Организация комплексной защиты информации в корпоративной сети

Размещено на http://www.allbest.ru/

Министерство образования и науки Российской Федерации

Федеральное государственное бюджетное образовательное учреждение высшего образования

«СибирскИЙ государственнЫЙ Университет геоСИСТЕМ И ТЕХНОЛОГИЙ» (СГУГиТ)

Кафедра инженерной геодезии и маркшейдерского дела

ДИПЛОМНАЯ РАБОТА

Организация комплексной защиты информации в корпоративной сети ОАО «МАШзавод труд»

Новосибирск - 2015

Министерство образования и науки Российской Федерации

Федеральное государственное бюджетное образовательное учреждение высшего образования

«СибирскИЙ государственнЫЙ Университет геоСИСТЕМ И ТЕХНОЛОГИЙ» (СГУГиТ)

“УТВЕРЖДАЮ”

Зав. Кафедрой ИГиМД _________________

Е.К. Лагутина _ (Ф.И.О.)“ 02 ”_декабря 2014г.

ЗАДАНИЕ

НА ВЫПУСКНУЮ КВАЛИФИКАЦИОННУЮ РАБОТУ

в форме дипломной работы ___________ (бакалаврской работы, дипломного проекта, дипломной работы, магистерской диссертации)

Студента Смирнова Александра Игоревича

Группа 5ИСс Институт дистанционного обучения

Направление (специальность) 230201 - Информационные системы и технологии (код, наименование)

Код квалификации 65 Степень или квалификация Инженер

Тема ВКР Организация комплексной защиты информации в корпоративной сети ОАО "Машзавод Труд"

Ученое звание, ученая степень руководителя

Место работы, должность руководителя Кафедра инженерной геодезии

и маркшейдерского дела, ст. преподаватель

Срок сдачи полностью оформленного задания на кафедру 4 декабря 2014г.

Задание на ВКР (перечень рассматриваемых вопросов):

1 Изучить угрозы информации

2 Изучить средство защиты информации в корпоративной сети

3 Внедрить комплексную защиту информации в корпоративной сети ОАО “Машзавод Труд”

Вопросы экономики может быть исключен из бланка при его отсутствии в структуре ВКР**Технико-экономическое обоснование выполненных работ

Вопросы безопасности жизнедеятельности

1 Обучение безопасности труда и виды инструктажа

2 Гигиенические требования к помещениям для работы с ПЭВМ

Перечень графического материала с указанием основных чертежей и (или) иллюстративного материала (формат А1):

Не планируется

Исходные данные к ВКР (перечень основных материалов, собранных в период преддипломной практики или выданных руководителем)

Техническая литература по теме ВКР, интернет-шлюз Ideco ICS

Консультанты:

по экономике

Т. М. Медведская, ст. преподаватель кафедры ИГиМД (ФИО, место работы и должность) по вопросам безопасности жизнедеятельности

Т. М. Медведская, ст. преподаватель кафедры ИГиМД (ФИО, место работы и должность)

ГРАФИК ВЫПОЛНЕНИЯ ВКР

Задание принял к исполнению и с графиком согласен

РЕФЕРАТ

Смирнов Александр Игоревич. Организация комплексной защиты информации в корпоративной сети ОАО “Машзавод Труд”.

Место дипломирования: Сибирский государственный университет геосистем и технологий, кафедра инженерной геодезии и маркшейдерского дела.

Руководитель - старший преподаватель СГУГиТ Медведская Т. М.

2015 г., специальность 230201 «Информационные системы и технологии», квалификация 65 - Инженер.

79 с., 11 табл., 26 рис., 10 источников

УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ, СПОСОБЫ ЗАЩИТЫ ИНФОРМАЦИИ В КОРПОТИВНОЙ СЕТИ, ОРГАНИЗАЦИЯ КОМПЛЕСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ В КОРПОРАТИВНОЙ СЕТИ.

В дипломном проекте описаны возможные угрозы и средство защиты компьютерных информационных систем. Так же рассмотрено одно из решений комплексной защиты информации на основе программного продукта IDECO ICS в корпоративной сети ОАО “Машзавод Труд”.

