Проектирование системы безопасности автоматизированных систем обработки информации

· аудит и протоколирование в системном журнале событий, имеющих отношение к системе разграничения доступа;

· расширенные средства защиты, такие как шифрование и цифровая подпись сообщений;

· шифрование трафика между клиентом и сервером.

Административная консоль сервера Exchange является местом централизованного управления почтовым пространством организации. Из утилиты администрирования возможно выполнение таких функций как:

· создание, модификация и удаление объектов каталога;

· создание, настройка и удаление коннекторов;

· настройка синхронизации каталогов и репликации общих папок;

· контроль за состоянием серверов путем создания и запуска мониторов;

· установка степени подробности диагностических сообщений;

· трассировка сообщений;

· экспорт и импорт объектов каталога и адресных шаблонов;

· извлечение списков пользователей из базы учетных записей Windows NT Server и Netware для последующей модификации и экспорта с созданием почтовых ящиков;

· установка квот хранения на общие папки и почтовые ящики пользователей;

· контроль использования ресурсов сервера и очистка почтового ящика пользователя;

· перемещение почтовых ящиков пользователей между серверами площадки.

После исследования средств электронной почты решено было выбрать комплекс «Lotus Domino/Notes 6.0»:

· Lotus Domino 6.0 - серверная часть;

· Lotus Notes 6.0 - клиентская часть.

Интеграция с сервером Lotus Domino делает клиента обмена сообщениями и сотрудничества Notes одним из самых надежных среди доступных клиентов. Административные возможности комплекса «Lotus Domino/Notes 6.0», основанные на политиках, и централизованное управление настройками клиентов с сервера способствуют повышению продуктивности работы пользователей, работы с удобствами и сокращения затрат на администрирование.

3.5 ОРГАНИЗАЦИЯ ЗИ ОТ УГРОЗ ПОДКЛЮЧЕНИЯ К СЕТЯМ ОБЩЕГО ПОЛЬЗОВАНИЯ

При взаимодействии с сетями общего пользования и Internet возникают следующие угрозы ИБ:

· НСД к информации, хранящейся и обрабатываемой во внутренних ЛВС или на автономных ПЭВМ из сетей общего пользования, Internet и внутренних ЛВС;

· НСД к коммуникационному оборудованию (маршрутизатор, концентратор, мост, серверу, веб/прокси-сервер), соединяющему внутренние ЛВС ОИ с сетями общего пользования и Internet;

· НСД к данным (сообщениям), передаваемым между внутренними ЛВС и сетями общего пользования и Internet, включая их модификацию, имитацию и уничтожение;

· заражение ПО компьютерными «вирусами» из сети общего пользования и Internet как посредством приема «зараженных» файлов, так и посредством e-mail;

· внедрение программных закладок с целью получения НСД к информации, а также дезорганизации работы внутренней ЛВС и ее взаимодействия с сетями общего пользования и Internet;

· несанкционированная передача защищаемой конфиденциальной информации ЛВС в сеть общего пользования и Internet;

· возможность перехвата информации внутренней ЛВС за счет ПЭМИН от основных ТС, обрабатывающих такую информацию.

Маршрутизатор серии Cisco 1700 позволяет значительно снизить вероятность реализации большинства перечисленных угроз за счет организации виртуальных частных сетей с шифрованием трафика и функций межсетевого экрана.

Серия маршрутизаторов Cisco 1700 разработана для обеспечения потребностей ОИ в безопасном доступе к корпоративным сетям и сети Internet. Маршрутизаторы серии Cisco 1700 оптимизированы для передачи голоса и факсимильных сообщений и построения виртуальных частных сетей.

Маршрутизаторы серии Cisco 1700 могут иметь как фиксированную конфигурацию, так и модульную. Мощный RISC-процессор, гибкая модульная конструкция и встроенный порт Fast Ethernet 10/100 определяют пригодность устройств серии Cisco 1700 в качестве основы для построения виртуальных частных мультисервисных сетей и позволяют заказчику минимизировать затраты на установку, настройку и поддержку сети.

Основные возможности серии:

· поддержка полного спектра функций ПО Cisco IOSTM;

· встроенный порт Fast Ethernet 10/100;

· внутренний слот расширения для установки модулей аппаратного сжатия и шифрования;

· интегрированный асинхронный порт поддерживает соединения на скорости до 115,2 Кб/с;

· ПО ConfigMaker для Windows 98/NT упрощает проектирование сети и конфигурирование устройства; поддерживается ПО CiscoView и CiscoWorks 2000;

· гибкость - поддержка широкого набора модулей для передачи речи и данных, которые подходят также для серий Cisco 1600/2600/2600XM/3600, что облегчает возможность модернизации оборудования в соответствии с растущими потребностями бизнеса;

· интеграция - возможность объединения маршуртизации, VPN и мультисервисного доступа в одном устройстве;

· два слота для модулей глобальной сети, поддерживающими все стандартные протоколы, включая ISDN, Frame Relay, X.25, SMDS и протоколы для работы по синхронным и асинхронным линиям;

· высокопроизводительный RISC-процессор, позволяющий шифрование в соответствии со стандартной технологией IPSec на скорости 512 Кб/с для пакетов размеров в 256 байт;

· полная интеграция с другими продуктами семейства Cisco Networked Office;

· возможность содержания до 48 Мб ОП и до 16 Мб флеш-памяти.

3.6 ИССЛЕДОВАНИЕ РЫНКА И ВЫБОР СРЕДСТВ ОРГАНИЗАЦИИ ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЕЙ

Развитие средств коммуникаций и в частности Internet, позволило быстро передавать данные между двумя любыми точками Земли. Компьютерные сети из разрозненных кусков стали объединяться в информационные системы. Теперь не возникает проблем с тем, чтобы:

· передать файлы между подразделениями организации;

· организовать доступ филиалов к расположенной в центральном офисе базе данных;

· организовать доступ к информационной системе клиентов и партнеров.

Поскольку циркулирующая в этих взаимодействиях информация конфиденциальна, то возникает задача передать ее таким образом, чтобы никто не смог получить к ней доступ.

Все приведенные программные и программно-аппаратные комплексы защиты от НСД являются продуктами, получившие сертификат на соответствие определенному классу защищенности.

1. ПО «Застава» (разработчик ОАО «Элвис-Плюс»).

