Додатковий конспект
.pdfЭтапы построения КСЗИ
В процессе построения комплексной системы защиты сначала производится
инвентаризация всех информационных ресурсов. Каждый ресурс и его владелец должны быть четко идентифицированы и задокументированы. Далее выполняют классификацию ресурсов и по ее результатам присваивают грифы секретности выходным данным. Примерами могут служить печатные отчеты, выводимая на экраны дисплеев информация, хранимые на магнитных носителях (лентах, дисках, кассетах) данные, электронные сообщения и передаваемые файлы. Эта процедура необходима, поскольку, во-первых, не все ресурсы требуют защиты (некоторые, наоборот, нужно предоставлять в публичное использование), а, во-вторых, если пытаться обезопасить все ресурсы, то на это не хватит никаких сил и ресурсов. Поэтому для защиты самой важной информации следует применять и более надежные и, скорее всего, более дорогостоящие средства, чем для менее важной. После классификации информации необходимо определиться, от чего мы будем ее защищать, т. е. построить так называемую модель угроз. С точки зрения безопасности информации компьютерная система рассматривается как совокупность функциональных услуг. В свою очередь, каждая услуга представляет собой набор функций, которые позволяют противостоять определенному множеству угроз. Это могут быть: угрозы конфиденциальности (связанные с несанкционированным ознакомлением с информацией), угрозы целостности (относящиеся к несанкционированной модификации или уничтожению информации), угрозы доступности (относятся к нарушению возможности использования компьютерных систем или обрабатываемой информации) и угрозы наблюдательности (связанные с нарушением идентификации и контролем за действиями пользователей, управляемостью компьютерной системой).
Угрозы могут быть природного, технического или человеческого характера. Первые (стихийные бедствия, наводнения, пожары и т. д.) приносят самый ощутимый ущерб, обезопаситься от них сложнее всего, но и вероятность их возникновения невелика. Довольно большой вред наносят угрозы технического характера (аварии, сбои, отказы оборудования и средств вычислительной техники). Для защиты от них применяют различные механизмы дублирования систем и их компонентов. «Человеческие» угрозы – необязательно преднамеренные действия нарушителей: к данной категории принадлежат и просчеты при проектировании и разработке компонентов системы, ошибки эксплуатации, развитие технологий (совершенствование методов написания вирусов и средств взлома), а также непреднамеренные действия. Например, уборщица со шваброй, моющая пол в серверной, может представлять не меньшую угрозу, чем опытный хакер.
Применительно к людям строится модель нарушителя, т. е. определяются все возможные их типы с подробной характеристикой. Нарушителями могут быть, например, профессионалы, хулиганы, сотрудники предприятия и т. д. Наиболее опасными являются профессионалы, так как они специально готовятся (возможно, государством) и имеют все необходимые технические средства для
осуществления несанкционированного доступа, и сотрудники предприятия, поскольку они обладают определенной информацией об организации системы обеспечения безопасности и уже имеют хотя бы минимальные права доступа к ресурсам организации. В случае определенной мотивации таких сотрудников и предоставления им технических средств взлома они могут нанести довольно значительный ущерб (бывают и обиженные сотрудники, которые уже имеют мотивацию для выполнения противоправных действий). И только после создания модели нарушителя определяются требования к системе защиты и осуществляется выбор необходимых мер.
Когда система защиты информации построена, проводится постоянный контроль ее целостности, анализ состояния и уточнение требований к выбранным средствам. Если для обычных сетевых администраторов фраза «хороший админ – спящий админ» является справедливой, то для администраторов, отвечающих за информационную безопасность, она не подходит. Информационная система является динамичной, внешние и внутренние условия все время изменяются. Не постоянна и структура организации – в ней создаются новые отделы и подразделения, информационные службы (базы данных, Web-службы), приходят
иувольняются сотрудники, осуществляется переезд из одних помещений в другие
ит. д. Изменяется и циркулирующая в системе информация, а также политика компании в области обеспечения ее безопасности. И под все эти изменения необходимо постоянно подстраивать систему информационной защиты. Безопасность – это процесс.
