2. Практический раздел

1. Мероприятия по защите информационной структуры центра авторизации платежных карт

   1. Структура цапк и методы обеспечения информации

Для создания эффективной системы противодействия перечисленным угрозам необходимо обеспечить совокупность программно-технических средств, организационных (административных) правил, правовых и морально-этичных норм.

На первом этапе необходимо реализовать комплексное управление доступом и защиту от НСД в информационной сети в целом, разработать и утвердить положение об информационной сети ЦАПК.

Структура информационной сети ЦАПК Visa представлена на рисунке 2.1.

Рисунок 2.2

Таким образом, информационная структура ЦАПК состоит из ЛВС, в состав которой входят сервера различного назначения, сетевое оборудование и рабочие станции. Исходя из данного набора оборудования, необходимо обеспечить безопасность информации, циркулирующей в ЛВС центра авторизации.

Под защитой ЛВС понимается комплекс мероприятий, проводимых с целью предотвраще­ния утечки, хищения, утраты, несанкционированного уничтожения, ис­кажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п.

Средства обеспечения защиты информации в части предотвращения преднамеренных действий принято делить на следующие три группы[2] .

• Технические средства, которые препятствуют физическому проникновению. Это замки, решетки на окнах, защитная сигнализация и др. Преимущества технических средств свя­заны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Недостатки — недостаточная гибкость, относительно большие объем и масса, высокая стоимость.

• Программные средства, включая программы для идентификации пользователей, контроля доступа, шифрования ин­формации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств - универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки - ограничения фун­кциональных возможностей сети, использование части ресурсов серверов и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств). Одной из разновидностей программных средств защиты информации является шифрование данных, которое представляет собой и имеет особое значение на практике как единственная надежная защита информации, передаваемой по протяжен­ный последовательным линиям, от утечки.

• Организационные средства, включая организационно-технические (такие как подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовые (законодательства и правила работы, устанавливаемые руководством конкретной фирмы, предприятия или организации). Преимущества организационных средств - возможность решения многих разнородных про­блем, простота реализации, возможность быстрого реагиро­вания на нежелательные действия в сети, неограниченные возможности модификации и развития. Недостатки - вы­сокая зависимость от субъективных факторов, в том числе от общей организации работы в данном конкретном подраз­делении.

Следует искать сетевые решения, предлагающие дополнительные возможности защиты на уровне концентратора, коммутатора, маршрутизатора и сервера удаленного доступа. Это позволяет блокировать доступ к отдельным устройствам, создавать разные категории доступа к критическим данным, блокировать внутреннюю сеть от вторжения через Internet или телефонную сеть общего пользования.

Нужно иметь в виду, что организованная должным образом защита не ограничивается одним устройством или группой устройств. Сильная защита - это подробный набор правил, управляющих совместным использованием ПК и переносимых носителей (таких как дискеты), переносом данных из сети и т.д.

Защита от несанкционированного доступа имеет ключевое значение при построении современных корпоративных сетей.

Каждая сеть должна быть защищена.

Целями защиты  являются:

•  обеспечение конфиденциальности данных в ходе их хранения, обработки или при передаче по ЛВС;

•  обеспечение целостности данных в ходе их хранения, обработки или при передаче по ЛВС;

•  обеспечение доступности данных, хранимых в ЛВС, а также возможность их своевременной обработки и передачи

• гарантия идентификации отправителя и получателя сообщений.

 Все источники угроз разделяются на внешние и внутренние. Внутренние угрозы могут проявляться в следующих формах:

- ошибки пользователей и системных администраторов;

- нарушения сотрудниками фирмы установленных регламентов сбора, обработки, передачи и уничтожения информации;

- ошибки в работе программного обеспечения;

- отказы и сбои в работе компьютерного оборудования.

Формами проявления внешних угроз являются:

- заражение компьютеров вирусами или вредоносными программами;

- несанкционированный доступ к корпоративной информации;

- информационный мониторинг со стороны конкурирующих структур, разведывательных и специальных служб;

- действия государственных структур и служб, сопровождающиеся сбором, модификацией, изъятием и уничтожением информации;

- аварии, пожары, техногенные катастрофы.