«Застава» - это семейство программных продуктов, обеспечивающих ЗИ на сетевом уровне в масштабах любого вида деятельности как государственной, так и коммерческой организации. В состав семейства продуктов «Застава» входят:

· МЭ «Застава» - программный комплекс, предназначенный для защиты от НСД при подключении ЛВС к общедоступным сетям связи и Internet;

· линейка VPN-продуктов «Застава 2.5» - средства для организации защищенных виртуальных частных сетей, обеспечивают гибкие масштабируемые решения для защиты передаваемой по сети информации, аутентификации пользователей и защиты от НСД;

· линейка VPN-продуктов «Застава 3.3» - средства для организации VPN, обладающие существенно расширенными возможностями по сравнению с «Застава 2.5», включают широкие и гибкие возможности по централизованному, оперативному и целостному управлению безопасностью корпоративной сети;

· программный продукт «Застава-Инспектор» - средство контроля защищенности сетей Windows 9x/NT/2000/XP. Продукт предназначен для оперативного автоматизированного мониторинга защищенности информационных ресурсов рабочих станций и серверов сети Windows.

VPN «Застава 3.3» реализован в виде набора VPN/FW-агентов (клиент-сервер-шлюз) и Центра управления «Застава». В качестве базовой технологии защиты выбран комплекс протоколов IPSec/IKE. Использование открытых стандартов гарантирует бесшовную горизонтальную и вертикальную интеграцию продукта с другими средствами ЗИ.

Централизованное управление реализовано в виде интеллектуального интерфейса между глобальной политикой безопасности корпоративной сети и реализующими ее устройствами. Ими могут выступать, как VPN/FW-агенты «Застава 3.3», так и устройства третьих производителей (Cisco IOS/PIX и CheckPoint VPN-1).

Централизованное управление, «нулевое администрирование» рабочих станций, поддержка режимов «one-click-installation» и многое другое делают VPN «Застава 3.3» чрезвычайно удобной в использовании, а затраты на сопровождение - минимальными. Внедрение VPN «Застава 3.3» удешевляет совокупную стоимость владения системой безопасности, тем самым позволяет экономить значительные средства на обслуживании клиентских инсталляций, обучении персонала, содержании штата администраторов безопасности.

VPN «Застава 3.3» обладает встроенными инструментами для внешнего аудита уровня ЗИ и качества построения политики безопасности. Отчеты, создаваемые центром управления системы, позволяют делать такие оценки быстро и эффективно. VPN «Застава 3.3» имеет открытый интерфейс OpenCrypto API. Кроме того, это единственный российский VPN продукт, предоставляющий повышенную свободу действий для мобильных абонентов сети. Так, защищенные соединения могут производиться с абонентами, имеющими динамические IP-адреса. Защищенный режим сохраниться даже в том случае, если абонент находится в ЛВС (заказчика, партнера и др.), защищенным МЭ с функцией трансляции сетевых адресов (NAT).

VPN «Застава 3.3» имеет сертификат Гостехкомиссии РФ от 30 июля 2002 г. № 653, удостоверяющий, что продукт может использоваться как средство организации защищенных виртуальных частных сетей на различных каналах связи, в локальных и глобальных сетях общего пользования, включая Internet.

«Застава-Инспектор» относится к средствам обнаружения вторжений и атак и предназначен для оперативного автоматизированного мониторинга открытых информационных ресурсов рабочих станций сети Windows, а также выявления и предотвращения событий или действий, создающих угрозы утраты или разглашения сведений ограниченного доступа. «Застава-Инспектор» состоит из двух программных продуктов:

· Х-Инспектор, предназначенный для аудита и мониторинга защищенности информационных ресурсов ЛВС;

· Р-Инспектор, предназначенный для защиты сервера общего доступа или ПЭВМ от сетевых атак.

«Застава-Инспектор» является модульным продуктом, его итоговая конфигурация и состав формируются под конкретного заказчика, что позволяет получить максимальный эффект от применения продукта. Направления активизации дополнительных функций «Застава-Инспектор» определяются по результатам обследования корпоративной сети ОИ и уяснения задач по контролю защищенности информационных ресурсов.

При работе продукта обеспечивается сбор информации на единый Центр Управления «Застава-Инспектор», что позволяет осуществлять полный контроль всей сети ОИ с одного рабочего места администратора безопасности.

По результатам работы «Застава-Инспектор» формирует результирующий отчет с подробным описанием результатов проверки и формулировками основных выявленных проблем. Все факты атак или нежелательного воздействия регистрируются в журнале событий. По любому из событий может производиться сигнализация или другие действия, определяемые настройками программы.

VPN-продукты семейства «Застава» характеризуются:

· сквозной безопасностью соединений между пользователем и приложением;

· «прозрачностью» для пользователей - для использования продуктов не требуется специальное обучение пользователей;

· «прозрачностью» для инфраструктуры - для использования продуктов не требуется встраивание VPN в ПО и изменение работы приложений;

· совместимостью с существующими VPN-продуктами на базе IPsec, системами аутентификации пользователей, PKI и системами сетевого управления;

· централизованным управлением в режиме реального времени. При этом процесс управления заключается не в формировании локальной политики безопасности для каждого конкретного VPN-устройства, а в задании общей логики взаимодействия на базе объектного подхода.

Класс защищенности ПО - 3 в соответствии с РД Гостехкомиссии «Средства ВТ. МЭ. Защита от НСД к информации. Показатели защищенности от НСД к информации».

ПО «Застава» сертифицировано в ФСВТЭК на соответствие требованиям к СКЗИ (сертификат соответствия ФСТЭК № 653 от 30.07.2002 г.).

2. Аппаратно-программный комплекс «Континент-К» (разработчик НИП «Информзащита»).

Аппаратно-программный комплекс «Континент-К» предназначен для построения виртуальных частных сетей на основе глобальных сетей общего пользования, использующих протоколы семейства TCP/IP (например, Internet), и обеспечивает:

· эффективную защиту конфиденциальной информации, передаваемой по сетям общего пользования;

· полную «прозрачность» для конечных пользователей;

· защиту информационных систем от атак со стороны сетей общего пользования;

· безопасный доступ к ресурсам сетей общего пользования;

· скрытие внутренней структуры защищаемых сегментов сети;

· криптографическую защиту данных, передаваемых по каналам связи сетей общего пользования между абонентскими пунктами;

· централизованное управление настройками VPN-устройств сети.