Еще один важный момент создания системы защиты информации – оценка правильности ее построения и соответствие так называемым критериям гарантии. Существуют определенные методики, позволяющие определить правильность построения такой системы, но проводить аудит собственными силами крайне сложно, это по определению должна делать третья сторона, иначе в системе могут остаться бреши.
Анужно ли вообще защищать наши информационные системы? Применение тех или иных организационных или технических средств зависит не от типа пользователя (домашний или корпоративный, большая компания или маленькая), а от стоимости защищаемой информации, т. е. от потерь, которые он понесет в случае сбоя одной или нескольких функций защиты – нарушения конфиденциальности, целостности или доступности данных. Как правило, чем крупнее компания, тем больше у нее конфиденциальной информации и тем серьезнее возможные потери. Но и обычный пользователь – например, руководитель той же компании – на своем домашнем компьютере иногда содержит информацию, утечка которой обойдется очень дорого. Поэтому его компьютер и линии связи должны быть защищены не хуже, чем корпоративная сеть.
Не имеет смысла тратить на средства защиты больше, чем стоит сама информация. Но оценка ее стоимости – одна из наиболее сложных задач при построении систем информационной безопасности. Если в системе планируется прохождение информации, порядок обработки и защиты которой
регламентируется законами Украины или другими нормативно-правовыми актами (например, составляющей государственную тайну), то для ее обработки в системе необходимо иметь разрешение соответствующего уполномоченного государственного органа. Основанием для выдачи такого разрешения является заключение экспертизы системы, т. е. проверки соответствия реализованной КСЗИ установленным нормам.
КСЗИ – понятие отечественное, и регулируется оно отечественными законодательными актами. В международной практике вместо термина «информационная безопасность» все чаще используют термин «управление рисками» и ориентируются на стандарт ISO 17799.
Ближе к практике
Так как же все-таки защищать информационные системы? Существует довольно много каналов утечки информации. По физическим признакам их можно разделить на следующие группы: акустические (включая вибрационные и акустопреобразовательные), визуально-оптические (наблюдение, фотографирование), электромагнитные (в том числе магнитные, электрические и параметрические), материально-вещественные (бумага, фото, магнитные носители, отходы), компьютерный метод съема (вирусы, закладки, логические бомбы), перехват при передаче по каналам связи.
Часть задач обеспечения безопасности можно решить при помощи физических средств защиты: надежные серверные, несгораемые шкафы, средства ограничения доступа в помещения, контроль за использованием устройств хранения и ввода/вывода информации (магнитные и оптические накопители, порты ввода/вывода на компьютерном и коммуникационном оборудовании), за печатающей и копировальной техникой, пожарная и охранная сигнализация, средства видеонаблюдения.
Из всего этого многообразия рассмотрим подробно способы защиты от компьютерного метода съема и от перехвата при передаче по каналам связи. Если говорить о технических средствах защиты, то их целесообразно разбить на несколько групп в зависимости от точки приложения: средства защиты периметра сети, обеспечения безопасных соединений и обеспечения безопасности в локальных и беспроводных сетях.
Защита периметра
Для защиты периметра сети применяются устройства, называемые межсетевыми экранами. Существует несколько поколений таких устройств.
Первое – экраны с пакетной фильтрацией (Packet Filtering Gateways), которые работают на сетевом и транспортном уровне модели OSI и, как правило, анализируют следующие поля пакетов: IP-адрес источника и назначения, номер протокола, порт (TCP, UDP) источника и назначения. Они имеют хорошую масштабируемость и производительность, но обеспечивают не очень высокий уровень безопасности. На сегодняшний день практически все маршрутизаторы и большинство коммутаторов третьего уровня обладают функциональными возможностями экранов с пакетной фильтрацией.
Второе поколение – экраны уровня соединения (Circuit Level Gateways).
