Защита информации в гетерогенных сетях

Любая компания, ведущая успешный бизнес, не может не использовать в своей деятельности информационные технологии. Информация, доверяемая технике, зачастую во много раз дороже самой техники, поэтому в современном деловом мире большое внимание уделяется защите информации

Информационные системы (ИС) компаний почти всегда построены на основе программных аппаратных продуктов различных производителей. Дело в том, что на данный момент нет ни одной компании-разработчика, которая бы предоставила потребителю полный перечень средств (от аппаратных до программных) для построения современной ИС. Чтобы обеспечить в разнородной ИС надежную защиту информации требуются высококвалифицированные специалисты, которые будут отвечать за безопасность каждого компонента ИС: правильно их настроят, постоянно будут отслеживать происходящие изменения, устанавливать "заплатки" на найденные в системе бреши, контролировать работу пользователей. Очевидно, что чем разнороднее информационная система, тем сложнее обеспечить ее безопасность.
Еще одна негативная сторона использования программных и аппаратных продуктов различных производителей - это разнородность журналов регистрации событий. Каждая из используемых систем регистрирует в своем журнале сведения, относящиеся к внутренним механизмам ее функционирования: коммуникационное оборудование регистрирует сведения о подключениях по конкретным IP-адресам и портам, ОС-о доступе к некоторым объектам ОС (файлам, каталогам и т.д.). Кроме того, в силу различного именования пользователей в разных системах и различной степени подробности регистрируемых событий получить представление о действиях того или иного сотрудника в ИС компании трудно. Поэтому сотрудники службы защиты информации, чтобы получить единую картину реального положения дел и оценить исполнение требований безопасности, вынуждены собирать и обобщать данные о состоянии различных подсистем. Естественно, что в таких условиях трудно обеспечить оперативное реагирование на происходящие в системе изменения.
Каким должно быть решение?
Итак, можно сделать вывод, что идеальное средство защиты информации, которое позволит успешно реализовать политику безопасности организации, должно быть независимым от используемых ОС и прикладных систем и иметь централизованное управление. Кроме того, система регистрации событий, происходящих в ИС (события НСД, изменение привилегий пользователей и т.д.), должна быть единой и позволять администратору составить полную картину происходящих в ИС изменений. В качестве средства, позволяющего постро­ить систему информационной безопасности организации в гетерогенной сети, рассмотрим разработку научно-инженерного предприятия "Информзащита" - систему защиты информации Secret Net.
Что такое SecretNet
Система защиты информации Secret Net является программно-аппаратным комплексом и предназначена для решения следующих задач:
•защита корпоративных ресурсов компании от доступа к ним посторонних лиц с помощью собственных защитных механизмов и встроенных возможностей ОС;
• централизованное управление информационной безопасностью в гетерогенных сетях;
• контроль действий сотрудников в ИС организации и оперативное реагирование на факты и попытки НСД.
Система Secret Net сертифицирована Гостехкомиссией России по 3-му классу защищенности для СВТ.
Рассмотрим, как данный продукт преодолевает перечисленные проблемы.
Многоплатформенность
Система Secret Net позволяет сотруднику службы безопасности со своего АРМ управлять всем спектром защитных механизмов клиентов Secret Net и встроенными возможностями ОС. При этом управление происходит в едином стиле независимо от платформы, на которых установлены клиенты. В этом направлении специалисты НИП "Информзащита" работают уже достаточно давно и достигли успехов. В настоящее время Secret Net позволяет обеспечить защиту рабочих станций и серверов сети, работающих под управлением операционных систем Windows'9x (Windows 95, Windows 98 и их модификаций), Windows NT 4.0, UNIX. На очереди Windows 2000 и другие распространенные ОС. Журналы регистрации и система отчетов не зависят от используемых клиентами Secre Net операционных систем. Администратор безопасности имеет возможность получать обобщенные или детальные отчеты о конфигурации АРМ и серверов сети, настройках защитных механизмов, правах доступа пользователей к корпоративным ресурсам и т.д. Информация обо всех событиях, имеющих отношение к безопасности информационной системы, поступает в реальном режиме времени.
Механизм управления и контроля
Система управления информационной безопасностью в Secret Net оперирует терминами реальной предметной области (например: "сотрудник", "задача", "компьютер", "помещение" и т.д.), что делает процесс управления удобным и понятным. Для упрощения процесса управления полномочиями пользователей и настройками режимов работы компьютеров используется специальный механизм шаблонов. Шаблон представляет собой некоторый набор привилегий и настроек, характерных для тех или иных пользователей. Создав шаблон, соответствующий какой-либо категории сотрудников, администратор может добавлять в ИС пользователей, которым будут присваиваться свойства, заданные этим шаблоном. Что касается контроля работы пользователей, то Secret Net немедленно оповещает администратора о попытках НСД, позволяет без ведома пользователя подключиться к его компьютеру в режиме эмуляции терминала, перехватить управление рабочей станцией, выключить, перезагрузить компьютер или блокировать работу пользователя. Если владелец информационной системы намерен построить систему информационной безопасности и избежать проблем, связанных с гетерогенностью сети, то он должен ориентироваться на продукты, которые специально создавались с целью преодоления "подводных камней" подобного рода. Однако на пути выбора средства управления безопасностью его ожидает сюрприз - на рынке программных продуктов такого рода нет конкуренции.