В качестве составных частей VPN могут выступать ЛВС ОИ, их сегменты и отдельные ПЭВМ.



Рис. 3.2 Структура аппаратно-программного комплекса «Континент-К»

Составные части комплекса:

· центр управления сетью;

· криптошлюз;

· программа управления сетью;

· абонентский пункт;

· сервер доступа;

· программа управления сервером доступа.

Центр управления сетью осуществляет управление работой всех криптошлюзов, входящих в состав виртуальной сети. Центр управления сетью осуществляет контроль за состоянием всех зарегистрированных криптошлюзов, проводит рассылку ключевой информации, предоставляет администратору функции удаленного управления криптошлюзов, обеспечивает получение и хранение содержимого системных журналов криптошлюзов, а также ведение журнала событий НСД.

Криптографический шлюз обеспечивает криптографическую защиту информации при ее передаче по открытым каналам сетей общего пользования и защиту внутренних сегментов сети от проникновения извне. Криптографический шлюз представляет собой специализированное программно-аппаратное устройство, функционирующее под управлением ОС FreeBSD в сокращенной версии, обеспечивающей высокий уровень безопасности. В состав криптографического шлюза входят:

· плата электронного замка «Соболь»;

· считыватель Touch Memory;

· электронные идентификаторы Touch Memory DS1992 (2 шт.).

Программа управления обеспечивает отображение состояний криптошлюзов, просмотр содержимого системных журналов криптошлюзов, изменение настроек маршрутизации и правил фильтрации пакетов.

Абонентский пункт осуществляет доступ удаленных пользователей к ресурсам защищаемых сетей по выделенным и коммутируемым каналам связи.

Сервер доступа обеспечивает связь между удаленным абонентским пунктом и защищаемой сетью, проводит идентификацию и аутентификацию пользователя, определяет его уровень доступа.

Программа управления сервером доступа обеспечивает настройку Сервера доступа, регистрацию пользователей абонентского пункта и установку прав доступа пользователей абонентского пункта к ресурсам защищаемых сетей, а также мониторинг подключенных пользователей абонентского пункта.

Комплекс «Континент-К» являясь одним из самых эффективных отечественных решений задачи построения виртуальных частных сетей, при относительно низкой стоимости обладает широким спектром возможностей, удовлетворяющих различные запросы клиентов. Среди них:

· надежная криптографическая защита передаваемых данных;

· маршрутизация сетевого трафика (статическая);

· фильтрация сетевого трафика;

· возможность интеграции с системами обнаружения атак;

· обеспечение доступа мобильных и удаленных пользователей;

· обеспечение высокой пропускной способности;

· низкая стоимость эксплуатации корпоративной сети за счет использования сетей общего пользования вместо собственных или арендуемых линий связи;

· возможность сжатия передаваемой информации;

· скрытие внутренней структуры защищаемой сети;

· создание информационных подсистем с разделением доступа на физическом уровне;

· поддержка возможности удаленного управления коммутационным оборудованием;

· высокая надежность комплекса (аппаратное резервирование);

· неограниченная масштабируемость комплекса;

· простота установки и настройки;

· централизованное управление сетью;

· возможность управления локальной политикой безопасности абонентского пункта;

· удобство администрирования;

· возможность ролевого управления комплексом;

· контроль за действиями администратора;

· ведение системных журналов;

· необслуживаемый режим работы;

· оповещение администратора (в реальном режиме времени) о событиях, требующих оперативного вмешательства;

· поддержка динамического распределения адресов при доступе удаленных пользователей;

· абсолютная прозрачность для всех приложений;

· поддержка мультимедиа-сервисов;

· возможность организации доступа к ресурсам сетей общего пользования из защищаемых сетей;

Комплекс является средством создания виртуальных частных сетей на основе сетей TCP/IP. В качестве транспортной среды может быть использована любая сеть, работающая по протоколу TCP/IP, например, Internet. Такой вариант существенно дешевле использования сети на основе выделенных каналов при сохранении высокого уровня безопасности.

При связывании ЛВС ОИ комплекс подключается к LAN-порту внешнего маршрутизатора. К внутренним портам криптошлюза подключаются ЛВС ОИ. Наличие нескольких внутренних интерфейсов позволяет гибко осуществлять изменение конфигурации сети. Одним из вариантов, повышающих общую безопасность сети, является вынос управляющих консолей для комплекса и для управления маршрутизатором на отдельный внутренний интерфейс криптошлюза.

При создании VPN на основе комплекса через внешние сети по умолчанию пропускается только зашифрованный трафик. Администратор может создавать на криптошлюзе правила, разрешающие прохождение трафика наружу в открытом виде, т.е. возможность работать с внешними ресурсами - серверами, веб-хостами и т.д. (рис. 3.3).

Администратор также может управлять разграничением доступа между подсетями, если они связаны только через комплекс «Континент-К». Таким образом, можно разделять трафик между разными подразделениями, как это показано на рис. 3.4.



Рис. 3.3 Создание VPN через внешние сети

Рис. 3.4 Разграничение доступа между подсетями

Комплекс позволяет также реализовать функцию защищенного управления удаленными маршрутизаторами. Управление ведется «реверсным» методом, когда управляющий трафик, зашифрованный в ядре, проходит через маршрутизатор на комплекс, где расшифровывается и направляется обратно на маршрутизатор (рис 3.5). Таким образом, открытый трафик не проходит через сеть общего пользования.

Рис. 3.5 Реализация функции защищенного управления удаленными маршрутизаторами

Комплекс позволяет осуществлять защищенный доступ удаленных абонентов к ресурсам VPN. Доступ производится при помощи абонентского пункта. Запрос на соединение осуществляется на сервере доступа, установленном на одном из криптошлюзов. Сервер доступа проводит идентификацию и аутентификацию пользователя, и осуществляет его связь с ресурсами защищаемой сети (рис. 3.6). Данная схема выгодно используется, когда требуется связь с офисом мобильных сотрудников через Internet. Для организации доступа достаточно установить абонентский пункт на любой компьютер или ноутбук, и получить доступ в Internet.



Рис. 3.6 Защищенный доступ удаленных абонентов к ресурсам VPN

Класс защищенности комплекса - 3 в соответствии с РД Гостехкомиссии «Средства ВТ. МЭ. Защита от НСД к информации. Показатели защищенности от НСД к информации».

