Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей

Размещено на http://www.allbest.ru/

Рецензенты: Доц. Института криптографии, и связи и информатики академии ФСБ России В.Г.Проскурин;

Зав.кафедрой «Информатика и информационная безопасность»

Петербургского государственного университета путей сообщения, проф., д-р тех. Наук А.А.Корниенко

Платонов В.В.

П375 Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей : учеб. Пособие для студ. Высш. Учеб. Заведений В.В. Платонов. - М.: Издательский центр «Академия», 2006.

Рассмотрены удаленные сетевые атаки и организация защиты от них. Изложены методы описания атак, их классификация и основные тенденции развития. Описаны основные технологии межсетевых экранов, вопросы их оценки и тестирования. Проанализированы методы построения систем обнаружения вторжений, их разновидности и перспективы. Рассмотрены проблемы защиты при организации удаленного доступа, принципа потроения функционирования виртуальных ведомственных сетей (VPN ) а также основные отечественные средства для их построения. Для студентов высших учебных заведений.

УДК 51-3(075.8)

ББК 32.81я73

Образовательно - издательский центр «Академия», 2006

Оформление. Издательский центр «Академия», 2006

Введение

Я пришел к выводу, что наилучшим экспертом в области безопасности являются люди, исследующие несовершенства в безопасности защитных мер.

Б. Шнайдер. Секреты и ложь

Современный мир невозможно представить без средств коммуникаций и вычислительной техники, в которых главенствующую роль играет программное обеспечение. Информационные технологии прогрессируют очень быстро, охватывая все более широкие области человеческой деятельности. Поэтому безопасность информационных технологий является одним из важнейших аспектов и функционирования.

Коммуникации и информационные технологии слились воедино. Во многом этому способствовало использование сети Интернет, которая стала глобальной и всеобщей средой коммуникации. Стеку протоколов TCP/IP, разработанному более 30 лет назад несмотря на его недостатки, удалось покорить весь мир. Рост числа компьютеров и компьютерных сетей, все более широкое использование сетевых технологий и технологии Интернета, не только значительно расширили географию пользователей, их возможности и общение друг с другом, но и увеличили возможность реализации сетевых бизнес-процессов. Организации, компании и рядовые пользователи получили возможность использовать технологию Интернета в своей повседневной деятельности. Этому способствует развитие существенных служб и появление новых, востребованных миовым сообществом. Кроме увеличивающихся возможностей использование интернет-технологий значительно увеличился риск и потери репутации и просто финансовые потери. Во многом это обусловлено тем, что изначально технологии Интернета не были предназначены для обеспечения безопасности функционирования, кроме того, первые пользователи Интернета главной задачей считали обеспечение возможности надежной связи друг с другом.

Статистика показывает, что с каждым годом растет финансовый ущерб, наносимый компьютерными преступниками. Рост числа пользователей, недостатки в программном обеспечении пользователей, наличие свободного доступа к зловредным программам, также практическая ненаказуемость совершения проступков привели к тому, что организациям, компаниям и рядовых пользователям приходится уделять внимание и время обеспечению защиты.

Современные распределенные компьютерные системы не могут быть защищены только использованием организационных мер и средств физической защиты. Для безопасности функционирования информационных технологий необходимо использовать механизмы и средства сетевой защиты, которые обеспечивают конфиденциальность, целостность и доступность компьютерных систем, программного обеспечения и данных.

В последнее время сформировался рынок средств обеспечения информационной безопасности, все большее число разных организаций подключается к решению насущных задач обеспечения защиты. Решение этих задач осложняется рядом причин. Среди них необходимо отметить следующее: отсутствие единой технологии обеспечения защиты, использование, как правило, программных средств зарубежных производителей, высокую стоимость качественных средств защиты, реализованных программными, аппаратными и программно - аппаратными методами. Количество изданий и статей, посвященных различным вопросам обеспечения информационной безопасности, увеличивается с каждым годом.

В настоящем учебном пособии рассмотрены, основный технологии, используемые при построении систем защиты корпоративных сетей. «Безопасность - это процесс, а не продукт»,- отметил Б.Шнайер в своей книге «Секреты и ложь», эпиграфами из которой сопровождается каждая глава.

Учебное пособие состоит из 5 глав.

В 1 главе рассмотрены проблемы обеспечения безопасности межсетевого взаимодействия, приводится системная классификация угроз. Изложены основные вопросы обеспечения информационной беопасности и обобщенная схема управления безопасностью, вопросы построения политикибезопасности организации существующие шаблоны политик. Для сетевой политики безопаности рассмотрены сетевые периметры организации и элементы построения эшелонированной защиты. В качестве одной из важнейших задач управления информационной безопасностью рассмотрен подход к управлению рисками, включая вопросы оценки

Риска и методику его уменьшения. Изложены основные понятия аудита и его значение в обеспечении информационной безопасности.

Во 2 главе рассмотрена основная угроза межсетевого взаимодействия - удаленные сетевых атак. Приведены элементы терминологии и рассмотрены примеры некоторых атак. Основное внимание уделено существующим подходам и классификации атак и рассмотрено построение онтологии удаленных сетевых атак. Приведен подход и примеры оценивания степени серьезности атак.

В 3 главе рассмотрены основные этапы становления технологий межсетевых экранов. Технологии проиллюстрированы примерами списков контроля доступа для марщрутизаторов компании Cisco. Приведены методы обхода межсетевых экранов, а также основные подходы к тестированию экранов.

В 4 главе рассмотрены системы обнаружения вторжений, приводится их классификация. Основное внимание уделено анализу перспективных подходов к обнаружению, использующих технологии исскуственного интеллекта. Рассмотрены методы обхода систем обнаружения вторжений и существующие методики тестирования систем обнаружения, подходы к построению систем предотвращения вторжений.