Информационная безопасность в интранет
В интранет-системах для организации и обеспечения информационного обмена используется подход клиент-сервер, главная роль в котором отводится Web-серви­су. Web-серверы должны поддерживать традиционные защитные средства, напри­мер, такие, как аутентификация и разграничение доступа. Кроме того, необходимо обеспечение новых свойств в особенности безопасности программной среды и на серверной и на клиентской сторонах

Формирование режима информационной безопасности - проблема комплексная. Меры по ее решению можно разделить на четыре уровня:
1) законодательный (законы, нормативные акты, стандарты и т.п.);
2) административный (действия общего характера, предпринимаемые руководством организации);
3) процедурный (меры безопасности, имеющие дело с людьми);
4) программно-технический (технические меры).
Законодательный уровень
В настоящее время наиболее подробным законодательным документом в области информационной безопасности является новая редакция Уголовного кодекса РФ, вступившая в силу в мае 1996 г. Уголовный кодекс стоит на страже всех аспектов информационной безопасности - доступности, целостности, конфиденциальности, предусматривая наказания за "уничтожение, блокирование, модификацию и копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети".
Кроме этого в рамках серии документов Гостехкомиссии подготовлен руководящий документ, устанавливающий классификацию межсетевых экранов (firewalls, или брандмауэров) по уровню обеспечения защищенности от несанкционированного доступа НСД). Это принципиально важный документ, позволяющий упорядочить использование защитных средств, необходимых для реализации технологии интранет.
Разработка сетевых аспектов политики безопасности
Политика безопасности определяется как совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. При разработке и проведении ее в жизнь целесообразно руководствоваться следующими принципами:
• невозможность миновать защитные средства;
• усиление самого слабого звена;
• невозможность перехода в небезопасное состояние;
• минимизация привилегий;
• разделение обязанностей;
• эшелонированность обороны;
• разнообразие защитных средств;
•простота и управляемость информационной системы;
•обеспечение всеобщей поддержки мер
безопасности.
Принцип невозможности перехода в небезо­пасное состояние означает, что при любых обстоятельствах, в том числе нештатных, защитное средство либо полностью выполняет свои функции, либо полностью блокирует доступ. Принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей.
Принцип разделения обязанностей предпола­гает такое распределение ролей и ответственности, при котором один человек не может на­рушить критически важный для организации процесс. Это особенно важно, чтобы предот­вратить злонамеренные или неквалифицированные действия системного администратора. Принцип эшелонированности обороны предписывает не полагаться на один защитный рубеж, каким бы надежным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией - управление доступом и как последний рубеж -протоколирование и аудит. Эшелонированная оборона способна, по крайней мере, задержать злоумышленника, а наличие такого рубежа, как протоколирование и аудит, существенно затрудняет незаметное выполнение злоумышленных действий. Принцип разнообразия защитных средств рекомендует организовывать различные по своему характеру оборонительные рубежи, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками (например, умением преодолевать высокую ограду и знанием слабостей нескольких операционных систем). Очень важен принцип простоты и управляемости информационной системой в целом и защитных средств в особенности. Только для простого защитного средства можно формально или неформально доказать его корректность. В этой связи важно отметить интегрирующую роль Web-сервиса, скрывающего разнообразие обслуживаемых объектов и предоставляющего единый, наглядный интерфейс. Соответственно, если объекты некоторого вида (скажем, таблицы базы данных) доступны через Web, необходимо заблокировать прямой доступ к ним, поскольку в противном случае система будет сложной и трудноуправляемой.
Всеобщая поддержка мер безопасности