Для обеспечения информационной безопасности с применением технических, программных и организационных методов используются следующие способы:

• защита ЛВС от несанкционированного доступа изнутри и извне (из общедоступных сетей, Интернета и т.д.);

• антивирусная защита;

• защищенный доступ пользователей ЛВС в общедоступные сети и Интернет;

• обнаружение атак;

• защита информационных потоков между ЛВС, рабочими станциями и серверами, а также в сетях Internet;

• идентификация и аутентификация пользователей ИС;

• обеспечение доступности сетевых сервисов и серверов;

• защита рабочих станций и серверов от несанкционированного доступа;

• защита общесистемного и прикладного ПО, файловых и почтовых серверов;

• резервное копирование

Порядок проведения мероприятий по обеспечению безопасности сети определяется корпоративной политикой информационной безопасности.

Политика безопасности реализуется путем использования следующих аппаратно-программных решений:

- межсетевой экран;

- антивирусные программы;

- использование аутентификации пользователей с помощью паролей, службы Active Directory;

- резервное копирование информации как способ защиты, осуществляется с помощью централизованной системы резервного копирования.

Межсетевой экран (брандмауэр, файерволл) позволяет разделять сеть по степени доверия, применять корпоративные политики доступа из одного сегмента сети в другой или сеть Интернет [4]. Межсетевой экран проводит анализ проходящего трафика. В случае обнаружения подозрительных пакетов или подозрительной сетевой активности межсетевой экран может автоматически заблокировать подозрительный трафик. Анализ трафика производится при помощи сигнатур популярных сетевых атак, что позволяет на раннем этапе выделить и предотвратить злонамеренную сетевую активность и защитить корпоративные ресурсы.

Брандмауэр — это система, позволяющая разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения информации из одной части в другую. Брандмауэры представляют собой целый класс систем, порой сопоставимых по сложности с операционной системой. Классифицировать их можно по исполнению: программные, аппаратные и смешанного типа (аппаратно-программного); по компонентной модели: локальные (работающие на одном хосте) и распределенные (distributed firewall). Однако самой «полезной» является классификация с точки зрения уровня, на котором функционируют брандмауэры: пакетный уровень, прикладной, уровень соединения.

Разбивка на уровни является условной, что подразумевает возможность работы отдельно взятого брандмауэра более чем на одном уровне одновременно. Можно сказать, что практически все современные брандмауэры функционируют сразу на нескольких уровнях, стремясь расширить функциональность и максимально использовать преимущества работы по той или иной схеме. Такая технология получила название Stateful Inspection, а брандмауэры, работающие по смешанной схеме, называются Stateful Inspection Firewall.

Кроме того, в соответствии руководящим документом Ростехнадзора от 25 июля 1997 г, по уровню защищенности от несанкционированного доступа межсетевые экраны разделяются на 5 степеней, высшей из которых является первая. К каждому типу межсетевых экранов предъявляются требования по фильтрации, администрировании, процедуре восстановления и тестирования.

При этом для информационных систем в зависимости от важности обрабатываемой информации должны применяться брандмауэры следующих классов:

1. при обработке информации с грифом "секретно" - не ниже 3 класса;

2. при обработке информации с грифом "совершенно секретно" - не ниже 2 класса;

3. при обработке информации с грифом "особой важности" - не ниже 1 класса.

Идеальный персональный брандмауэр должен выполнять шесть функций:

• Блокировка внешних атак. В идеале брандмауэр должен блокировать все известные типы атак, включая сканирование портов, IP-спуффинг, DoS и DDoS, подбор паролей и пр.

• Блокировка утечки информации. Даже если вредоносный код проник в компьютер (не обязательно через сеть, а, например, в виде вируса на купленном пиратском CD), брандмауэр должен предотвратить утечку информации, заблокировав вирусу выход в сеть.

• Контроль приложений. Неизбежное наличие открытых портов является одним из самых скользких мест в блокировке утечки информации, а один из самых надежных способов воспрепятствовать проникновению вирусов через порты — контроль приложений, запрашивающих разрешение на доступ. Кроме банальной проверки по имени файла, весьма желательна проверка аутентичности приложения.

• Поддержка зональной защиты Работа в локальной сети часто подразумевает практически полное доверие к локальному контенту. Это открывает уникальные возможности по использованию новейших (и, как правило, потенциально опасных) технологий. В то же время уровень доверия к Интернет-контенту значительно ниже, а значит, необходим дифференцируемый подход к анализу опасности того или иного содержания.