В 5 главе рассмотрены общие вопросы туннелирония и принципы построения виртуальных частных сетей. Проанализированы основные протоколы организации виртуальных частей сетей на канальном, сетевом и транспортном уровнях.

Глава 1. Обеспечение безопасности межсетевого взаимодействия

В век Интернета понятия компьютерной безопасности и безопасности сетей практически слились. Б. Шнайдер. Секреты и ложь.

Современные вычислительные сет организаций представляющие собой сложные системы, состоящие из множества компонентов. Среди этого множества компонентов можно выделить разнообразные компьютеры, системное и прикладное программное обеспечение (ПО) этих компьютеров, сетевые адаптеры, концентраторы, коммутаторы, маршрутизаторы и соединительные (кабельные) системы. Широкое использование Интернета и интернет - технологий привело к качественному изменению вычислительных сетей. Если раннее Интернет использовался в основном в качестве среды передачи, то в настоящее время Интернет становится не только средством интерактивного взаимодействия людей, но и средством ведения деловых операций организаций, реальным средством проведения бизнес - операций.

Популярность IP - технологий объясняется их объективными достоинствами. К яислу таких достоинств можно отнести относительную простоту основополагающих принцыпов технологии. Одним из таких принципов является открытость, что выражается свободным обсуждением, исследованием и тестированием новых протоколов TCP/IP в рамках не только рабочих групп комитета Internet Engineering Task Force(IETF), но и всемирного сообщетсва. Разрабатываемые и предлагаемые стандарты и спецификации доступны практически всем пользователям Интернет. Открытость технологии позволяет обеспечить относительно простую интеграцию в IP - сет и других технологий, что значительно увеличивает области применения Интернета.

Другим достоинством IP - технологий является масштабируемость, которая была заложена уже при разработке Интернета. Иерархически организованный стек TCP/IP позволяет наращивать сети организаций в достаточно больших пределах.

Эти и друге достоинства обеспечили на настоящий момент широкое применение к успеху Интернета, оказались чрезвычайно и для внутренних сетей организаций - сетей интранет (intranet).

Корпоративная сеть (интранет) - это сеть а уровне компании, в которой используется программные средств, основанные на стеке протоколов TCP/IP.

Под экстранет - сетями понимается интранет - сеть, подключённая к Интернету, т.е. это сеть типа интранет, но санкционирующая доступ к ее ресурсам определенной категории пользователей, наделенной соответствующими полномочиями.

Поскольку в дальнейшем будут рассматриваться средства защиты, то и все сети представляются как локальные сети,подключонные к Интернету. При этом рассмотрение не важно, используется ли в данной сети Web - технология, поэтому далее будем называть такие сети корпоративными.

Главные особенности корпоративных сетей - глобальность связей, масштабность и гетерогенность - представляют и повышенную опасность для выполнения ими своих функциональных задач. Поскольку протоколы семейства TCP/IP разработаны достаточно давно, когда проблема безопасности ещё не стояла так остр, как сейчас, то они, в первую очередь, разрабатывались как функциональные и легко переносимые, что помогло распространится стеку TCP/IP на множество компьютерных платформ. Кроме того, в настоящее время при использовании Интернета в распоряжении злоумышленников появляются многочисленные средства и методы проникновения в корпоративные сети.

1.1 Основы сетевого и межсетевого взаимодействия

Под межсетевым взаимодействием понимается взаимодействие двух локальных сетей, пр котором они функционируют как самостоятельные единицы объединенной сети. Под взаимодействием сетей понимаются методы расширения, сегментации и обьединения локальных сетей таким образом, чтобы общая пропускная способность была как возможно выше. В качестве устройств межсетевого взаимодействия выступают повторители, мосты, коммутаторы, маршрутизаторы и шлюзы. Кроме того, под межсетевым взаимодействием понимается совокупность протоколов, которая позволяет организовать обмен данными между различными сетями. Одним из наиболее употребляемых наборов протоколов стало семейство протоколов TCP/IP, разработанное по заказу Министерства обороны США.

Протоколы TCP/IP были разработаны по инициативе Министерства обороны США для сети Arpanet - глобальной сети передачи пакетов, которая впервые была продемонстрирована в 1972 г.

Рис. 1.1 Уровневые структуры стеков протоколов

В настоящее время Arpalet является частью глобальной сети, известной как Интернет.

Громадное распространениеИнтернета привело к тому, что сетевой стек протоколов

TCP/IP стал практически основным при организации межсетевого взаимодействия. Разработанная в конце 70-х годов XX в. Совокупность протоколов опираясь на уровневую структуру, которая прослужила основой для последующих разработок модели Open System Interconnection (рис1.1).

Рис. 1.2 Число обнаруженных CERT уязвимостей

Рис. 1.3 Число зарегистрированных CERT инцидентов

Технология данного стека протоколов оказалась настолько удобной, что ее стали использовать не только для работы в Интернете, но и при организации работы в корпоративных сетях.

В связи с гигантским ростом численности хостов, подключенныхк Интернету, и ростом числа компаний, использующих технологию Интернета для ведения всоег бизнеса, значитель увеличилось число инцидентов, связанных с информационной безопасностью(ИБ). Данные CERT (Computer Emergency Response Team) показывает, что число обнаруженных уязвимостей(рис 1.2)и число зарезервированных инцидентов постоянно увеличивается(рис 1.3). В последующие годы число зарегистрированных инцидентов резко возросло, поэтому не опубликованы суммарные данные по числу зарегистрированных инцидентов за 2004 г.

Под уязвимостью (vulnerability ) информационной системы понимается любая характеристика, использование которой нарушителем может привести к реализации угрозы.