Эти устройства работают на сетевом, транспортном и сеансовом уровнях и анализируют большее число полей: IP-адрес источника и назначения, номер протокола, порт (TCP, UDP) источника и назначения, информацию о последовательности и состоянии соединения (устанавливается, установлено, завершается), т. е. флаги пакетов. Главное их отличие от предыдущих в том, что экраны уровня соединения ведут так называемую таблицу соединений (session state table), в которую заносят информацию об установленных сессиях и удаляют ее из таблицы только при их завершении. Благодаря такому алгоритму работы обеспечивается гораздо более высокий уровень безопасности – устройства оперируют не только информацией, содержащейся в анализируемом пакете, а и «знают», что происходило раньше. Такие экраны, например, позволяют запретить установку соединения со стороны публичных сетей в сторону локальных и создать динамические правила для прохождения пакетов из Интернета в локальную сеть, если сессия была инициирована именно из нее. С их помощью можно защититься от некоторых атак, использующих подмену адресов, и атак типа «отказ в обслуживании» (Denial of Service – DoS). Производительность экранов уровня соединения практически такая же, как и устройств с пакетной фильтрацией.
Третье поколение – экраны уровня приложений (Application Level Gateways), которые могут отслеживать корректность работы протоколов данного уровня, например, блокировать определенные команды, терминировать сессию в случае неправильного порядка команд. Для протоколов, использующих динамические порты (FTP, SIP, H.323), устройства могут создавать динамические правила для открытия соответствующих портов. Они могут блокировать загрузку определенных файлов или типов файлов, ограничивать доступ к определенным Web-ресурсам, блокировать Java, апплеты ActiveX, Cookies. Экраны уровня приложений, как правило, не выпускаются в виде самостоятельных устройств или отдельного ПО, а являются службами в межсетевых экранах с полной пакетной проверкой (Statefull Packet Inspections – SPI).
Экраны с полной пакетной проверкой дают возможность анализировать пакеты на всех уровнях модели OSI. К этому типу относится большинство выпускаемых сегодня устройств, однако это не означает, что они могут анализировать все протоколы уровня приложений. Самые дешевые из них умеют работать только с протоколом HTTP, более продвинутые поддерживают большее количество протоколов (как правило, еще и FTP, SMTP, POP3, IMAP4). Наиболее функциональные модели могут работать с VoIP-протоколами (такими как SIP, H.323, MGCP, SCCP) и некоторыми другими протоколами уровня приложений. Поэтому при выборе устройств не следует особо обращать внимание на термин SPI, так как он практически ни о чем не говорит. Необходимо детализировать характеристики устройств, перечень поддерживаемых функций, технологий и протоколов, а также такой немаловажный параметр, как производительность.
Рис. 1. Прозрачные межсетевые экраны инспектируют сессии, установленные между вн
Рис. 2. Межсетевые экраны-посредники устанавливают сессию с хостом-источником, хосту назначения
Экраны уровня соединения и уровня приложения бывают двух типов: прозрачные (transparent) и посредники (proxy). Прозрачные межсетевые экраны инспектируют сессии, установленные между внешними и внутренними хостами (рис.1). Межсетевые экраны-посредники устанавливают сессию с хостомисточником, а потом от его имени – сессию к хосту назначения (рис. 2). Такие устройства обеспечивают более высокий уровень безопасности, поскольку усложняется реализация атаки, т. е. атакуется сразу не конечный хост, а брандмауэр-посредник. Однако их недостаток – невысокое быстродействие.
Имеются как программные, так и аппаратные реализации межсетевых экранов. Первые представляют собой ПО, функционирующее на универсальной аппаратной платформе (обычные серверы или ПК) поверх открытой операционной системы (открытой для разработчиков ПО – Windows, UNIX, Mac и т. д.). Какой экран выбрать, программный или аппаратный? При разработке программных решений существует меньше различных технологических ограничений, к этому процессу привлекается, как правило, меньшее количество разработчиков, и соответственно, их стоимость зачастую ниже. То же самое справедливо и для межсетевых экранов – программные реализации по сравнению с аналогичными по функциональным возможностям аппаратными ощутимо дешевле. При этом программные решения оказываются гибче: в будущем к ним проще добавить дополнительные функции или исправить допущенные ранее ошибки. Казалось бы, что еще нужно? Дешевле, функциональнее, гибче. Почему же тогда существует настолько большой рынок аппаратных устройств, а объемы их продаж превышают таковые программных продуктов? Однако не все так просто.