Комплекс «Континент-К» сертифицирован в ФАПСИ на соответствие требованиям к СКЗИ (сертификат соответствия ФАПСИ № СФ/124-0489 от 17.08.2001 г.).

Криптографическое ядро СКЗИ «Крипто-Про CSP», используемое ПО абонентского пункта комплекса «Континент-К» сертифицировано ФАПСИ (сертификат соответствия ФАПСИ № СФ/114-0441 от 11.03.2000 г. и № СФ/124-0460 от 20.04.2001 г.).

Комплекс шифрования «Континент» и абонентский пункт СКЗИ «Континент-АП» удовлетворяют требованиям к стойкости СКЗИ и могут быть использованы для криптографической защиты конфиденциальной информации (сертификаты соответствия ФСБ № СФ/124-0648, № СФ/114-0649 и № СФ/124-0650 от 06.08.2003 г.).

3. ПО «VipNet Office Firewall» (разработчик ООО «Инфотекс»).

Сетевые продукты ViPNet предназначены для создания виртуальных защищенных сетей любой конфигурации, интегрированных с системой распределенных персональных и МЭ.

Продукты ViPNet позволяют индивидуальному и корпоративному пользователю решить ряд задач, таких как:

· интеграция мобильных и удаленных пользователей в корпоративную VPN;

· объединение нескольких ЛВС в одну глобальную;

· организация защищенного веб-хостинга и защищенного доступа к серверам приложений;

· защита встроенными сетевыми экранами информационных ресурсов клиентов VPN сети (рабочих станций, веб-серверов, баз данных и приложений);

· защита TCP/IP трафика в сети, создаваемого любыми стандартными приложениями и программами работающими в ОС Windows 98/ME/NT/XP/2000/2003 и Linux, включая программы аудио- и видеоконференцсвязи;

· защищенный автопроцессинг для финансовых и банковских приложений, защита транзакций для платежных систем, сети финансовой отчетности;

Основные выгоды, которые дает применение технологии ViPNet, можно сформулировать следующим образом:

· индивидуальный пользователь, активно использующий Internet, получает недорогое и эффективное решение для защиты его личной информации и в конечном итоге личных прав и свобод от недружественных проникновении из Internet;

· небольшой и средний бизнес получает в руки гибкий инструмент, позволяющий эффективно управлять информационными потоками бизнеса и интегрировать в одно целое множество прикладных программ используя дешевый общедоступный Internet без опасения потери, искажения или кражи важной для бизнеса информации. В результате небольшой бизнес получает эффективные, интегрированные и защищенные коммуникации доступные ранее только крупным корпорациям;

· крупный бизнес получает две важнейших ценности. Во-первых, все свои «тяжелые» и затратные решения в сфере корпоративных сетей связи он может превратить теперь в более гибкие и многократно более дешевые решения на базе Internet/Intranet технологий без опасения потери конфиденциальной информации. Во-вторых, решения ViPNet для корпораций используют раздельные центры управления сетью и безопасностью и позволяют руководству корпорации визуально контролировать состояние всей сети. Это исключает полную зависимость топ-менеджмента от IT-менеджеров корпорации.

«ViPNet Office Firewall» обеспечивает надежную защиту сервера и ЛВС от НСД к информационным и аппаратным ресурсам в случае, если нет необходимости в построении VPN.

«ViPNet Office Firewall» является программным МЭ, обеспечивающим надежную защиту компьютеров ЛВС от НСД при работе по протоколу IP с другими глобальными или ЛВС, например Internet. ПО «ViPNet Office Firewall» устанавливается на сервер-шлюз и контролирует весь IP-трафик, проходящий через этот шлюз в/из ЛВС.

ПО «ViPNet Office Firewall» позволяет системному администратору использовать следующие функции:

· Осуществлять фильтрацию (пропуск или блокирование) любых IP-пакетов, проходящих через каждый интерфейс (сетевой адаптер) МЭ. С помощью «ViPNet Office Firewall» каждый сетевой адаптер может быть установлен в один из пяти режимов безопасности. Как правило, для решения типовых задач внешний сетевой интерфейс устанавливается в режим 3 («Бумеранг» - разрешить инициативные соединения) или в режим 2 («пропускать только разрешенный сетевыми фильтрами IP-трафик»), а внутренние адаптеры в режимы 2, 3 и 4 («пропускать весь IP-трафик»);

· Для каждого сетевого адаптера в окне «Сетевые фильтры» можно производить дополнительную настройку фильтров, если настроек по умолчанию недостаточно;

· Использовать упрощенный механизм создания фильтров на основании информации о заблокированных программой IP-пакетах на каждом сетевом интерфейсе (окно «Блокированные IP-пакеты»);

· Просматривать в окне «Статистика» информацию по обработке входящих и исходящих IP-пакетов;

· Выборочно включать систему обнаружения атак IDS для каждого сетевого адаптера;

· Просматривать результаты обработки входящего и исходящего IP-трафика в журнале регистрации IP-пакетов. Для каждого сетевого адаптера ведется собственный журнал IP-пакетов. Поддерживается автоматическая архивация журналов и экспорт данных в html- или xls- формат;

· Создавать различные конфигурации с настройками программы и оперативно переключаться между ними. Для этого служит окно «Конфигурация»;

· Воспользоваться дополнительными возможностями по настройке и работе программы, осуществив вход в программу с правами администратора;

Преимущества «ViPNet Office Firewall»:

· программная реализация продукта исключает необходимость закупки дополнительного оборудования;

· поддержка неограниченного количества сетевых адаптеров;

· оптимальное соотношение цена/функциональность, легкость установки и настройки продукта;

· МЭ создан на основе комплекса «ViPNet Координатор», имеющего сертификат Гостехкомиссии № 546 от 17.12.2001 г.;

· возможность дальнейшего создания полноценного VPN с использованием линейки продуктов ViPNet.

Состав ПО:

· Низкоуровневый драйвер сетевой защиты ViPNet, взаимодействующий непосредственно с драйвером сетевого интерфейса и контролирующий весь IP-трафик сервера

· Программа - монитор, осуществляющая загрузку необходимых параметров драйверу и фиксирующая все необходимые события. Вы можете выгрузить эту программу, но драйвер по-прежнему будет обеспечивать безопасность ЛВС, не будет только вестись журнал трафика.