Также в работе представлено технико-экономическое обоснование выполненных работ и рассмотрены вопросы безопасности жизнедеятельности.

• ОГЛАВЛЕНИЕ
• ВВЕДЕНИЕ
• 1. ВИДЫ УГРОЗ ИНФОРМАЦИИ
• 1.1 Общая модель корпоративной сети

1.2 Модель угроз безопасности

1.3 Модель защиты

2. СПОСОБЫ ЗАЩИТЫ ИНФОРМАЦИИ В КОРПОРАТИВНОЙ СЕТИ

2.1 Компьютерные вирусы

2.2 Антивирусная защита

2.3 Контентная фильтрация

2.4 Сетевые шлюзы

2.5 Межсетевой экран

2.6 VPN

3. ОРГАНИЗАЦИЯ КОМПЛЕСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ В КОРПОРАТИВНОЙ СЕТИ

3.1 Описание защищаемой корпоративной системы

3.2 Обоснования и внедрение интернет-шлюза Ideco ICS

4. ТЕХНИКО-ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ ПРОВЕДЕНИЯ НАУЧНО-ИССЛЕДОВАТЕЛЬСКИХ РАБОТ ПО ВНЕДРЕНИЮ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ

4.1 Характеристика программного продукта с экономической точки зрения

4.2 Определение трудоемкости и плановой себестоимости выполнения НИР

4.3 Оценка научно-технической и социальной эффективности НИР

5. ВОПРОСЫ БЕЗОПАСНОСТИ ЖИЗНЕДЕЯТЕЛЬНОСТИ

5.1 Обучение безопасности труда и виды инструктажа

5.2 Гигиенические требования к помещениям для работы с ПЭВМ

ЗАКЛЮЧЕНИЕ

ВВЕДЕНИЕ

В вычислительной технике понятие безопасности является весьма широким. Оно подразумевает и надежность работы компьютера, и сохранность ценных данных, и защиту информации от внесения в нее изменений неуполномоченными лицами. В связи с этим, целью дипломной работы является организации комплексной защиты информации корпоративной сети ОАО “Машзавод Труд”, в связи открытием филиальной и складской сети, а также необходимостью повышения безопасности информационной системы предприятия.

Задача дипломной работы заключаются во внедрении в информационную сеть предприятия интернет шлюза Ideco ICS.

Информацией владеют и используют её все люди без исключения. Каждый человек решает для себя, какую информацию ему необходимо получить, и какая информация не должна быть доступна другим. Человеку легко, хранить информацию, которая у него в голове, но как быть, если информация занесена в «мозг машины», к которой имеют доступ многие люди. Информация сегодня стоит дорого и её необходимо защищать. Поэтому работа любого современного предприятия невозможна без надежной и эффективной информационной защиты в сфере своей деятельности.

1. ВИДЫ УГРОЗ ИНФОРМАЦИИ

1.1 Общая модель корпоративной сети

Основное назначение любой корпоративной сети состоит в обязанности доставить необходимую информацию пользователю, где бы он ни находился и, желательно, в минимально короткий срок. Поэтому, как бы ни желая глобализовать проблему обеспечения защиты информации, необходимо признать, что эта проблема, при всей ее важности и актуальности остаётся вспомогательной. И как бы ни хотелось разработчику средств защиты информации, система защиты должна не мешать, а, наоборот, способствовать выполнению основной функции своевременному обмену деловой информацией. К этой проблеме и принципам построения системы защиты еще вернемся ниже, а пока будем учитывать, что не корпоративная сеть делается под систему защиты, а система защиты помогает корпоративной сети и является вспомогательной (но очень важной!) системой. Из этого следует, что прежде чем переходить к построению модели системы защиты, необходимо определиться с моделью самой корпоративной сети.