Угрозой (threat) информационной системы называется потенциальное возможное событие, действие, процесс или явление, которое может вызвать нанесение ущерба (морального, материального) ресурсам системы.

К настоящему времени известно большое количество разноплановых угроз различного происхождения, таящих в себе различную опасность для информации. Системная классификация угроз приведена в табл. 1.1.

Вид угроз - это основополагающий параметр, определяющий целевую направленность защиты информации.

Под случайным понимается такое происхождение угроз, которое обуславливается спонтанными и не зависящими от воли людей обстоятельствами, возникающими в системе обработки данных в процессе ее функционирования. Наиболее известными событиями данного плана являются отказы, сбои, ошибки, стихийные бедствия побочные влияния:

1) отказ - работоспособности какого - либо элемента системы, приводящее к невозможности выполнения им основных своих функций;

2) сбой - временное нарушение работоспособности какого - либо элемента системы, следствием чего может быть неправильное выполнение им в этот момент своей функции;

3) ошибка - неправильное выполнение элементом одной или нескольких функций, происходящее в следствии специфического(постоянного или временного)его состояния;

4) побочное влияние - негативное воздействие на систему в целом или отдельные ее элементы, оказываемое какими - либо явлениями, происходящими внутри системы или во внешней среде.

Преднамеренное прохождение угрозы обуславливается злоумышленными действиями людей, осуществляющими в целях реализации одного или нескольких видов угроз.

Отмечены две разновидности предпосылок угроз: объективные (количественная и качественная недостаточность элементов системы) и субъективные (деятельность разделительных служб, иностранных государств, промышленный шпионаж, деятельность криминальных и хулиганских элементов, злоумышленные действия сотрудников системы). Перечисленные разновидности предпосылок интерпретируются следующим образом:

1) Количественная недостаточность - физическая нехватка одного или нескольких элементов системы обработки данных, вызывающая нарушение технологического процесса обработки (или) перезагрузку имеющихся элементов;

2) Качественная недостаточность - несовершенство конструкции элементов системы, в силу чего могут появляется возможности для случайного или преднамеренного негативного воздействия на обрабатываемую или хранимую информацию;

3) Деятельность разведывательных служб иностранных государств - специально организуемая деятельность государственных органов, профессионально ориентируем на добывание необходимой информации всеми доступными способами и средствами;

4) Промышленный шпионаж - негласная деятельность организации (ее представителей) по добыванию информации всеми доступными способами и средствами;

5) Действия криминальных и хулиганствующих элементов - хищение информации или компьютерных программ в целях в целях наживы или их разрушение в интересах конкурентов;

6) Злоумышленные воздействия недобросовестных сотрудников - хищение (копирование) или уничтожение информационных массивов и (или) программ по эгоистическим или корыстным мотивам.

Источниками угроз являются люди, технические устройста, программы и алгоритмы, технические схемы обработки данных и внешняя среда:

1) Люди - персонал, пользователи и посторонние лица, которые могут взаимодействовать с ресурсами данными организации непосредственно с рабочих мест и удаленно, используя сетевое взаимодействие;

2) Технические средства - непосредственно связанные с обработкой, хранением и передачи информации(например, средств регистрации данных, средства ввода и т.д.), и вспомогательные (например, средства электропитания, кондиционирования и т.д.);

3) Модели, алгоритмы программы - это группу источников рассматривают как недостатки проектирования, реализации и конфигурации (эксплуатации) и называют недостатки программного обеспечения (общего назначения, прикладного вспомогательного);

4) Технологическая схема обработки данных - выделяют ручные, интерактивные, внутримашинные и технологические схемы обработки данных;

5) Внешняя среда - выделяют состояния среды (возможность пожаров, землятресений и т.д.), побочные шумы (особенно опасные при передаче данных) и побочные сигналы (например, электромагнитное излучение аппаратуры).

Основными принципами утечки информации является:

1) Несоблюдение персоналом норм, требований, правил эксплуатации;

2) Ошибки и проектирование системы защиты;

3) Введение противостоящей сторонней технической и агентурной разведок.

4) Несоблюдение персоналом норм, требований, правил эксплуатации может быть как умышленным так и непреднамеренным. От введения противостоящей стороной агентурной разведки этот случай отличает то, что в данном случае лицом, совершающие несанкционированные действия, двигают личные побудительные мотивы. Причины утечки информации достаточно тесно связаны с видами утечки информации. В соответствии с ГОСТ 50922-96 рассматриваются 3 вида утечки информации:

1) Разглашение;

2) Несанкционированный доступ к информации;

3) Получение защищаемой информации разведками (как отечественными так и иностранными).

Под разглашением информации понимается несанкционируемое доведение защищаемой информации до потребителей, не имеющих права доступа к защищаемой информации.

Под несанкционированным доступом понимается получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации. При этом заинтересованным субъектом, осуществляющий несанкционированный доступ к информации, может быть государство, юридиское лицо, групп физических лиц (в том числе общественная организация), отдельное физическое лицо.

Получение защищаемой информации разведками может осуществляться с помощью технических средств(техническая разведка) или агентируемыми методами (агентируемая разведка).

Канал утечки информации - совокупность источника информации, материального носителя или среды распространения несущую указанную информацию сигнала и средства выделения информации из сигнала или носителя, которое может располагается в пределах контролируемой зоны, охватывающей систему, ил вне ее.

Далее будем рассматривать только угрозы, связанные с межсетевыми взаимодействиями.

1.2 Информационная безопасность

Начиная с середины 90-х годов ХХ в. стало ясно, что Интернет может использоваться не только как альтернативный канал получения информации, но и как экономически оправданная альтернатива. Развитие компьютерной техники, средств телекоммуникаций, миниатюризация аппаратуры привели к развитию информационной инфраструктуры новое поколение. Конкуренция и высокая инвестиционная привлекательность обеспечили лавинообразный рост числа предприятий и организаций, использующих инфраструктуру и технологии Интернета как каналы получения информации, необходимой для экономической деятельности.

