Защита информации в инфокоммуникационных системах и сетях.-3
.pdf211
К недостаткам сканеров следует отнести то, что они позволяют обнаружить вирусы,
которые уже проникали в вычислительные системы, изучены и для них определена сигнатура.
Для эффективной работы сканеров необходимо оперативно пополнять базу данных сканирования. Однако с увеличением объема базы данных сканирования и числа различных типов искомых вирусов снижается скорость антивирусной проверки. Само собой, если время сканирования будет приближаться ко времени восстановления, то необходимость в антивирусном контроле может стать не столь актуальной.
Некоторые вирусы (мутанты и полиморфные) кодируют или видоизменяют свой программный код. Это затрудняет или делает невозможным выделить сигнатуру, а
следовательно, обнаружить вирусы методом сканирования.
Для выявления указанных маскирующихся вирусов используются специальные методы. К ним можно отнести метод эмуляции процессора. Метод заключается в имитации выполнения процессором программы и подсовывания вирусу фиктивных управляющих ресурсов. Обманутый таким образом вирус, находящийся под контролем антивирусной программы, расшифровывает свой код. После этого, сканер сравнивает расшифрованный код с кодами из своей базы данных сканирования.
Поиск и уничтожение неизвестных вирусов
Выявление и ликвидация неизвестных вирусов необходимы для защиты от вирусов,
пропущенных на первом уровне антивирусной защиты. Наиболее эффективным методом является контроль целостности системы (обнаружение изменений). Данный метод заключаются в проверке и сравнении текущих параметров вычислительной системы с эталонными, соответствующими ее незараженному состоянию. Понятно, что контроль целостности не являются прерогативой исключительно системы антивирусной защиты. Он обеспечивает защищенность информационного ресурса от несанкционированных модификации и удаления в результате различного рода нелегитимных воздействий, сбоев и отказов системы и среды.
Для реализации указанных функций используются программы, называемые
ревизорами. Работа ревизора состоит из двух этапов: фиксирование эталонных характеристик вычислительной системы (в основном диска) и периодическое сравнение их с текущими характеристиками. Обычно контролируемыми характеристиками являются контрольная сумма, длина, время, атрибут “только для чтения” файлов, дерево каталогов, сбойные кластеры, загрузочные сектора дисков. В сетевых системах могут накапливаться
211
212
среднестатистические параметры функционирования подсистем (в частности исторический профиль сетевого трафика), которые сравниваются с текущими.
Ревизоры, как и сканеры, делятся на транзитные и резидентные.
К недостаткам ревизоров, в первую очередь резидентных, относят создаваемые ими всякие неудобства и трудности в работе пользователя. Например, многие изменения параметров системы вызваны не вирусами, а работой системных программ или действиями пользователя-программиста. По этой же причине ревизоры не используют для контроля зараженности текстовых файлов, которые постоянно меняются. Таким образом, необходимо соблюдение некоторого баланса между удобством работы и контролем целостности системы.
Ревизоры обеспечивают высокий уровень выявления неизвестных компьютерных вирусов, однако они не всегда обеспечивают корректное лечение зараженных файлов. Для лечения зараженных файлов неизвестными вирусами обычно используются эталонные характеристики файлов и предполагаемые способы их заражения.
Кроме этого ревизоры не определяют зараженные файлы, создаваемые или копируемые в систему.
Разновидностью контроля целостности системы является метод программного самоконтроля, именуемые вакцинацией. Идея методов состоит в присоединении к защищаемой программе модуля (вакцины), контролирующего характеристики программы,
обычно ее контрольную сумму.
Помимо статистических методов контроля целостности, для выявления неизвестных и маскирующихся вирусов используются эвристические методы. Они позволяет выявить по известным признакам (определенным в базе знаний системы) некоторые маскирующиеся или новые модифицированные вирусы известных типов. В качестве примера признака вируса можно привести код, устанавливающий резидентный модуль в памяти, меняющий параметры таблицы прерываний и др. Программный модуль, реализующий эвристический метод обнаружения вирусов, называют эвристическим анализатором.
К недостаткам эвристических анализаторов можно отнести ошибки 1-го и 2-го рода:
ложные срабатывания и пропуск вирусов. Соотношение указанных ошибок зависит от уровня эвристики.
Понято, что если для обнаруженного эвристическим анализатором компьютерного вируса сигнатура отсутствует в базе данных сканирования, то лечение зараженных данных может быть некорректным.