• Протоколирование и предупреждение. Брандмауэр должен собирать строго необходимый объем информации. Избыток (равно как и недостаток) сведений недопустим. Возможность настройки файлов регистрации и указания причин для привлечения внимания пользователя приветствуются.

• Максимально прозрачная работа Эффективность и применяемость системы часто обратно пропорциональны сложности ее настройки, администрирования и сопровождения. Несмотря на традиционный скепсис в отношении «мастеров» (wizards) по настройке и прочих буржуйских штучек, даже опытные администраторы не пренебрегают ими просто в целях экономии времени.

В общем случае методика Firewall как основное программно-аппаратное средство осуществления сетевой политики безопасности в выделенном сегменте IP-сети реализует следующие основные функции.

1. Многоуровневая фильтрация сетевого трафика

Фильтрация обычно происходит на четырех уровнях OSI:

1. Канальном (Ethernet).

2. Сетевом (IP).

3. Транспортном (TCP, UDP).

4. Прикладном (FTP, TELNET, HTTP, SMTP и т. д.).

Фильтрация сетевого трафика является основной функцией систем Firewall и позволяет администратору безопасности сети централизованно осуществлять необходимую сетевую политику в выделенном сегменте IP-сети, то есть, настроив соответствующим образом Firewall, можно разрешить или запретить пользователям как доступ из внешней сети к соответствующим службам хостов или к хостам, находящимся в защищаемом сегменте, так и доступ пользователей из внутренней сети к соответствующим ресурсам внешней сети. Можно провести аналогию с администратором локальной ОС, который для осуществления политики безопасности в системе назначает необходимым образом соответствующие отношения между субъектами (пользователями) и объектами системы (файлами, например), что позволяет разграничить доступ субъектов системы к ее объектам в соответствии с заданными администратором правами доступа. Те же рассуждения применимы к Firewall-фильтрации: в качестве субъектов взаимодействия будут выступать IP-адреса хостов пользователей, а в качестве объектов, доступ к которым необходимо разграничить, - IP-адреса хостов, используемые транспортные протоколы и службы предоставления удаленного доступа.

2. Proxy-схема с дополнительной идентификацией и аутентификацией пользователей на Firewall-хосте

Proxy-схема позволяет, во-первых, при доступе к защищенному Firewall сегменту сети осуществить на нем дополнительную идентификацию и аутентификацию удаленного пользователя и, во-вторых, является основой для создания приватных сетей с виртуальными IP-адресами. Смысл proxy-схемы заключается в создании соединения с конечным адресатом через промежуточный proxy-сервер (в переводе с англ. "proxy" - полномочный) на хосте Firewall.

3. Создание приватных сетей с "виртуальными" IP-адресами

Если администратор безопасности сети считает целесообразным скрыть истинную топологию своей внутренней IP-сети, то ему можно порекомендовать использовать системы Firewall для создания виртуальных сетей с применением технологии NAT (Network Address Translation). Для адресации во внешнюю сеть через Firewall необходимо либо использовать на хосте Firewall описанные выше proxy-серверы, либо применять только специальные системы маршрутизации (через которые и возможна внешняя адресация). Это происходит из-за того, что используемый во внутренней приватной сети "виртуальный" IP-адрес, очевидно, непригоден для внешней адресации, то есть адресации к абонентам, находящимся за ее пределами. Поэтому proxy-сервер должен осуществлять связь с абонентами из внешней сети со своего настоящего IP-адреса. Кстати, эта схема удобна в том случае, если вам для создания IP-сети выделили недостаточное количество IP-адресов: в стандарте IPv4 это случается сплошь и рядом, поэтому для полноценной IP-сети с использованием proxy-схемы достаточно одного выделенного IP-адреса для proxy-сервера.

Итак, любое устройство, реализующее хотя бы одну из этих функций Firewall-методики, и является Firewall-устройством. Например, ничто не мешает вам использовать в качестве Firewall-хоста компьютер с обычной ОС FreeBSD или Linux, у которой соответствующим образом нужно скомпилировать ядро ОС. Firewall такого типа будет обеспечивать только многоуровневую фильтрацию IP-трафика. Другое дело - предлагаемые на рынке мощные Firewall-комплексы, созданные на базе ЭВМ или мини-ЭВМ, обычно реализуют все функции Firewall-методики и являются полнофункциональными системами Firewall.