Под информационной безопасностью понимается защищенность информации поддерживающей инфраструктуры от случайных и преднамеренных воздействийестественного или искусственного характера, чреватых нанесение ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Вопросы обеспечения информационной безопасности исследуются в разных странах достаточно давно. В настоящее время сложилась общепринятая точка зрения на концептуальные основы ИБ. Суть ее заключается в том, что подход к обеспечению ИБ должен быть комплексным, сочетающим различные меры обеспечения безопасности на следующих уровнях:

1) Законодательный (законы, нормативные акты, стандарты);

2) Административный ( действия общего характера, предпринимаемые руководством организации);

3) Процедурный(меры безопасности, реализуемые персоналом);

4) Программно технический ( конкурентные технические меры).

При обеспечении ИБ существуют два аспекта: формальный - определение критериев, которым должны соответствовать защищенные информационные технологии определение конкретного комплекса мер безопасности пременительно к рассматриваемой информационной технологии.

Независимо от размеров организации и специфики ее информационной системы работы по обеспечению режима ИБ в том или ном виде должны включать в себя следующие этапы:

1) Определение политики ИБ;

2) Определение сферы (границ) системы управления информационной безопасностью и конкретизация целей ее создания;

3) Оценка рисков;

4) Управление рисками;

5) Выбор контрмер, по обеспечению ИБ;

6) Аудит системы управления ИБ.

7) Сущность системы информационной безопасности - защита объектов информации организации и бизнес- процессов, которые они поддерживают, в контексте:

1) Конфиденциальности - информация доступа только тем, кто авторизован для доступа;

2) Целостности - точность и полнота информации и методов обработки гарантирована;

3) Доступности - информация и ассоциативные объекты доступны по требованию авторизованных пользователей.

Международным сообществом установлено девять принципов обеспечения безопасности информационных систем и сетей:

1) Информированность - участники должны сознавать необходимость безопасности информационных систем и сетей и то, что можно сделать для усиления безопасности;

2) Ответственность - все участники ответственны за безопасность ИС и сетей;

3) Реагирование - участники должны действовать одновременно и совместно для защиты, обнаружения и реакции на инциденты безопасности4

4) Этика - участники должны соблюдать законные интересы друг друга;

5) Демократия (democracy) - безопасность информационных сетей должна быть совместима с главными целями демократического общества;

6) Оценка риска (risk assessment)- участники должны проводить оценку риска;

7) Планирование и применение безопасности (проектирование ) - участники должны включать механизм обеспечения безопасности в ИС и сети;

8) Управление безопасностью - участники должны использовать исчерпывающий подход к управлению безопасностью;

9) Переоценка (reassessment)- участники должны пересматривать и переоценивать безопасность ИС и сетей и проводить соответствующие модификации политики безопасности, практики, оценок и процедур.

Защита информационных объектов является важнейшей задачей организации. Управление рисками ИБ является интегральной частью процесса управления рисками организации. Схема управления ИБ приведена на рис 1.4.

Основополагающим элементом защиты является определение политики безопасности защищаемой системы.



Рис 1.4 Схема управления информационной безопасностью

1.3 Политика безопасности

Политика информационной безопасности (или политика безопасности) является планом высокого уровня, в котором описываются цели и задачи организации, а также мероприятия в сфере обеспечения безопасности. Политика описывает безопасность в обобщенных терминах без специфических деталей. Она обеспечивает планирование всей программы обеспечения безопасности. Политика информационной безопасности должна обеспечить защиту выполнения задач организации или защиту делового процесса.

Средствами обеспечения делового процесса (бизнес процессы ) являются аппаратные средства и программное обеспечение, которые должны быть охвачены политикой безопасности. Поэтому в качестве основной задачи необходимо предусмотреть полную инвентаризацию системы, включая карту сети. При составлении карты сети необходимо определит потоки информации в каждой системе. Схема информационных потоков может показать, насколько потоки информации обеспечивают бизнес - процессы, а также показать области, в которых важно обеспечить защиту информации, и принять дополнительные меры для обеспечения живучести. Кроме того, с помощью этой схемы можно определить места, в которых должна обрабатывается информация, как эта информация должна хранится, регистрировать, дублироваться, перемещаться и контролироваться.

Инвентаризация, кроме аппаратных и программных средств, должна охватывать и некомпьютерные ресурсы, такие как программная документация, документация на аппаратуру, технологическая документация и т.д. Эти документы могут содержать информацию относительно особенностей организации бизнеса, а также могут показать области, которые могут быть использованы нарушителями.

Определение политики ИБ сводится к следующим практическим шагам.

1) Определение используемых руководящих документов и стандартов в области ИБ, с также основных положений политики ИБ, в том числе:

- управление доступом к средставам и вычислительной техники (СВТ), программам и данным;

- антивирусную защиту;

- вопросы резервного копирования;

- проведение ремонтных и восстановительных работ;

- информирование об инцидентах и области ИБ.

2) Определение доходов к управлению рисками: является ли достаточным базовый уровень защищенности или требуется проводить полный вариант анализа рисков.

3) Определение требований к режиму информационной безопасности.

4) Структуризация контрмер по уровням.

5) Определение порядка сертификации на соответствие стандарта в области ИБ.

6) Определение периодичности проведения совершений по тематике ИБ на уровне руководства, включая периодический пересмотр положений политики ИБ, а также порядок обучения всех категорий пользователей информационной системы по вопросам ИБ.

