставляемые провайдером IP-телефонии. 1 порт для подключения к кабельному / DSL-модему, удаленному маршрутизатору или коммутатору Ethernet/Gigabit, 1 порт для подключения к ПК. Поддержка протоколов IP, TCP, UDP, ARP, ICMP.

Аналог 1: Gigaset C595 IP. Многофукциональный SIP телефон, совмещающий функции традиционной и Интернет-телефонии. Подключение к телефонной линии и Интернет (по Ethernet).

Аналог 2: Cisco CP - 7940.  Все звонки, совершаемые с помощью данного аппарата, осуществляются с использованием сети Интернет. Для нормального функционирования аппарата необходимо постоянное подключение к сети Интернет синхронным каналом со скоростью передачи данных не ниже 64 Кб/с. 1 Ethernet порт.