Однако Firewall не является гарантией абсолютной защиты от удаленных атак в Internet.

Также сетевой экран встроен в ОС Windows Server 2003, что позволяет, при правильной настройке, не пропускать из внешней сети пакеты, не запрошенные пользователем или программой. Данная технология встроена также в маршрутизаторы.

Для обеспечения должного уровня безопасности современная локальная сеть среднего и большого предприятия должна быть разграничена и может включать в себя следующие зоны:

- демилитаризованная зона(DMZ) и внутренняя сеть предприятия представляющие собой две физически разделенные сети: одна — для общедоступных серверов, другая — для внутренних серверов и рабочих станций. В зависимости от типа DMZ и числа используемых брандмауэров, применяется та или иная политика доступа и фильтрации маршрутизации для каждой из сетей и жестко контролируется доступ между:

• Internet и DMZ;

• Internet и внутренней сетью;

• DMZ и внутренней сетью.

Главное преимущество зонирования с использованием DMZ вместо простого разделения Internet/внутренняя сеть состоит в том, что при атаке на общедоступный сервер при компрометации внутренних серверов снижается, поскольку общедоступные и внутренние серверы отделены друг от друга. Если скомпрометированный сервер находится в DMZ, злоумышленник не сможет напрямую атаковать другие, более важные серверы, расположенные во внутренней сети. Брандмауэр блокирует любые попытки компьютеров из DMZ подсоединиться к компьютерам внутренней сети, за исключением специально разрешенных соединений. Например, можно настроить брандмауэр так, чтобы разрешить Web-серверу, находящемуся в DMZ, подсоединяться к внутренней системе с Microsoft SQL через специальный TCP-порт. Если злоумышленник захватит Web-сервер, он сможет организовать атаку на систему SQL Server через этот порт. Однако злоумышленник не сможет атаковать другие службы и порты системы с SQL Server, равно как и другие компьютеры во внутренней сети.

Применение DMZ дает еще некоторые преимущества.

• Обеспечивается возможность обнаружения вторжений, фильтрации содержимого и мониторинга на уровне приложений. Таким образом, брандмауэр обеспечивает защиту внутренней сети от атак не только из Internet, но и с подвергшихся нападению компьютеров из DMZ. Если скомпрометированный компьютер находится в DMZ, а не во внутренней сети, атакующий попытается пройти брандмауэр вновь для получения доступа к внутренней сети.

• DMZ обеспечивает дополнительный уровень защиты от атак, при которых злоумышленники пытаются получить доступ через любые порты, которые непредусмотрительно были оставлены открытыми на общедоступных серверах.

• DMZ позволит контролировать исходящий трафик так, что можно будет остановить распространение различных червей, которые используют Web-сервер для взлома других компьютеров, и атакующие не смогут задействовать Trivial FTP (TFTP) на Web-сервере.

• DMZ позволяет ограничить доступ к административным службам, таким, например, как терминальная служба Windows 2000 Server.

• DMZ защищает серверы от атак типа подмены адресов (spoofing) с использованием протокола Address Resolution Protocol (ARP).

Внутренняя сеть также может быть разбита на сегменты:

• Пользовательский

• Инфраструктурный

• Серверный

При этом необходимо контролировать доступ между сегментами:

• Пользовательским и серверным

• Инфраструктурным и серверным

• Пользовательским и инфраструктурным

Главное преимущество разбиения внутренней сети на сегменты и контроля доступа между ними состоит в предотвращении возможной угрозы изнутри. Если злоумышленник окажется во внутренней сети, то он не сможет атаковать серверы предприятия, т.к. доступ неавторизованным пользователям закрыт. Авторизацией пользователей занимается инфраструктурный сегмент, при этом отдельный пользователь имеет доступ только к необходимым ему по работе серверам. Сами инфраструктурные сервера не имеют доступа в серверный сегмент, что делает их атаку (кроме сервера авторизации) бесполезной.

С безопасностью информации, хранящейся и обрабатываемой в локальной сети, тесно связана ее надежность.