Реальная политика безопасности организации может включать в себя следующие разделы:

- общие положения;

- политика управления паролями;

- идентификация пользователей;

- полномочия пользователей;

- защита информационных ресурсов организации от компьютерных вирусов;

- правила установки и контроля сетевых соединений;

- правила политики безопасности по работе с системой электронной почты;

- правила обеспечения безопасности информационных ресурсов;

- обязанности пользователей по выполнению правил ПБ и т.д.

Политика безопасности не должна быть «мертвым» документом. Правила должны изменятся и развивается по мере развития само организации, появления новых технологий, систем и проектов.



Рис 1.5 Жизненный цикл политики безопасности

Для этого необходимо периодически пересматривать правила. Одним из метода пересмотра политики безопасности, в частности, является аудит информационных систем. Поэтому можно говорить, что политика безопасности организации и, естественно, политика информационной безопасности имеет свой жизненный цыкл. Жзненный цикл политики безопасности приведен на рис.1.5.

Определенны сроков того, как часто надо пересматривать, правила не существует. Однако рекомендуется, чтобы этот срок составлял от 6 месяцев до 1 года.

После разработки и внедрения правил безопасности пользователи должны быть ознакомлены с требованиями ИБ, а персонал пройти соответствующее обучение. При возникновении инцидентов работа должна вестись в соответствии с разработанным планам.

1.3.1 Шаблоны политики безопасности

Политика безопасности организации - это документ, описывающий специфические требования или правила, которые должны выполнятся. В области информационной и сетевой безопасности политики обычно специфичны и области применения. Ведущие организации, занимающиеся вопросами обеспечения информационной безопасности, разработали шаблоны ПБ. Например, институт SANS (System Administration? Networking? And Security), разработал серию шаблонов различных ПБ.

В число этих шаблонов входят, например, следующие политики:

1) допустимая политика шифрования - определяют требования к криптографическим алгоритмам, используемые в организации;

2) допустимая политика использования - определяет использование компьютерных служб для защиты пользователей, ресурсов организации и собственно информации;

3) антивирусная защита- определяет основные принципы эффективного уменьшения угрозы компьютерных вирусов для сети организации;

4) политика оценки приобретений - определяет возможности покупок средств защиты организацией и определяет минимальные требования к оценке покупок, выполняемых группой информационной безопасности;

5) политика аудита сканирования уязвимостей - определяет требования и назначение ответственного для сопровождения аудита и оценки риска, чтобы удостоверится в целостности информационных ресурсов, исследовать инциденты, устанавливать соответствие политикам безопасности или проводить мониторинг пользовательской или системной активности;

6) политика автоматически передаваемой почты - документируемые требования того, что никакая почта не может быть автоматически перенаправлена внешнему источнику без соответствующей санкции менеджера или директора;

7) политика кодирования полномочий к базе данных (БД) - определяет требования для безопасного хранения и извлечения имен пользователей и пролей к БД.

8) политика доступа по телефонной линии - определяет соответствующий доступ и его использование автоматизированными персонами;

9) политика безопасности демилитаризованной зоны - определяет стандарты для всех сетей и оборудования, применяемых в лаборатории, расположенной в демилитаризованной зоне или во внешних сетевых сегментах.

10) политика критической информации - определяет требования к классификации и безопасности информации организации путем присвоения соответствующих уровней конфиденциальности;

11) политика защиты паролей - определяет стандарты создания, защиты и смены паролей;

12) политика удаленного доступа - определяет стандарты соединения с сетью организации из любого хоста или сети, являющихся внешними для организации;

13) политика оценки риска - определяет требование и назначает ответственного за идентификации, оценки и уменьшения риска информационной инфраструктуры организации, ассоциированной с сопровождением бизнеса;

14) политика безопасности маршрутизатора - определяет стандарты конфигурации минимальной безопасности для маршрутизаторов и коммутаторов внутри сети организации или используемых для работы;

15) политика безопасности сервера - определяет стандарты конфигурации минимальной безопасности для серверов внутри сети организации или используемых как продукция;

16) политика безопасности VPN - определяет требования для удаленного доступа IPSeс или L2TP VPN соединений с сетью организации;

17) политика беспроводных соединений - определяет стандарты для беспроводных систем, используемых для соединения с сетью организации.

Поэтому исходя из специфики построения и функционирования организации формируется соответствующий набор политик безопасности организации. Для обеспечения безопасности межсетевого взаимодействия особую роль играет сетевая политика безопасности.

1.3.2 Сетевая политика безопасности

При задании сетевой ПБ необходимо определить процедуры своей сети, ее содержимого и пользователей от ущерба и потерь. С этой точки зрения сетевая ПБ играет роль проведения в жизнь общей ПБ, определенной в организации. Сетевая ПБ концентрируется на контроле сетевого трафика и его использования. Она определяет сетевые ресурсы и угрозы, использование и возможности сети, а также детальные планы действия при нарушении ПБ.

При изменении сетевой ПБ необходимо стратегически реализовать защитные границы внутри своей сети. Эти стратегические границы называются сетевыми параметрами. Устанавливая уровни безопасности сетевых периметров, можно осуществлять множественный контроль безопасности сетевого трафика.

Для установления сетевых параметров необходимо определить защищаемые компьютеры и сети, а также определить защитные механизмы для них. Чтобы установить успешный периметр безопасности, межсетевой экран (МЭ) должен быть шлюзом для всех соединений между доверенными сетями, не доверенными и неизвестными. Каждая сеть может содержать множество внутренних параметров. Чтобы понять, каксетевые периметры располагаются относительно друг друга, рассмотрим два типа сетевых периметров: внешний и внутренний.

В простейшем случае сетевой периметр организации включает в себя внешний и внутренний параметры (рис 1.6).