212
213
Блокировка проявления вирусов Блокировка проявления вирусов предназначена для защиты от деструктивных
действий и размножения компьютерных вирусов, которым удалось преодолеть первые два уровня защиты. Методы основаны на перехвате характерных для вирусов функций. Известны два вида указанных антивирусных средства:
программы-фильтры,
аппаратные средства контроля.
Программы-фильтры, называемые также резидентными сторожами и мониторами,
постоянно находятся в оперативной памяти и перехватывают заданные прерывания, с целью контроля подозрительной действий. При этом они могут блокировать “опасные” действия или выдавать запрос пользователю.
Действия, подлежащие контролю, могут быть следующими: модификация главной загрузочной записи (MBR) и загрузочных записей логических дисков и ГМД, запись по абсолютному адресу, низкоуровневое форматирование диска, оставление в оперативной памяти резидентного модуля и др. Как и ревизоры, фильтры часто являются “навязчивыми” и
создают определенные неудобства в работе пользователя.
Встроенные аппаратные средства ПК обеспечивают контроль модификации системного загрузчика и таблицы разделов жесткого диска, находящихся в главном загрузочном секторе диска (MBR). Включение указанных возможностей в ПК осуществляется с помощью программы Setup, расположенной в ПЗУ. Следует указать, что программу Setup
можно обойти в случае замены загрузочных секторов путем непосредственного обращения к портам ввода-вывода контроллеров жесткого и гибкого дисков.
Наиболее полная защита от вирусов может быть обеспечена с помощью специальных контроллеров аппаратной защиты. Такой контроллер подключается к ISA-шине ПК и на аппаратном уровне контролирует все обращения к дисковой подсистеме компьютера. Это не позволяет вирусам маскировать себя. Контроллер может быть сконфигурирован так, чтобы контролировать отдельные файлы, логические разделы, “опасные” операции и т.д. Кроме того, контроллеры могут выполнять различные дополнительные функции защиты, например,
обеспечивать разграничение доступа и шифрование.
К недостаткам указанных контроллеров, как ISA-плат, относят отсутствие системы авто конфигурирования, и как следствие, возможность возникновения конфликтов с некоторыми системными программами, в том числе антивирусными [2].
213
214
6.5. Модель безопасности информационной сети предприятия
В данном разделе будет рассмотрен один из возможных вариантов построения защищенной информационной сети предприятия на базе компьютерного оборудования и программных средств.
Компьютерная сеть предприятия малого/среднего бизнеса включает в себя несколько локальных сетей объединенных в единую сеть организации и функционирующих как единое целое. Как правило, сеть включает в себя различного рода коммутационное оборудование,
такое как маршрутизатор, хосты, коммутаторы, сетевые карты и т.д., а также всевозможные сервисы и программы.
Из предыдущего раздела известно, что в качестве первого рубежа защиты сети, от угроз из Internet, служит межсетевой экран. В общем случае существует два варианта постановки экрана в сеть, эти варианты приведены на рисунке 6.8.
Internet |
Internet |
Router |
Router |
|
Public services |
Firewall |
Firewall |
Public services |
|
LAN |
LAN |
a) Простое включение МЭ |
б) Подключение МЭ с вынесением |
|
общедоступных серверов |
Рис. 6.8. Варианты постановки МЭ в сеть
Наиболее простым является решение, при котором межсетевой экран просто экранирует локальную сеть от глобальной (6.8а). При этом публичные сервисы (Public services: WWW, FTP, e-mail) оказываются защищены межсетевым экраном. Требуется уделить много внимания на предотвращение проникновения на защищаемые станции локальной сети при помощи средств легкодоступных публичных серверов.
Для предотвращения доступа в локальную сеть, используя ресурсы публичных серверов, рекомендуется общедоступные серверы подключать перед межсетевым экраном,
так как показано на рисунке 6.8б. Данный способ обладает более высокой защищенностью локальной сети, но низким уровнем защищенности общедоступных серверов.
214
215
Экскурс в технологию WWW. WWW представляет собой клиент-серверную технологию, основанную на прикладном протоколе HTTP. В нем имеется два вида сообщений: запросы от клиента к серверу и ответы сервера клиенту. Для передачи сообщений используется протокол TCP, стандартный порт HTTP-сервера – 80.
Очевидно, что не все информационные ресурсы WWW могут быть открыты для всеобщего просмотра. Для того чтобы ограничить доступ к какому-либо ресурсу,
используется аутентификация клиента, т.е. клиент должен предоставить имя пользователя и пароль, прежде чем его пароль будет обслужен HTTP-сервером.