Последний принцип - всеобщая поддержка мер безопасности - носит нетехнический ха­рактер Анализ рисков - важнейший этап выработки политики безопасности. При оценке рисков, которым подвержены интранет-системы, нужно учитывать следующие обстоятельства: •новые угрозы по отношению к старым сервисам, вытекающие из возможности пассивного или активного прослушивания сети. Пассивное прослушивание означает чтение сетевого трафика, а активное - его изменение (кражу, дублирование или модификацию передаваемых данных). Например, аутентификация удаленного клиента с помощью пароля многократного использования не может считаться надежной в сетевой среде, независимо от длины пароля;
• новые (сетевые) сервисы и ассоциированные с ними угрозы.
Процедурные меры
В общем и целом интранет-технология не предъявляет каких-либо специфических требований к мерам процедурного уровня. На наш взгляд, отдельного рассмотрения заслу­живают лишь два обстоятельства:
1) описание должностей, связанных с определением, наполнением и поддержанием корпоративной гипертекстовой структуры официальных документов;
2) поддержка жизненного цикла информации, наполняющей интранет. При описании должностей целесообразно исходить из аналогии между интранет и издательством. В издательстве существует директор, определяющий общую направленность деятельности. В интранет ему соответствует Web-администратор, решающий, какая корпоративная информация должна присутствовать на Web-сервере и как следует структурировать дерево (точнее, граф) HTML-документов. В многопрофильных издательствах существуют редакции, занимающиеся конкретными направлениями (математические книги, книги для детей и т.п.). Аналогично этому, в интранет целесообразно выделить должность публикатора, ведающего появлением документов отдельных подразделений и определяющего перечень и характер публикаций. У каждой книги есть редактор, отвечающий перед издательством за свою работу. В интранет редакторы занимаются вставкой документов в корпоративное дерево, их коррекцией и удалением. В больших организациях "слой" публикатор/редактор может состоять из нескольких уровней.
Наконец, и в издательстве, и в интранет должны быть авторы, создающие документы. Подчеркнем, что они не должны иметь прав на модификацию корпоративного дерева и отдельных документов. Их дело - передать свой труд редактору.
Управление доступом путем фильтрации информации
Отметим, что бороться с угрозами, присущими сетевой среде, средствами универсальных операционных систем (ОС) не представляется возможным. Универсальная ОС - это огромная программа, наверняка содержащая помимо явных ошибок некоторые особенности, которые могут быть использованы для получения нелегальных привилегий. Современная технология программирования не позволяет сделать столь большие программы безопасными. Кроме того, администратор, имеющий дело со сложной системой, далеко не всегда в состоянии учесть все последствия производимых изменений. Наконец, в универсальной многопользовательской системе бреши в обеспечении безопасности постоянно создаются самими пользователями (слабые и/или редко изменяемые пароли, неудачно установленные права доступа, оставленный без присмотра терминал ит.п.).
Единственный перспективный путь - разработка специализированных защитных средств, которые в силу своей простоты допускают формальную или неформальную верификацию. Межсетевой экран как раз и является таким средством, допускающим дальнейшую декомпозицию, связанную с обслуживанием различных сетевых протоколов.
Межсетевой экран как средство контроля информационных потоков
Межсетевой экран - это полупроницаемая мембрана, которая располагается между защищаемой (внутренней) сетью и внешней средой (внешними сетями или другими сегментами корпоративной сети) и контролирует все информационные потоки во внутреннюю сеть и из нее (рис. 2). Контроль информационных потоков состоит в их фильтрации, то есть в выборочном пропускании через экран, возможно, с выполнением некоторых преобразований и извещением отправителя о том, что его данным в пропуске отказано. Фильтрация осуществляется на основе набора правил, предварительно загруженных в экран и являющихся выражением сетевых аспектов политики безопасности организации.
Целесообразно разделить случаи, когда экран устанавливается на границе с внешней (обычно общедоступной) сетью или на границе между сегментами одной корпоративной сети. Соответственно мы будет говорить о внешнем и внутреннем межсетевых экранах. Как правило, при общении с внешними сетями используется исключительно семейство протоколов TCP/IP. Поэтому внешний межсетевой экран должен учитывать специфику этих протоколов. Для внутренних экранов ситуация сложнее: здесь следует принимать во внимание помимо TCP/IP по крайней мере протоколы SPX/IPX, применяемые в сетях Novell NetWare. Иными словами, от внутренних экранов нередко требуется многопрото-кольность.