Оптимальным режимом защиты ЛВС от атак из Internet является режим «Бумеранг», в котором доступ к ресурсам Internet допускается только по инициативе компьютеров ЛВС.

Анализ поступающих во время соединения пакетов производится по большому числу параметров (адрес, протокол, порт), поэтому атаки и НСД в ЛВС и на сервер-шлюз в это время с любых других адресов или по другим протоколам невозможен, даже с тех компьютеров в Internet , с которым происходит соединение.

Типовые варианты использования «ViPNet Office Firewall»:

· Самый простой случай - это защита ЛВС от НСД из Internet. «ViPNet Office Firewall» позволяет оградить ЛВС от злоумышленников, которые не просто сканируют сервер-шлюз, но и пытаются проникнуть в ЛВС. Для этого достаточно установить внешний сетевой адаптер сервера, подключенный к сети Internet в режим «Бумеранг».

· Помимо защиты от атак из Internet «ViPNet Office Firewall» также позволяет запретить работу с Internet определенным компьютерам ЛВС, пользователям которых такой доступ для служебных нужд не требуется. В этом случае достаточно задать фильтры для IP-адресов данных компьютеров или диапазонов адресов и указать, что трафик с данных адресов должен быть заблокирован.

· В том случае, когда всем, или отдельным компьютерам необходимо работать в сети Internet только с определенными сервисами, например, почтовыми серверами, то можно задать фильтры, блокирующие доступ к веб-страницам, FTP-серверам и прочим ресурсам Internet. Тем самым можно сэкономить на оплате Internet-трафика.

· ViPNet «[Office Firewall» поддерживает неограниченное количество сетевых адаптеров, причем для каждого сетевого адаптера можно задать свой режим и настроить свои фильтры. Благодаря этому можно разделить две или три ЛВС, например, так, чтобы из первой сети во вторую доступ был открыт, а наоборот - нет (или только определенным компьютерам был бы разрешен доступ).

· К одному из внутренних адаптеров можно подключить так называемую «демилитаризованную зону», в которой разместить серверы, к которым должен быть открыт доступ из Internet. При этом исходящий трафик из демилитаризованной зоны в ЛВС, подключенные к другим внутренним адаптерам, можно полностью заблокировать.

Класс защищенности - 3 в соответствии с РД Гостехкомиссии «Средства ВТ. МЭ. Защита от НСД к информации. Показатели защищенности от НСД к информации».

После исследования средств организации виртуальных частных сетей решено было выбрать аппаратно-программный комплекс «Континент-К»:

· криптошлюз с центром управления сетью;

· сервер доступа;

· абонентский пункт с программой управления сетью;

Аппаратно-программный комплекс «Континент-К» позволяет создавать виртуальные частные сети, обладающие большими возможностями в конфигурировании и управлении. При помощи комплекса реализуются функции передачи шифрованного трафика через сеть общего пользования, защиты ЛВС от проникновения извне, сокрытия внутренней структуры сети, работы по открытым каналам с внешними ресурсами, создания параллельных сетей в пределах одной VPN, защищенного управления удаленными маршрутизаторами. Эти возможности делают комплекс удобным и эффективным инструментом создания VPN.

Класс защищенности комплекса - 3 в соответствии с РД Гостехкомиссии «Средства ВТ. МЭ. Защита от НСД к информации. Показатели защищенности от НСД к информации».

Комплекс «Континент-К» сертифицирован в ФАПСИ на соответствие требованиям к СКЗИ (сертификат соответствия ФАПСИ № СФ/124-0489 от 17.08.2001 г.).

Криптографическое ядро СКЗИ «Крипто-Про CSP», используемое ПО абонентского пункта комплекса «Континент-К» сертифицировано ФАПСИ (сертификат соответствия ФАПСИ № СФ/114-0441 от 11.03.2000 г. и № СФ/124-0460 от 20.04.2001 г.).

Комплекс шифрования «Континент» и абонентский пункт СКЗИ «Континент-АП» удовлетворяют требованиям к стойкости СКЗИ и могут быть использованы для криптографической защиты конфиденциальной информации (сертификаты соответствия ФСБ № СФ/124-0648, № СФ/114-0649, № СФ/124-0650 от 06.08.2003 г.).

автоматизированный обработка информация безопасность

3.7 ИССЛЕДОВАНИЕ РЫНКА И ВЫБОР АНТИВИРУСНЫХ СРЕДСТВ ЗИ

Сейчас вряд ли можно встретить ОИ, в информационной сети которого не установлены какие-либо антивирусные программы. Проблема заключается в том, что, несмотря на наличие антивирусного ПО, угроза вирусных атак по-прежнему присутствует. Это происходит по нескольким причинам:

· установлено разрозненное антивирусное ПО, нет единой системы центрального управления и сбора информации о вирусных атаках;

· отсутствует техническая поддержка поставленного ПО, библиотека сигнатур (образов вирусов) устарела и антивирусное ПО не выявляет новые вирусы;

· отсутствует программа действий в экстремальных ситуациях, ликвидация последствий вирусной атаки происходит медленно и некачественно, утерянные данные не восстанавливаются;

· отсутствует связь с производителем антивирусного ПО при возникновении новых вирусов.

Проведем анализ рынка предлагаемых продуктов. Все приведенные антивирусные программы являются продуктами, получившие сертификат Гостехкомиссии РФ на соответствие требованиям по защите конфиденциальной информации. Основным критерием отбора было наличие у продукта следующей структуры:

· модуль антивирусной защиты рабочих станций;

· модуль антивирусной защиты серверов;

· модуль антивирусной защиты почтовых серверов;

· модуль обновления антивирусных баз;

· модуль контроля работы системы.

Антивирусная система должна предоставлять сервисы:

· получение обновления ПО и антивирусных баз;

· управление распространением антивирусного ПО;

· управление обновлением антивирусных баз;

· контроль за работой системы в целом (получение предупреждений об обнаружении вируса, регулярное получение комплексных отчетов о работе системы в целом);

· обновление антивирусных баз конечных пользователей;

· обновление антивирусного ПО конечных пользователей, управление локальными группами пользователей;

· автоматическая антивирусная защита данных конечного пользователя.

Функциональные требования антивирусного ПО:

· Удаленное управление. Возможность управления всей системой с одного рабочего места.

· Ведение журналов. Ведение журналов работы в удобной настраиваемой форме.