Почтовый сервис (e-mail) использует протоколы: SMPT (Simple Mail Transfer Protocol)
и POP3 (Post Office Protocol).
Главной целью протокола SMTP служит надежная и эффективная доставка электронных почтовых сообщений. SMTP является довольно независимой системой и требует только надежного канала связи. Средой для SMTP может служить отдельная локальная сеть,
система сетей или весь Internet.
SMTP базируется на следующей модели коммуникаций: в ответ на запрос пользователя почтовая программа-отправитель устанавливает двухстороннюю связь с программой-приемником (TCP, порт 25). Получателем может быть оконечный или промежуточный адресат. SMTP-команды генерируются отправителем и посылаются получателю. На каждую команду должен быть отправлен и получен отклик.
В некоторых небольших узлах Internet бывает непрактично поддерживать систему передачи сообщений MTS (Message Transport System). Рабочая станция может не иметь достаточных ресурсов для обеспечения непрерывной работы SMTP-сервера. Для “домашних ЭВМ” слишком дорого поддерживать связь с Internet круглые сутки.
POP3 обеспечивает доступ к электронной почте малых узлов и индивидуальных ЭВМ.
Этот протокол обеспечивает доступ узла к базовому почтовому серверу. POP3 получает и стирает почтовые сообщения. Когда пользователь ЭВМ-клиента хочет послать сообщение, он устанавливает SMTP связь с почтовым сервером непосредственно и посылает все, что нужно через него. При этом ЭВМ POP3-сервер не обязательно является почтовым сервером. В
исходный момент ЭВМ POP3-сервер прослушивает TCP-порт 110. Если ЭВМ-клиент хочет воспользоваться услугами POP3-сервера, то устанавливает с ним TCP связь. По установлении связи POP3-сервер посылает клиенту уведомление и сессия переходит в фазу авторизации.
После этого может производиться обмен командами и откликами.
Преследуя своей целью защитить активы внутренней сети организации, а так же не загружать firewall – поставим экран после публичных сервисов.
215
216
Система защиты информации на уровне “периметра”, кроме межсетевого экрана,
включает в себя такие защитные средства (Security services):
автоматизированное рабочее место администратора,
антивирусный шлюз,
сервер аудита безопасности системы,
средства адаптивного управления безопасностью ANS (Adaptive Network Security) и
обнаружения атак IDS (Intrusion Detection System),
средства проверки почты,
и др.
В качестве внутреннего сервиса выступает сервис распределенных баз данных.
Разбивка сети на сегменты достигается за счет коммутатора (Switch), посредствам которого так же осуществляется доступ/запрет:
из одного локального сегмента в другой,
из внутренней сети к внутренним сервисам (например, к распределенной базе данных предприятия),
из внутренней сети к публичным сервисам,
из внутренней сети в Internet.
Благодаря коммутатору можно задавать любую политику безопасности.
Описанная структура информационной сети организации представлена на рисунке 6.9.
216
217
Internet
Modem
Router
Public services
Web Server
|
|
Hub |
|
|
|
|
Mail Server |
|
|
|
|
|
|
|
|||
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
FTP Server |
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
……… |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Security services |
|
|
||||||
(Firewall, IDS,… ) |
|
|
||||||
Other services
IDS |
|
|
|
Switch |
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
Segment 1
Segment 2
………
Segment N
Рис. 6.9. Модель безопасности информационной сети предприятия
6.6.Типовая политика безопасности предприятия малого и среднего бизнеса – комплект документов и инструкций
Для модели безопасности информационной сети предприятия, представленной в предыдущем пункте (рисунок 6.9) необходимо предоставить:
Типовую политику безопасности.
Типовые документы и инструкции.
Основные средства, методы и элементы информационной защиты.
6.6.1. Типовая политика безопасности
Типовая политика безопасности разработана для организации, имеющей выход в
Internet и обладающая ресурсами, к которым необходим доступ из Internet.
217
218
Сетевая безопасность
Доступ из Internet в корпоративную сеть компании:
Доступ во внутреннюю сеть извне запрещен.
Доступ к межсетевому экрану извне запрещен.
Доступ к следующим сервисам: антивирусному шлюзу, серверу аудита безопасности системы, средствам адаптивного управления безопасностью и обнаружения атак, средствам проверки почты доступ извне запрещен.
Доступ к WWW, FTP, e-mail сервисам извне разрешен по следующим правилам.
Для WWW сервиса:
доступ извне разрешен всем только к 80 порту,
доступ администратора WWW-сервера разрешен только из сегмента административного управления при прохождении процедуры аутентификации/идентификации на firewall.