Внешний сетевой периметр идентифицирует точку разделения между устройствами, которые контролируются, и теми, которые не контролируются. Обычно этой точкой, является маршрутизатора, который используется для разделения своей сети от сет провайдера Интернета.



Внутренний сетевой периметр представляет собой дополнительные границы, в которых размещаются другие механизмы безопасности, такие как МЭ и фильтрующие маршрутизаторы. В этом случае внешний и внутренний периметры определены расположением внешнего и Э между внутренним и внешним маршрутизатороми дает наибольшую дополнительную защиту от атак с обеих сторон, но значительно уменьшает трафик, который должен исследовать МЭ, так как ему нужно просматривать пакеты, циркулирующие во внутренней сети.

С точки зрения пользователей внешних сетей МЭ представляют собой все доступные компьютеры доверенной сети. Он определяет центральную точку, через которую должны проходить все соединения между двумя сетями.

Внешний сетевой периметр является наиболее небезопасной областью сетевой инфраструктуры организации. Обычно эта область предназначается для маршрутизаторов, МЭ и общедоступных интернет - серверов, таких как HTTP, FTP или e-mail/ поскольку к этой области легко получить доступ, она является наиболее часто атакуемой. Поэтому критические данные, предназначенные только для внутреннего использования, не должны расположатся во внешнем сетевом периметре.

Можно использовать множество внутренних МЭ для установки внутренних сетевых периметров (рис 1.7).

Использование внутренних межсетевых экранов позволяет ограничить доступ к совместно используемым внутренним ресурсам сети.

Доверенными сетями сети внутри сетевого периметра безопасности. Под доверенными сетями понимаются сети, над которыми специалисты организации имеют полный административный контроль. При установке МЭ необходимо точно идентифицировать типы сетей, которые присоединяются к МЭ посредством сетевых адаптеров. После начального конфигурирования доверенные сети включают МЭ и все сети позади него.

Недоверенными сетями являются сети, которые находятся вне установленного сетевого периметра. Они являются недоверенными, так как они вне контроля. При установке МЭ необходимо также точно определить недоверенные сети, от которых МЭ может допускать запросы.

Неизвестными сетями являются сети, которые не являются ни доверенными, ни недоверенными. Неизвестные сети существуют вне периметра безопасности.

Область внешнего сетевого периметра называют демилитаризованной зоной(Demilitarized Zone, DMZ). Демилитаризованная зона - по международному праву территория, на которой ликвидированы военные укрепления и сооружения, запрещено содержание вооруженных сил.

В русском языке есть более подходяще название - «нейтрализованная зона». Так как аббревиатура DMZ прижилась в Интернете и компьютерных публикациях, будем использовать ее.

Важной составной частью политики безопасности является сетевая политика безопасности или политика сетевого подключения. Политикой сетевого подключения должны быть определены настройки систем, которые допускается подключать к сети. Эта политика может включать в себя следующие разделы:

1) Описание процесса установки и настройки операционной системы (ОС) и приложений, а также их функциональных возможностей, которые разрешено использовать;

2) Местоположение в сети (физической подсети) систем определенного типа и процедура разрешения вопросов адресации в сети;

3) Требование об установке и регулярном обновлении антивирусного ПО;

4) Описание настройки прав пользователей и защиты ресурсов, обеспечивающих ОС;

5) Процедуры, которым необходимо следовать для создания новой учетной записи пользователя, и аналогичные процедуры для ее удаления;

6) Запрет на установку дополнительных аппаратных или программных компанентов без одобрения сетевого администратора.

1.3.3 Эшелонированная оборона

Под эшелонированной обороной (defense in depth) в современной компьютерной литературе понимается практическая стратегия достижения информационной гарантированности в сетевом оборудовании. Эта стратегия представляет собой баланс между свойствами защиты и стоимостью, производительностью и функциональными характеристиками.

Информационная гарантированность достигается, когда информация и информационные системы защищены от атак посредством применения служб безопасности, таких как доступность, целостность, аутентификация, конфиденциальность и неотказуемость. Приложение, реализующие эти службы, должны базироваться на парадигме - защита, обнаружение и реакция.

Достижение - информационной гарантированности с уровня организацией.

1) Персонал - достижение информационной гарантированности начинается с уровня управления организацией. Персонал управления должен ясно представлять себе возможности угрозы выполнения целевых задач организации. За этим должны следовать инвентаризация ресурсов, определение политики и процедур обеспечения информационной гарантированности, распределение ролей персонала и определение ответственности. Сюда же относятся процедуры физической защиты и меры безопасности персонала.

2) Технология- для того чтобы увериться, что достаточные технологи выбраны и правильно применены, необходимы разработка и внедрение эффективной политики и процедур обеспечения информационной гарантированности. Они должны включать в себя: политику безопасности, архитектуру и стандарты системного уровня, критерии выбора необходимых продуктов, специфику конфигурирования компонентов систем, а также процедуры оценки рисков.

3) Функциональные операции - данный аспект фокусируется на всей ежедневной деятельности, требуемой для поддержания безопасности организации. В состав таких функциональных операций могут входить, например, следующие операции: разработка, установка и поддержание политики безопасности, проверка и сертификация изменений в используемых информационных технологиях, управление установленными средствами обеспечения безопасности; контроль и реагирование на текущие угрозы; обнаружение атак и реакции на них; процедуры восстановления.

Стратегия эшелонированной обороны рекомендует применение следующих принципов информационной гарантированности для технологии:

1) Применение защиты во множественных местах. Поскольку злоумышленники могут атаковать систему из множества мест, организация должна применять защитные механизмы в различных точках, которые должны обеспечивать защиту сетей и инфраструктуры, защиту границ сети и территории, а также защиту компьютерного оборудования;

2) Применение уровневой защиты предполагает установку защитных механизмов между потенциальными злоумышленников и целью;

3) Определение устойчивости безопасности достигается оценкой защитных возможностей каждого компонента информационной гарантированности;

4) Применение инфраструктуры обнаружений атак и вторжений, использование методов и средств анализа и корреляции получаемых данной инфраструктурой результатов.