Надежность ЛВС, в частности, реализуется путем резервирования основных ее компонентов. Так, например, современные серверы и дисковые массивы могут использовать резервные блоки питания, вентиляторы, дублирующиеся контролеры (чаще всего для внешнего сетевого взаимодействия), процессоры, а также технологии виртуального и реального зеркалирования памяти (оперативной и постоянной).

Всего существует три типа систем резервирования:

- «холодное» резервирование - в этом случае запасной модуль лежит на складе, и в случае выхода основного модуля он монтируется вместо отказавшего устройства, поэтому замена неисправного блока занимает довольно продолжительное время, но этот способ является самым дешевым, так как нет необходимости дублировать оборудование что, соответственно, снижает затраты на его покупку;

- «теплое» резервирование, когда запасной агрегат подключен параллельно основному, но находится в выключенном состоянии (включить его можно сразу после того, как откажет основная подсистема), в этом случае резервирующих элементов может быть меньше, чем основных и они могут быть задействованы для выполнения самостоятельных задач, но увеличивается время замены;

- «горячее» резервирование: резервирующий элемент работает параллельно с резервируемым, что допускает замену неисправного блока в кратчайшие сроки, но влечет за собой повышенный расход электроэнергии и ресурса резервирующего элемента.

Вид резервирования должен выбираться в конкретном случае с учетом важности каждого блока, также возможно смешанное использование всех видов, к примеру, «горячего» резервирования для наиболее важного оборудования, «холодного» – для остальной части аппаратуры.

Кроме резервирования оборудования имеет смысл говорить о резервировании информации. Потери информации часто оборачиваются финансовыми потерями и возможны по причинам повреждений двух типов: логических и физических. По данным компании HP, причины простоев и потерь данных распределены следующим образом (рисунок 2.2):

Рисунок 2.3 Причины потери информации

Как мы видим из приведенной на рисунке 2.2 диаграммы, наибольшая доля потерь информации (44 %) происходит из-за ошибок, возникающих в оборудовании сети, следующая наиболее распространенная причина - ошибка пользователя – 32 %, ошибки программного обеспечения – 14 %, воздействие вредоносной программы - 7 %. Соответственно, меры для сохранения информации должны включать в себя ( по степени важности):

1. использование протестированного и хорошо себя зарекомендовавшего (по опыту использования другими фирмами) оборудования;

2. обучение пользователей и ограничение прав их доступа к информации;

3. использование надежного программного обеспечения;

4. использование антивирусной защиты.

Радикальным методом, с помощью которого удается избежать потерь информации, является ее резервное копирование. Резервное копирование - это процесс изготовления копии файлов, находящихся на жестком диске или на независимом носителе информации с целью восстановления исходных данных, в случае если оригинал будет утерян в силу разных причин.

По данным РАО «ЕЭС России» (www.rao-ees.ru), в настоящее время в среднем в сетях электроснабжения напряжением до 0,4 Кв происходит до 100 аварийных отключений в год различной продолжительности (от 6 секунд до 30 минут). Причем, принимая во внимание старение конструкций и материалов при их эксплуатации, климатические воздействия, постоянное увеличение потребления электроэнергии, особенно в таком быстрорастущем городе, как Москва, количество отключений будет только возрастать. Отключения электропитания приводят к сбою оборудования, последствиями которого могут быть как потеря важной информации, так и выход из строя какой-то части сети. Также существует проблема защиты вычислительной техники от некачественного электропитания. Скачок напряжения в сети может привести к потере данных, а при худшем варианте развития событий и к потере сетевого оборудования.

Обе проблемы могут быть решены несколькими способами:

1. Использование источников бесперебойного питания для каждого элемента сети. Такой способ позволяет в кратчайшие сроки и с минимальными затратами обезопасить сеть от перебоев с электропитанием, длительность которых не более часа.

2. Организация вспомогательной сети электропитания на основе ИБП малой емкости. Этот способ отличается от первого повышенными расходами и сложностью в проектировании, большими финансовыми затратами, но позволяет обезопасить только какую-то часть оборудования сети от сбоев в энергоснабжении на более длительное время.

3.Наиболее сложный и дорогой способ – создание системы аварийного энергоснабжения предприятия. Его основное преимущество – полная независимость от системы внешнего энергопитания.