Для e-mail сервера:
разрешен доступ из внутренней сети компании к РОР3-сервису через 110 порт,
разрешен доступ из внутренней сети компании к SMTP-сервису через 25 порт.
Межсетевой экран:
Firewall администрируется только локально с автоматизированного рабочего места администратора сети (процедура администрирования возможна при прохождении аутентификации/идентификации пользователем (администратором)). Регулярно ставятся и обновляются антивирусные программы и необходимые патчи, поддерживается максимально безопасная конфигурация операционной системы.
Средства адаптивного управления безопасностью:
Система анализа защищенности (Internet Scanner) администрируется локально с автоматизированного рабочего места администратора сети. Анализ всесторонних и/или выборочных тестов операционных систем, используемого прикладного ПО, маршрутизатора,
межсетевого экрана, всех серверов и т.д., производится администратором безопасности регулярно (раз в неделю).
Система обнаружения атак IDS служащая для автоматической реконфигурации межсетевого экрана в случае обнаружения атак. Сервис контролирует весь входящий трафик из сети Internet.
Средства протоколирования:
Ведутся специальные файлы.
218
219
на межсетевом экране ведется запись в лог-файл обо всех обращениях и попытках связи (удачных и нет) из корпоративной сети и в корпоративную сеть,
система обнаружения атак запоминает все атаки и подозрительные активности (так же в лог-файле),
на Web-сервисе храниться информация обо всех посетителях (лог-файл),
администратор безопасности должен вести файл, содержащий информацию обо всех изменениях и попытках изменить информацию в лог-файлах предыдущих сервисов.
Коммутатор (Switch):
разрешен доступ из всех сегментов сети к Internet без ограничений,
доступ из сетей пользователей в сети администраторов (управления, безопасности)
запрещен.
Локальная безопасность
Локальная безопасность направлена на защиту каждого компьютера сети.
Антивирусный контроль:
Антивирусный контроль на всех рабочих станциях.
Защита от НСД:
Необходимо поставить систему защиты от НСД, которая должна контролировать и разграничивать доступ к каждой рабочей станции и серверу. Система должна быть:
при загрузке идентификация простого пользователя должна производиться при помощи при помощи пароля,
блокировать доступ в setup всех рабочих станций и серверов всем пользователям кроме администратора,
блокировать компьютер, в случае если пользователь покинул свое место.
Криптографическая защита данных:
Сотрудники компании должны сохранять информацию начиная с уровня “строго конфиденциально» (см. п.6.2) на специальном криптодиске.
Защита персональным firewall:
Все рабочие станции должны быть защищены персональным firewall (реализованным программно).
Резервирование данных Обязательным является резервирование пользователями важных данных на
персональных компьютерах на внутреннем сервере данных компании.
Протоколирование доступа:
219
220
При локальном доступе пользователя к рабочей станции (администратора к серверам)
ведется лог-файл его посещений (протоколируются все удачные и неудачные попытки входа в систему).
Физическая безопасность
Все сервисы безопасности и данных должны находится в отдельном помещении,
доступ в которое разрешен только администраторам (у которых есть ключ или магнитная карта к этой комнате).
Необходимо введение отдельной должности администратора безопасности, все изменения в системах ИТ – администратор и администратор безопасности будут делать в паре
(пароль разбит на две части: по одному сегменту на специалиста).
Помещение должно быть оборудовано принудительной вентиляцией и пожарной защитой (полуавтоматической или автоматической), возможно, видео наблюдением за действиями администраторов.
Необходимо контролировать поток служащих и посетителей компании (либо по специальным пропускам, либо по магнитным картам).
6.6.2. Типовые документы и инструкции
В соответствии с рекомендациями Британского стандарта BS 7799:1995 включим в документ, характеризующий политику безопасности организации, следующие разделы:
1 Вводный раздел.
2 Организационный раздел.
3Классификационный.
4Штатный раздел.
5Раздел инструкций и требований по обеспечению внутренней информационной безопасности компании.
Соответствие четырех уровневой модели обеспечения безопасности информационной сети предприятия. Первые три раздела соответствуют административному уровню защиты информации, четвертый раздел – процедурному уровню, а программно-техническому уровню соответствует пятый раздел документов.
Ранее говорилось, что ПБ состоит из двух (трех) уровней, чем больше предприятие,
тем сложнее структура политики. Для малого и среднего бизнеса достаточно привести двухуровневую структуру политики безопасности, назовем условно верхний уровень
220