· Оповещения. В системе защиты должна быть возможность отправки оповещений о происходящих событиях.

· Производительность системы. Необходимо регулировать уровень нагрузки от антивирусной защиты.

· Защита от различных типов вирусов. Необходимо обеспечить возможность обнаружения вирусов исполняемых файлов, макросов документов. Кроме этого, должны быть предусмотрены механизмы обнаружения неизвестных ПО вирусов.

· Постоянная защита рабочих станций. На рабочих станциях должно работать ПО, обеспечивающее проверку файлов при их открытии и записи на диск.

· Автоматическое обновление антивирусной базы. Должна быть предусмотрена возможность автоматического получения обновлений антивирусной базы и обновления антивирусной базы на клиентах.

Применение антивирусов для МЭ на сегодняшний день сводится к осуществлению фильтрации доступа в Internet при одновременной проверке на вирусы проходящего трафика. Осуществляемая такими продуктами антивирусная проверка сильно замедляет работу и имеет крайне не высокий уровень обнаружения, по этому в отсутствии необходимости фильтрации посещаемых пользователями веб-узлов применение таких продуктов является нецелесообразным.



Рис. 3.7 Общая структура антивирусной защиты.

Необходимо также защищать файл-сервера, сервера баз данных и сервера систем коллективной работы, поскольку именно они содержат наиболее важную информацию. Антивирус не является заменой средствам резервного копирования информации, однако без него можно столкнуться с ситуацией, когда резервные копии заражены, а вирус активизируется спустя полгода с момента заражения.

Рабочие станции тоже следует защищать, хоть они и не содержат важной информации, поскольку защита может сильно снизить время аварийного восстановления.

Фактически, антивирусной защите подлежат все компоненты ОИ, связанные с транспортировкой информации или ее хранением:

· файл-серверы;

· рабочие станции;

· сервера электронной почты.

1. Комплекс антивирусных средств «Антивирус Касперского Business Optimal» (разработчик «Лаборатория Касперского»).

«Лаборатория Касперского» получила сертификат ФСБ РФ, удостоверяющий, что продукты компании могут использоваться для ЗИ, содержащей сведения, составляющие государственную тайну. Успешно прошла сертификация «Антивируса Касперского 5.5» для Novell Netware по стандартам компании Novell. Персональные антивирусные решения «Лаборатории Касперского» получили сертификат совместимости с системой программ 1С.

Комплекс «Антивирус Касперского Business Optimal» специально разработан для борьбы с вирусами всех типов в корпоративных сетях среднего и малого масштаба. Данный программный комплекс построен на передовых антивирусных технологиях и включает инструменты централизованной установки и администрирования.

«Антивирус Касперского Business Optimal» - это комплексное решение, которое предполагает возможность выбора программных составляющих, соответствующих потребностям ОИ. Это дает возможность оптимизировать материальные и временные затраты на внедрение системы антивирусной защиты сети. Именно поэтому работа с «Антивирусом Касперского Business Optimal» позволяет создать систему антивирусной безопасности, максимально соответствующую конфигурации сети вне зависимости от ее масштаба и сложности.

Комплекс антивирусных средств защищает все узлы сети и создает надежный барьер против вирусных атак. В комплекс входит полный набор необходимых инструментов для антивирусной защиты рабочих станций, серверов, почтовых систем и интернет-шлюзов:

· рабочие станции Windows 98/ME/2000/NT/XP, Linux;

· файловые серверы Windows NT 4.0/2000/2003 Server, Novell Netware, Linux, FreeBSD/OpenBSD, Samba Server;

· почтовые системы MS Exchange 2000/2003, Lotus Notes/Domino, Sendmail, Qmail, Postfix, Exim;

· Internet-шлюзы MS ISA Server 2000, CheckPoint Firewall.

В комплекс антивирусных средств интегрирована мощная система управления, предназначенная для централизованной установки и администрирования антивирусной защиты сети - административный модуль Kaspersky Administration Kit.

Встроенный в комплекс антивирусных средств модуль Kaspersky Updater позволяет быстро и удобно загружать все последние обновления антивирусной базы и программных компонентов через Internet или с сервера ретрансляции обновлений. В последнем случае обновления скачиваются с сайта «Лаборатории Касперского» на сервер ретрансляции обновлений, а с него на компьютеры сети. Процесс обновления осуществляется автоматически, но если во время загрузки произошел сбой, Kaspersky Updater продолжит свою работу без дополнительного запроса.

Эксперты компании круглосуточно отслеживают вирусную ситуацию в мире. Обновление антивирусной базы осуществляется каждый час.

«Лаборатория Касперского» сопровождает поставку комплекса антивирусных средств комплексом дополнительных услуг. Если пользователь комплекса антивирусных средств пришлет в «Лабораторию Касперского» подозрительный объект, в том числе зараженный ранее неизвестной вредоносной программой, компания гарантирует выпуск эксклюзивного лечащего модуля либо вердикта о безопасности объекта в течение последующих 24 часов.

«Антивирус Касперского» для Novell Netware 5.0 осуществляет постоянную антивирусную проверку сервера на присутствие вредоносного кода во всех запускаемых, изменяемых или копируемых с сервера или на сервер файлов:

· гибкая система антивирусной защиты;

· надежная изоляция опасных объектов;

· возможности удаленного управления;

· регулирование загрузки сервера;

· многопоточность сканирования объектов;

· поддержка многопроцессорных систем;

· высокая надежность работы.

«Антивирус Касперского» для Windows Workstations - это решение для защиты рабочих станций от вредоносных программ и сетевых атак с возможностью централизованного администрирования.

Преимущества:

· целостность защиты;

· централизованное администрирование;

· защита от потенциально опасного ПО.

Функции:

· комплексная защита рабочей станции:

Ш антивирусная проверка содержимого дисков;

Ш проверка электронной почты;

Ш защита от сетевых атак;

Ш проактивная защита офисных приложений;

Ш защита от скрипт-вирусов.

· средства оптимизации производительности;

· администрирование.

«Антивирус Касперского» для IBM Lotus Domino - это решение для обеспечения качественной антивирусной защиты пользователей IBM Lotus Domino на платформе Windows. Решение оптимизировано для использования в корпоративных сетях со сложной топологией в условиях большой нагрузки, что делает его незаменимым инструментом антивирусной защиты для крупных компаний, использующих IBM Lotus Domino.