Во-первых, для конечного пользователя программная реализация может оказаться дороже, чем аппаратная, ведь законченное решение включает в себя стоимость не только ПО межсетевого экрана, а и ОС, поверх которой работает брандмауэр, аппаратной платформы, производительность которой должна быть
гораздо выше, чем в случае аппаратного решения, а иногда и дополнительного ПО – баз данных, в которых могут храниться логи, различные интерпретаторы и др. Свободно распространяемые бесплатные межсетевые экраны практически не востребованы компаниями (по данным различных агентств, их применяют лишь 3–5% организаций). Низкий процент использования обусловлен главным образом проблемами с поддержкой, что очень важно для данного класса продуктов, а в некоторых случаях – и качеством такого ПО. Во-вторых, программные решения обладают еще целым рядом недостатков, и основным из них является то, что их взлом или обход можно произвести не напрямую, а через уязвимости операционной системы, поверх которой они работают. Кроме того, надежность программных решений ниже, поскольку они работают на универсальных аппаратных платформах, содержащих множество компонентов и механических элементов. Программные межсетевые экраны требуют более высокого уровня квалификации обслуживающего персонала: необходимо правильно настроить не только сам экран, но и ОС и другое вспомогательное ПО, что нередко бывает значительно сложнее. Некоторые программные межсетевые экраны даже не продаются без предоставления платных услуг по их настройке. Их обслуживание требует больших затрат, так как нужно постоянно отслеживать уязвимости и устанавливать заплатки не только в специализированном ПО, а и в операционных системах, в которых их гораздо больше. Кроме того, возможны некоторые проблемы с совместимостью между программным обеспечением, особенно после установки дополнительных заплаток. Правила допуска персонала в помещение, в котором установлен программный межсетевой экран, должны быть более строгими, ведь к универсальной аппаратной платформе можно произвести подключение различными путями. Это и внешние порты (USB, LPT, RS-232), и встроенные приводы (CD, Floppy), а, вскрыв платформу, можно подключиться через дисковый интерфейс (IDE, SATA или SCSI). При этом открытая операционная система позволяет без проблем установить различные вредоносные программы. И, наконец, универсальная аппаратная платформа имеет большую потребляемую мощность, что негативно сказывается на времени ее работы от источника бесперебойного питания в случае исчезновения электроэнергии.
Споры о предпочтительности программных или аппаратных решений ведутся давно, но любые технические средства – это лишь инструмент в руках тех, кто их эксплуатирует. И чаще всего проблемы с безопасностью возникают изза невнимательности или низкой квалификации ответственных за это лиц, а не выбора той или иной платформы. Опытный сетевой администратор может из программного экрана сделать решение не хуже, а то и лучше, чем аппаратное. Вопрос в том, что таких специалистов не так уж много. Мало того, некоторые из известных производителей аппаратных межсетевых экранов используют в своих устройствах программные решения других компаний. В данном случае производитель аппаратного решения как раз и берет на себя те проблемы, которые присущи программным продуктам, т. е. подбирает специализированную аппаратную платформу, устанавливает и конфигурирует ОС и ПО межсетевого экрана. В качестве примера можно привести устройства от Nokia и Nortel
Networks, в которых используются программные продукты компании Check Point. Аппаратные экраны конструктивно могут быть реализованы в виде отдельного устройства, а также как модуль или программная служба маршрутизатора или коммутатора.
Рис. 3. В простейшем случае межсетевой экран устанавливается между корпор контролирует проходящий через него трафик
Рис. 4. При установке двух межсетевых экранов между ними выделяется так называема
Рис. 5. Демилитаризованных зон может быть несколько
Итак, межсетевые экраны предназначены для защиты периметра сети, и соответственно должны устанавливаться на ее границе таким образом, чтобы весь трафик, циркулирующий между сетями, проходил через них. Существует довольно много различных топологий установки устройств, рассмотрим лишь основные. Простейший из них представлен на рис. 3: экран располагается между корпоративной и публичной сетями и контролирует проходящий через него трафик. Еще один вариант – установка двух межсетевых экранов и выделение между ними так называемой демилитаризованной зоны (DMZ, рис. 4). Таких зон может быть несколько (рис. 5).
Как правило, для организации демилитаризованных зон используют не несколько устройств, а реализуют их на одном, применяя для каждой различные физические или логические интерфейсы экрана. Предпочтительнее именно физические интерфейсы – в этом случае трафик из разных зон не будет проходить по одним и тем же физическим линиям связи.