Концепция эшелонированной обороны в настоящее время является общепринятой, поэтому производители средств защиты реализуют ее выпуском целых линеек защитных средств, которые функционируют совместно и управляются, как правило, единым устройством управления.

1.4 Управление рисками

Одной из важнейших задач управления ИБ является управление рисками. Управление риском охватывает 3 процесса: оценку риска, уменьшение риска, применение результатов оценки. Управление риском есть процесс, который позволяет менеджерам информационных технологий осуществить баланс между операционной и экономической стоимостями защитных мер.

Управление рисками ИБ - итеративный процесс, который требует контроля и периодического пересмотра.

1.4.1 Основные понятия

Управление рисками использует понятийный аппарат, укоторый в настоящее время стандартизирован.

Ресурсы (assets) - это то, что организация ценит и зачет защитить. Ресурсы включают в себя информацию и поддержание средства, которые требуются организации для ведения бизнеса. Примерами ресурсов являются:

1) Информация т.е файлы с деталями платежей, звуковые записи, файлы и изображения, информация о продуктах, описание и планы;

2) Бумажные документы

3) Программное обеспечение

4) Физическое оборудование

5) Службы

6) Люди и их знания

7) Имидж и репутация организации.

Каждому ресурсу должно быть присвоено значение . значение ресурсов используются для идентификации соответствующей защиты и определение важности ресурсов для бизнеса. Значения могут быть выражены в терминах потенциального влияния на бизнес нежелательного события, приводящих к потере конфиденциальности, целостности, доступности. Потенциальное влияние может включать в себя финансовые потери, падение доходов.

Угроза -потенциальная причина нежелательного события, которое может нанести ущерб организации и ее субъектам. Угрозы могут быть естественными(наводнение, пожар, землетрясение) преднамеренными или случайными. Результатом реализации угроз являются:

1) Разрушение объекта(средств, данных, оборудования)

2) Повреждение или модификация объекта(данных, приложений)

3) Кража, удаление или потеря объекта(оборудования, данных, приложений)

4) Раскрытие объекта(данных)

5) Использование или внедрение нелегального объекта

6) Прерывание службы.

Уязвимость ( vulnerability) -слабость, ассоциирование с ресурсами организации. Уязвимость есть условие или множество условий, которые могут позволить угрозе воздействовать на объект.

Риск безопасности - возможность данной угрозы реализовать уязвимости для того, чтобы вызвать ущерб или разрушение ресурса, что прямо или косвенно воздействует на организацию. Уровень риска безопасности определяется комбинацией значений ресурсов, оцененных уровней соответствующих угроз и ассоциированных с ними уязвимостей.

Контроль безопасности - практика, процедуры и механизмы, которые могут защитить объекты от угроз, уменьшить влияние нежелательных событий.

1.4.2 Процесс оценки рисков

Оценка риска -основной процесс в методологии управления риском. Риск является функцией вероятности того, что данный источник угроз осуществит частную потенциальную уязвимость, и результирующего влияния нежелательного события на организацию.

Взаимоотношения между компонентами оценки риска представлены на рис. 1.8.

Для определения вероятности будущих нежелательных событий угрозы для ИТ системы должны быть рассмотрены вместе с потенциальными уязвимостями и привязаны к местоположению в ИТ системе. Влияние связано с величиной ущерба, который может быть вызван угрозой, реализующей уязвимость. Уровень влияния определяется потенциальными предназначениями влияния, и ему присваивается отдельное значение для ИТ ресурса и ресурсов, на которые оно воздействует.

Общая оценка риска включает в себя следующие шаги:

1) Характеристика системы;

2) Идентификация угроз;

3) Идентификация уязвимостей;

4) Анализ средств защиты;

5) Определение вероятностей;

6) Анализ влияния;

7) Определение риска;

8) Рекомендации по средствам защиты;

9) Результирующая документация.

Характеристика системы. Она включает в себя описание системы, системных компонентов, элементов системы, пользователей. В нее также включают расположение частей, организации, основные информационные потоки, классификацию информации и другую необходимую информацию, которая может использоваться на следующих шагах.

Идентификация угроз. Источник угроз - это или намеренное и методическое исследование цели в поисках уязвимостей, или ситуация и метод, которые случайно приводят к уязвимости.

Источник угроз определяет как любое обстоятельство или событие, которые потенциально могут нанести ущерб ИТ системе. рис (1.9).

Для определения системных уязвимостей рекомендуется использование источника угроз, результатов тестирования системой безопасности, разработку контрольного списка требования по безопасности.

Типы уязвимостей и методологии их определения обычно зависят от природы ИТ системы и фазы ее жизненного цикла:

1) Если ИТ система еще не спроецирована, то поиск уязвимостей концентрируется на организационной ПБ, планируемых процедурах безопасности, определение системных требований и анализе документов поставщиков продуктов безопасности;

2) Если ИТ система уже применяется, то идентификация должна быть расширена для включения дополнительной информации, например, как соответствие свойств безопасности, описанных в документации по безопасности, результатам сертификационных тестов и испытаний;

3) Если ИТ система функционирует, то процесс идентификации уязвимостей должен включать в себя анализ свойств безопасности ИТ системы контроля безопасности (технического и процедурного), используемого для защиты системы.



Источники и описание угроз.