Преимущества:

· целостность защиты;

· масштабируемость;

· удобство управления.

Функции:

· антивирусная проверка всех объектов IBM Lotus Domino:

Ш антивирусная проверка почтового трафика;

Ш проверка баз данных и других объектов;

Ш постоянный мониторинг состояния защиты;

Ш разные варианты обработки зараженных объектов;

Ш изоляция зараженных и подозрительных объектов.

· фильтрация сообщений по формальным признакам;

· предотвращение вирусных эпидемий;

· автоматические обновления антивирусных баз;

· мощная система отчетов.

2. Комплекс антивирусных средств «Doctor Web» (разработчик ООО «Доктор Веб»).

Антивирус «Dr. Web» для защиты файловых серверов Novell Netware позволяет проводить проверку томов сервера по заранее заданному расписанию или запросу администратора, проверять «на лету» файлы, приходящие на сервер и уходящие с него, обнаруживать зараженные файлы, перемещать их в папку карантина, осуществлять несколько параллельных процессов проверки, обеспечивая наилучшую антивирусную защиту.

Преимущества:

· надежность в обнаружении вирусов;

· быстрая реакция на появление новых вирусов;

· высокое быстродействие;

· оперативность обновления вирусной базы;

· техническая поддержка;

· высокоэффективный эвристический анализ;

· минимальные системные требования;

· малый размер дистрибутива;

· минимальный размер обновления вирусной базы.

Антивирус «Dr. Web» для рабочих станций Windows 95/98/ME/NT/2000/XP позволяет оперативно проверять все носители информации на наличие вирусов, обнаруживать и обезвреживать вирусы в ОП компьютера, на дисках и в электронной почте.

Преимущества:

· высокая надежность в обнаружении вирусов;

· быстрая реакция на появление новых вирусов;

· высокое быстродействие;

· возможность автоматического обновления программы;

· техническая поддержка;

· полная проверка Windows-памяти;

· высокоэффективный эвристический анализ;

· простота установки и эксплуатации;

· минимальные системные требования;

· малый размер дистрибутива;

· минимальный размер обновления вирусной базы.

Антивирус «Dr. Web» для Windows 95/98/ME/NT/2000/XP включает следующие программы:

· сканер «Dr. Web» для Windows с графическим интерфейсом пользователя;

· сканер «Dr. Web» для Windows с интерфейсом командной строки;

· сканер «Dr. Web» для DOS;

· резидентный сторож SpIDer Guard для Windows;

· почтовый сторож SpIDer Mail;

· планировщик заданий;

· утилита (модуль) обновления;

· установщик дополнений.

Антивирус «Antigen» для Lotus Domino представляет собой надежное решение, предназначенное для обнаружения и уничтожения почтовых вирусов и червей, фильтрации содержимого в среде Lotus Domino/Notes. Антивирус «Antigen» для Lotus Domino обеспечивает комплексную клиент-серверную защиту путем последовательной и точной идентификации как известных так и новых вирусов во время защиты данных, хранящихся на сервере Domino и передающихся между сервером Domino и клиентскими приложениями Notes. Антивирус обеспечивает защиту серверов Lotus Domino без вмешательства пользователя в автоматическом режиме:

· технология многоядерного антивирусного сканирования обеспечивает надежное обнаружение вирусов. Идеальная защита от эпидемий новых вирусов;

· технология «In Memory Scanning» обеспечивает проверку сообщений и вложенных файлов без использования файла-подкачки и без создания временных файлов на диске, что делает проверку максимально быстрой;

· приложение «Antigen Policy Manager» обеспечивает централизованное управление, конфигурирование и управление политиками безопасности для всех серверов в рамках распределенной и ЛВС;

· поддержка SNMP позволяет антивирусу рассылать сообщения по всем событиям обнаружения вирусов, программных ошибок, предупреждений, уведомлений и других протоколируемых событий;

· система автоматического обновления обеспечивает круглосуточное обновление всех компонент антивируса с сервера компании Sybari (включая обновления вирусных баз используемых антивирусных ядер) и при этом не требует перезагрузки антивируса.

Антивирус «Dr. Web» для Internet-шлюзов - полномасштабная защита внутренней сети от проникновения вредоносного кода по HTTP и FTP протоколам, обеспечивающий высокопроизводительное сканирование контента трафика, поступающего по протоколам HTTP/FTP.

Решение «Dr. Web» для Internet-шлюзов дает администратору сети широкие возможности по организации комплексной защиты от вирусных угроз, таящихся во входящем веб-трафике, обеспечивает доставку безопасного контента внутрь ЛВС, эффективно противодействует проникновению вредоносных программ любого рода через Internet-шлюз, обеспечивает сканирование архивов, сжатых компрессионными утилитами ARJ, CAB, GZIP, RAR, TAR, ZIP, а также файлов, упакованных всевозможными упаковщиками.

Преимущества:

· многоуровневая защита UNIX-систем средствами «Dr. Web»;

· защита от попыток сбора конфиденциальной информации;

· универсальность автоматически обновляемых вирусных баз «Dr. Web»;

· удобство администрирования.

3. Комплекс антивирусных средств «McAfee Security» (разработчик McAfee Inc.).

Семейство McAfee Security предназначено для комплексной антивирусной защиты любого уровня. Пользователи антивирусных продуктов McAfee - более 70 миллионов человек по всему миру. Продукты McAfee Security обеспечивают полную защиту для всех распространенных операционных систем и приложений, обнаруживая и корректно удаляя более 60 тысяч вирусов и враждебных программ.

McAfee NetShield Netware предназначен для защиты от вирусов файл-серверов, работающих под управлением ОС Novell Netware 4.11/4.2/5.0/5.1/6.0. Файловые серверы - одно из самых уязвимых мест корпоративной сети: если поражение вирусом рабочего места приведет к отказу одного компьютера, то заражение файл-сервера может нарушить работу всей сети. Кроме того, зараженный сервер может сохранять работоспособность, являясь источником вирусов для пользователей сети. NetShield устанавливается на сервер и в фоновом режиме проверяет все файлы, к которым происходит обращение с рабочих мест. Модуль AutoUpdate обеспечивает NetShield последними версиями антивирусных баз, автоматически производя обновления через Internet или по ЛВС. Кроме того, NetShield способен самостоятельно осуществлять регулярные проверки дисков сервера по расписанию, не требуя участия администратора.