DMZ – это зона с пониженным уровнем доверия, т. е. кроме нее обязательно есть еще две: зона внутренней локальной сети (с самым высоким уровнем доверия) и зона внешней публичной сети (c самым низким уровнем доверия).
Демилитаризованных зон может быть больше двух. Это зависит от структуры каждой конкретной компании. Очень часто выделяются отдельные зоны для работы с партнерами, например, одна – для доступа локальных пользователей к Интернету, другая – для размещения в ней публичных ресурсов,
третья – для работы с партнерами. Размещать такую базу в локальной сети опасно, все-таки партнер – это не часть собственной структуры и доверия к нему гораздо меньше. Но и оставлять ее в зонах, к которым есть доступ из Интернета, тоже опасно, поэтому такие ресурсы размещают в отдельных зонах.
При правильной реализации межсетевой экран может обеспечить довольно высокий уровень безопасности, однако следует помнить, что данные устройства не защищают от вирусов и «троянских» программ. Межсетевые экраны, даже работающие на уровне приложений, не просматривают содержимое пакета (поле данных), они анализируют только служебные поля. И если сессия HTTP, FTP, SMTP или другого протокола уровня приложений протекает нормально, то она не будет заблокирована, но в полях данных пакетов, передаваемых в пределах этих сессий, может находиться вредоносное содержимое. Поскольку межсетевой экран устанавливается на периметре, он не защищает и от атак, реализованных из локальной сети. Для защиты от вышеперечисленных угроз применяются устройства, называемые системами обнаружения вторжений (Intrusion Detection System – IDS).
Как защищают данные украинские предприятия?
Для небольших компаний веским аргументом при выборе средств сетевой безопасности является невысокая совокупная стоимость владения ими, а для крупных – общий эффект от решения, сроки его внедрения и качество услуг системного интегратора.
Следует также подчеркнуть, что понимание угроз информации у компаний отличается. Для банков основная опасность заключается в несанкционированном вмешательстве в базы данных финансовых транзакций, для заводов – в хищении конфиденциальной конструкторской и технологической документации, а для интернет-провайдеров главное – обеспечить работоспособность и доступность каналов.
Исходя из этих предпосылок компании и выбирают системы безопасности. Их базовый уровень образуют брандмауэры и антивирусы. Маленькие фирмы часто ими и ограничиваются, стараясь максимально использовать средства защиты операционных и прикладных систем и сетевого оборудования. Банки докупают решения по мониторингу и контролю целостности данных и доступа к ним, компании сферы связи внедряют системы обнаружения атак и мониторинга сетей, а государственные организации – централизованные средства управления безопасностью и контроля действий администраторов.
В целом число проектов, в которых безопасность значится одним из главных условий, неуклонно растет. Мы всегда подчеркиваем, что это не дополнительная опция к корпоративным системам, а их обязательная характеристика. Согласно стандарту ITIL, процесс обеспечения безопасности не может быть вычленен из информационной системы. В комплексных проектах нашей компании аспект защиты данных учитывается всегда, даже если он не был явно прописан в первоначальных требованиях.
Основные затраты заказчиков комплексных решений, как правило, приходятся на специальное ПО. На втором месте – услуги по внедрению проекта,
а затраты на аппаратную часть занимают только третью позицию. К сожалению, у многих IT-директоров, особенно в государственных организациях, сложилось стереотипное мнение, что аппаратное решение – это надежно, а программное – нет. Однако нужно отметить, что программный код включают любые средства защиты, и от того, на чем он выполняется, – на специализированных микросхемах или универсальной серверной платформе, – надежность не зависит.
Комплексные системы сетевой безопасности больше востребованы в корпоративном сегменте, реже – в государственных учреждениях. Такие организации не только внедряют отдельные решения, но и объединяют их в комплексы, получая возможности мониторинга событий и реагирования на них. Компании из сегментов SOHO и SMB, как правило, решают частные задачи: защищают периметр сети и ее отдельные ресурсы (это позволяют делать антивирусы и брандмауэры), внедряют средства аутентификации на сетевых устройствах (включая работающие на базе технологий 802.1x) и т. д.