Идентификация уязвимостей. Технические и нетехнические уязвимости, ассоциированные с оборудованием системы технологий сбора информации. Другими существенными источниками данных уязвимостям является Интернет. Часто в сети разработчиками публикуются известные системные уязвимости вместе со средствами их устранения.

Могут применятся и другие документированные источники, например:

1) Результаты предыдущих оценок риска;

2) Оценки аудита ИТ системы;

3) Списки уязвимостей;

4) Информационные бюллетени по безопасности;

5) Информационные бюллетени изготовителей;

6) Коммерческие компании;

7) Анализ безопасности системного ПО;

8) Тестирование системной безопасности.

Для оценки реального наличия уязвимостей могут применять методы тестирования, для идентификации системных уязвимостей в зависимости от критичности ИТ систем и доступных ресурсов. Методы тестирования включают в себя:

1) Средства автоматического сканирования уязвимостей;

2) Тесты и оценки безопасности;

3) Тесты на проникновение.

Средства автоматического сканирования уязвимостей используются для сканирования групп хостов или сети на известные уязвимые службы.

Необходимо заметить, что некоторые потенциальные уязвимости, определенные таким автоматическим средством, могут не представлять реальных уязвимостей в контексте реального системного оборудования организации.

Тестирование и оценка безопасности могут быть использованы для идентификации уязвимостей во время процесса оценки риска. Они включают в себя разработку и выполнение плана тестирования - протестировать эффективность контроля безопасности ИТ системе, как он применен в операционном оборудовании. Цель - удостоверится, что прикладной контроль удостоверяет спецификациями безопасности для ПО и аппаратуры. Кроме того, оценивается то, как прикладной контроль согласовывается с существующими требованиями.

Тесты на проникновение могут использоваться для оценки контроля безопасности и уверенности в том, что различные аспекты ИТ системы защищены. Тесты на проникновение могут использоваться для оценки способности ИТ системы противостоять попыткам нарушения системы безопасности для ПО и аппаратуры.

На основе анализа уязвимостей составляется список системных уязвимостей, которые могут быть вызваны потенциальными источниками угроз.

Анализ средств защиты целью этого шага является анализ применяемых или планируемых к применению средств защиты в организации для минимизации или устранения вероятности уязвимости, реализуемой источником угроз.

Определение вероятностей. Для получения общей политики и оценки вероятности, которая показывает вероятность того, что потенциальная уязвимость может быть реализована внутри конструкции ассоциированного с угрозой оборудования, могут быть рассмотрены следующие факторы:

1) Движущая сила и способность источника угроз;

2) Природа уязвимости;

3) Существование и эффективность текущего контроля.

Поскольку получение количественных данных вероятностей затруднено, обычно используются нечетки шкалы. Например вероятность того, что потенциальная уязвимость может быть реализована данным источником угроз, может быть описана как высокая, средняя и низкая.

Анализ влияния. При проведении анализа влиянии ценность состоит в определение нежелательно влияния успешной реализацией успешностей угрозами. Для этого необходимо получить следующею информацию:

1) Миссия системы;

2) Критичность системы и данных

3) Чувствительность системы и данных.

Определение риска. Назначение этого шага оценить уровень риска ИТ системы. Определение риска для частной пары угроза-уязвимость может быть выражена как функция:

1) От вероятности того, что данный источник угроз пытается реализовать данную уязвимость;

2) Величины влияния при удачной реализации источником угроз уязвимости;

3) Достаточности планируемого или существующего контроля для уменьшения или устранения риска.

Для измерения риска используются шкалы риска и матрица уровней риска. В матрице уровней риска окончательное определение задачи риска получается умножением уровней частоты (классов) вероятностей угроз на степень влияния угрозы.

Данная матрица(3*3) является матрицей оценок угроз (высокой , средней, низкой) и влияния угрозы (высокое, среднее, низкое). В зависимости от требований организации и числа градаций желаемой оценки риска можно использовать матрицы 4*4 или 5*5 . Например , в матрицу 5*5 могут быть добавлены следующие значения:

1) для вероятности угрозы - очень низкая, очень высокая;

2) для влияния угрозы - очень низкая, очень высокая.

Это позволит получить очень низкий и очень высокий уровни риска. Очень высокий уровень риска может требовать выключения системы или остановки всех интеграции ИТ системы.

Пример , приведенный в табл. 1.5, показывает, как получаются общие уровни риска.

Определение этих уровней риска или классов может быть в значительной степени субъективным. Логическое обоснование может быть проведено в терминах вероятностей, присвоенных каждому уровню идентификации угрозы, и присваению каждому уровню влияния. Например, присвоить вероятность для уровня угрозы высокий -1.0; для среднего - 0.5; для низкого - 0.1;. для значения влияния: для каждого высокого - 100; для среднего -504 для низкого - 10.

Матрица уровней (классов) рисков таблица 1.5

Рекомендации по средствам защиты. На основе матрицы уровней рисков выбираются средства защиты, которые могут уменьшить или устранить идентификационный риск. Целью этих рекомендаций является уменьшение уровня риска ИТ и ее данным до допустимого уровня. Рекомендации по средствам защиты являются результатом процента оценки риска и дают исходные данные для процесса уменьшения риска., во время которого оценивается процедурный и технический контроль безопасности, назначаются приоритеты и выполняются планы по закупке и внедрению различных средств.

Необходимо отметить, что все рекомендуемые методы контроля могут быть применены для уменьшения потерь. Для определенных конкретных мер, которые требуются соответствующей организации, применяется анализ затрат и результатов (cost/benefit analysis)/ данный анализ применяется для рекомендуемых средств защиты, чтобы продемонстрировать, что стоимость применения контроля может быть оправдана снижением уровня риска. Дополнительно должны быть учтены такие влияния рекомендуемых опций, как операционное влияние и осуществимость.

...