McAfee VirusScan Multiplatform предназначен для антивирусной защиты рабочих мест Windows 9x/ME/NT/2000/XP. Он обеспечивает полную антивирусную защиту компьютера, включая обнаружение вирусов при работе с файлами и групповыми приложениями, блокирование враждебных объектов Java/ActiveX, зараженных e-mail сообщений и опасных веб-ресурсов. Поддержка централизованной системы управления позволяет администратору сети иметь полный контроль над VirusScan, предоставляя возможность пользователям рабочих мест сосредотачиваться исключительно на своей работе.

McAfee GroupShield Domino предназначен для защиты корпоративной сети от вирусов, распространяющихся в среде Lotus Notes/Domino для ОС Windows NT/IBM AIX. Сервер Lotus Notes/Domino является уязвимым местом сети с точки зрения вирусов. Попав один раз в базу данных сервера, вирус способен быстро поразить большое число пользователей сети. Кроме того, 90% случаев заражения вирусами в мире происходит через электронную почту, причем часто этот процесс носит эпидемиологический характер. GroupShield Domino непрерывно сканирует весь информационный обмен, автоматически обновляя антивирусные базы через Интернет. При установке GroupShield Domino внедряется в систему Lotus Notes/Domino, создавая базу данных конфигурации, журнала, справочной системы, антивирусных сигнатур и карантинной зоны, куда по желанию администратора помещаются все зараженные файлы. Предусмотрено оповещение администратора о любом заражении через почту Lotus. Для обнаружения вспышек заражения вирусами GroupShield Domino включает специальный компонент Outbreak Manager.

McAfee ThreatScan позволяет применять профилактические меры для защиты сети от потерь, связанных с вирусными эпидемиями, с помощью проведения по расписанию проверок на наличие уязвимостей, автоматического обновления базы уязвимостей, без необходимости привлечения эксперта по БИ. ThreatScan обнаруживает незащищенные, неуправляемые, зараженные или уязвимые машины сети. Организации, использующие ThreatScan, переходят от схемы реагирования на возникшие вирусные эпидемии к схеме предотвращения эпидемий, что избавляет от соответствующих затрат на устранение последствий деятельности вирусов.

После исследования комплексов антивирусных средств ЗИ решено было выбрать комплекс «Dr.Web»:

· антивирус «Dr. Web» для защиты файловых серверов Novell Netware;

· антивирус «Dr. Web» для рабочих станций Windows 95/98/ME/NT/2000/XP;

· антивирус «Antigen» для Lotus Domino;

· антивирус «Dr. Web» для Internet-шлюзов.

Комплекс «Dr.Web» сертифицирован Министерства обороны РФ в соответствии с требованиями на отечественные антивирусные программы, предназначенные для защиты от компьютерных вирусов и контроля состояния файловой системы. Государственные органы сертификации подтвердили эффективность и надежность отечественных программ семейства «Dr. Web» и тем самым рекомендовали его к использованию в государственных и коммерческих организациях.

3.8 ЗИ ПРИ СБОЯХ И АВАРИЙНЫХ СИТУАЦИЯХ

1. ЗИ при отключении электроэнергии.

Наиболее надежным средством предотвращения потерь информации при кратковременном отключении электроэнергии в настоящее время является установка ИБП. Различные по своим техническим и потребительским характеристикам, подобные устройства могут обеспечить питание всей ЛВС или отдельной компьютера в течение какого-то промежутка времени, достаточного для восстановления подачи напряжения или для сохранения информации на магнитные носители. В противном случае используется следующая функция подобных устройств - компьютер получает сигнал, что ИБП перешел на работу от собственных аккумуляторов и время такой автономной работы ограничено. Тогда компьютер выполняет действия по корректному завершению всех выполняющихся программ и отключается. Большинство ИБП одновременно выполняет функции и стабилизатора напряжения, является дополнительной защитой от скачков напряжения в сети. Многие современные сетевые устройства (серверы, концентраторы, мосты) оснащены собственными дублированными системами электропитания. Для серверов рекомендовано использование ИБП большей емкости (обеспечивающих работу серверов при отключении электроэнергии до 8 часов, т.е. в течение рабочего дня), т.к. аварийная остановка серверов может привести не только к потере данных, но и к тому, что может быть парализована работа не только самого ОИ, но и его подчиненных отделов.

2. ЗИ при сбоях процессоров.

Для защиты от сбоев процессоров применяется резервирование важных компьютерных подсистем, например, симметричное мультипроцессирование. В системе используется более двух процессоров, и в случае сбоя одного из них, второй продолжает работу так, что пользователи вычислительной системы даже ничего не замечают.

3. ЗИ при сбоях дисковых систем и устройств для хранения информации.

Организация надежной и эффективной системы резервного копирования и дублирования данных является одной из важнейших задач по обеспечению сохранности информации. Согласно исследованиям, проведенных в США, при полной потере информации на магнитных носителях вследствие сбоя компьютерной системы в первые три дня из общего числа потерпевших объявляют о своем банкротстве 60% фирм и в течение года - 90% оставшихся. В России пока не существует полностью безбумажных технологий, и последствия фатального сбоя не будут столь трагическими, однако системам восстановления данных следует уделять самое пристальное внимание.

В небольших сетях, где установлены один-два сервера, чаще всего применяется установка системы резервного копирования непосредственно в свободные слоты серверов. Это могут быть устройства записи на магнитные ленты (стример), на компакт-диски многоразового использования, на оптические диски и т.д.

В крупных корпоративных сетях наиболее предпочтительно организовать выделенный специализированный архивационный сервер. Рекомендуется хранить дубликаты архивов наиболее ценных данных в другом здании на случай пожара или стихийного бедствия. В настоящее время для восстановления данных при сбоях магнитных дисков применяются либо дублирующие друг друга зеркальные диски, либо системы дисковых массивов. В некоторых случаях, когда подобные сбои и потеря информации могут привести к неприемлемой остановке работы, применяется система зеркальных винчестеров. Резервная копия информации формируется в реальном времени, т.е. в любой момент времени при выходе из строя одного винчестера система сразу же начинает работать с другим. Дисковые массивы можно реализовывать как во внутреннем, так и во внешнем исполнении - в корпусе сервера ЛВС или на специальном шасси.

...