Вообще тема безопасности хранения и передачи информации в компьютерных сетях весьма многогранна. Здесь можно говорить о нескольких уровнях: от административных вопросов доступа посторонних к узловым точкам коммутации до очень узких, связанных с сетевым дизайном, выбором протоколов и приложений, взаимосвязью бизнес-процессов с информационными потоками, определением уровней доступа и средств контроля.
Отмечу, что количество компаний, называющих задачу обеспечения безопасности своих информационных систем в числе первоочередных, все возрастает (хотя при проектировании корпоративных систем требования к защищенности данных учитываются всегда). Однако есть организации, которые обращаются за помощью только после того, как начинаются проблемы.
Как показывает практика, наибольшим спросом пользуются комплексные аппаратно-программные системы, поэтому утверждать, что аппаратные средства имеют преимущество над программными, нельзя – одним решением невозможно полностью удовлетворить потребности заказчика. Так что вопрос выбора технологии больше зависит от средств, выделяемых на защиту информации. К тому же далеко не всегда есть возможность решить поставленную задачу с помощью систем защиты от одного производителя. Мы предлагаем решения в виде комплекса, независимо от того, какие продукты он включает.
Специфика нашей компании предполагает обслуживание главным образом крупных корпоративных заказчиков и государственных структур. Они действительно с каждым годом уделяют проблеме безопасности все больше внимания, и все проекты, осуществляемые «Квазар-Микро», в той или иной степени касаются вопросов ее обеспечения (защита логического и физического доступа, катастрофоустойчивость информационной системы и пр.). Другой вопрос, что вкладывает в понятие безопасности сам заказчик. И здесь мы часто сталкиваемся с трудными ситуациями, поскольку уровень зрелости ITспециалистов госпредприятий и среднего бизнеса, как правило, невысок.
Проблему вложений в специализированные средства защиты нужно рассматривать в количественном и финансовом выражении. Если принимать во
внимание число одиночных продаж, то на каждые три реализованных программно-аппаратных комплекса приходится четыре «чистых» программных решения. А вот по стоимости программно-аппаратные средства превалируют над программными в соотношении пять к одному. Хотя, покупая любой комплекс защиты, бо2льшую часть денег заказчик тратит на поддержку именно программной составляющей. Причем никакой отраслевой специфики в этом вопросе не просматривается, поэтому приведенные данные, по моему мнению, характеризуют общее состояние рынка средств защиты информации.
Безопасность в локальных сетях
Прежде чем перейти к рассмотрению способов обеспечения безопасности в локальных сетях, обратимся к статистическим данным. Ежегодно ФБР и Институт компьютерной безопасности США проводят совместные исследования и собирают статистические данные на тему информационной безопасности. Один из вопросов, задаваемых респондентам, звучит так: «Какое количество инцидентов, связанных с безопасностью, зафиксировано в вашей организации? Какое их количество вызвано внешними нарушителями, а какое внутренними?». Согласно отчету за 2004 г., число внутренних и внешних инцидентов практически одинаково, т. е. из локальной сети атаки реализуются не реже, чем снаружи, а следовательно, и защищать ее необходимо не меньше.
Рис. 6. Настораживает количество затруднившихся ответить, что с точки зрения и хуже, чем если бы респондент сказал, что у него произошло более 100 инциденто система информационной безопасности построена абсолютно неправильно, т. е. слу знает, что происходит в организации
Аналогичное исследование в том же году попыталась провести и Российская компания InfoWatch. Его результаты (рис. 6) заметно отличаются от данных западных исследований, причем очень сильно настораживает количество затруднившихся ответить, что с точки зрения информационной безопасности еще хуже, чем если бы респондент сказал, что у него произошло более 100 инцидентов. Это свидетельствует о том, что система информационной безопасности построена абсолютно неправильно, т. е. служба безопасности совершенно не знает, что происходит в организации.
Более-менее четкий ответ смогли дать лишь 6% респондентов, из которых 99% затруднились оценить нанесенный ущерб в денежном выражении по причине отсутствия системы учета или нежелания терять время. 26% опрошенных заявили об отсутствии подобных инцидентов, однако уточняющий вопрос о возможности существования неучтенных утечек выявил почти 100%-ную латентность: такие случаи наверняка имеют место, но остаются неучтенными или намеренно не фиксируются по различным причинам.