Ситуация, когда корпоративная сеть содержит лишь один внешний канал, является скорее исключением, чем правилом. Напротив, типична ситуация, при которой корпоратив­ная сеть состоит из нескольких территориально разнесенных сегментов, каждый из которых подключен к сети общего пользования (рис. 3). В этом случае каждое подключение должно защищаться своим экраном. При рассмотрении любого вопроса, касающе­гося сетевых технологий, основой служит семиуровневая эталонная модель ISO/OSI. Межсетевые экраны также целесообразно классифицировать по тому, на каком уровне производится фильтрация - канальном, сетевом, транспортном или прикладном. Соответственно можно говорить об экранирующих концентраторах (уровень 2), маршрутизаторах (уровень 3), о транспортном экранировании (уровень 4) и о прикладных экранах (уровень 7). Существуют также комплексные экраны, анализирующие информацию на нескольких уровнях,
При принятии решения "пропустить/не пропустить", межсетевые экраны могут использовать не только информацию, содержащуюся в фильтруемых потоках, но и данные, получен­ные из окружения, например текущее время.
Экранирующая подсеть
Возможности межсетевого экрана непосредственно определяются тем, какая информация может использоваться в правилах фильтрации и какова может быть мощность наборов пра­вил. Вообще говоря, чем выше уровень в модели ISO/OSI, на котором функционирует эк­ран, тем более содержательная информация ему доступна и, следовательно, тем тоньше и надежнее экран может быть сконфигурирован. В то же время фильтрация на каждом из пере­численных выше уровней обладает своими достоинствами, такими, как дешевизна, высокая эффективность или прозрачность для пользо­вателей. В силу этой, а также некоторых других причин в большинстве случаев используются смешанные конфигурации, в которых объединены разнотипные экраны. Наиболее типичным является сочетание экранирующих маршрутизаторов и прикладного экрана. Приведенная конфигурация называется экранирующей подсетью. Как правило, сервисы, которые организация предоставляет для внешнего применения (например, "представительский" Web-сервер), целесообразно выносить как раз в экранирующую подсеть.
Простота применения и собственная защита
Помимо выразительных возможностей и допустимого количества правил качество межсетевого экрана определяется еще двумя очень важными характеристиками - простотой применения и собственной защищенностью. В плане простоты использования первостепенное значение имеют наглядный интерфейс при задании правил фильтрации и возможность централизованного администрирования составных конфигураций, В свою очередь в последнем аспекте хотелось бы выделить средства централизованной загрузки правил фильтрации и проверки набора правил на непротиворечивость. Важен и централизованный сбор и анализ регистрационной информации, а также получение сигналов о попытках выполнения действий, запрещенных политикой безопасности. Собственная защищенность межсетевого экрана обеспечивается теми же средствами, что и защищенность универсальных систем. При выполнении централизованного администрирования следует еще позаботиться о защите информации от пассивного и активного прослушивания сети, то есть обеспечить ее целостность и конфиденциальность. Хотелось бы подчеркнуть, что природа экранирования (фильтрации) как механизма безопасности, очень глубока. Помимо блокирования потоков данных, нарушающих политику безопасности, межсетевой экран может скрывать информацию о защищаемой сети, тем самым затрудняя действия потенциальных злоумышленников. Так, прикладной экран может осуществлять действия от имени субъектов внутренней сети, в результате чего из внешней сети кажется, что имеет место взаимодействие исключительно с межсетевым экраном (рис. 4). При таком подходе топология внутренней сети скрыта от внешних пользователей, поэтому задача злоумышленника существенно усложняется.

Внимание, отключите Adblock

Вы посетили наш сайт со включенным блокировщиком рекламы!
Ссылка для скачивания станет доступной сразу после отключения Adblock!

Скачать полную версию