Двух повторяющихся сетей нет. Каждая сеть уникальна по-своему. Поэтому попробуем выделить основные элементы, присущие любой сети и построить достаточно упрощенную, но дееспособную модель корпоративной сети, которая бы выполняла все основные функции и содержала бы весь набор элементов, и рассмотреть на ней предмет наших рассуждений. Основным объектом вожделения, естественно, является информация, обрабатываемая в корпоративной сети. А информация обрабатывается с помощью специального инструмента - программного обеспечения (ПО). Поэтому базисом любой корпоративной сети является общесистемное программное обеспечение, которое может содержать различные операционные системы, программные оболочки, программы общего назначения, текстовые процессоры, редакторы и интегрированные пакеты программ, системы управления базами данных. Кроме того, для обработки информации используется также прикладное программное обеспечение, то есть такие программы, которые разрабатываются специально для фирмы и в ее интересах для решения специализированных задач. В процессе обработки информации используются различные технические устройства обработки, хранения и передачи данных. Информация может поступать с автоматизированного рабочего места (АРМ) по внутренним и по внешним каналам связи, при этом информация может вводиться как с клавиатуры, так и с внешних носителей информации. Кроме того, могут использоваться информационные ресурсы других учреждений и организаций, и ресурсы глобальны телекоммуникационных сетей. Глобальные телекоммуникационные сети могут так же использоваться в качестве транспортной среды для передачи информации потребителям. Под понятием "пользователь корпоративной сети" понимается зарегистрированные установленным порядком персоны (организации), наделенные определенными полномочиями доступа в сети [5]. В рамках своих полномочий пользователь может осуществлять только разрешенные ему действия с использованием общесистемного и прикладного программного обеспечения.

Обработка информации в сети осуществляется под контролем администраторов системы, а ее защита - администраторов безопасности, которые выполняют свои функции, имея специализированные рабочие места. Эти места не всегда позволяют получить доступ к обрабатываемой информации, но всегда позволяют повлиять на процесс ее обработки, а также - на модернизацию инструмента обработки. Для разработки прикладного программного обеспечения, адаптации общесистемного программного обеспечения и поддержания сети в работоспособном состоянии, как правило, привлекаются специалисты-программисты и технический персонал, которые так же имеют ограниченные возможности по доступу к самой информации, но неограниченные возможности по изменению программного обеспечения и процессов обработки информации. Корпоративную сеть можно представить в виде системы, состоящей из ряда аппаратно-программных подсистем - рабочее место руководителя, удаленное рабочее место, рабочее место администратора безопасности и системы, каждая из которых является относительно самостоятельной системой. Такой подсистеме присущи признаки общей системы. Поэтому с точки зрения защиты информации, здесь применим принцип декомпозиции. Основываясь на этом принципе, механизм воздействия угроз безопасности информации применим как к системе в целом, так и к отдельной подсистеме. Это очень важный тезис, который позволит в дальнейшем правильно оценить воздействие угроз безопасности информации на отдельные элементы системы, особенно на ее автономные элементы. Описав, что защищать (объект применения угроз безопасности информации), попробуем перейти к тому, от чего или от кого защищаться, то есть определимся с угрозами безопасности информации, которые могут быть.

1.2 Модель угроз безопасности

В литературе, посвященной вопросам защиты информации, можно найти различные варианты моделей угроз безопасности информации. Это объясняется стремлением более точно описать многообразные ситуации воздействия на информацию и определить наиболее адекватные меры парирования. В принципе, можно пользоваться любой понравившейся моделью, необходимо только убедиться, что она описывает максимально большое число факторов, влияющих на безопасность информации. Но, прежде всего, надо помнить, что пользователю, то есть потребителю информации и информационных услуг, оказываемых корпоративной сетью, глубоко без разницы, не получит ли он информацию вовремя, получит ее в искаженном виде или вообще потеряет по вине неправильной работы технических средств, пожара в серверном зале или за счет действий злоумышленника. Итог для него во всех случаях одинаков - понесенные убытки (моральные или материальные). Что же такое угроза безопасности информации? Это - действие, направленное против объекта защиты, проявляющееся в опасности искажений и потерь информации. Надо оговориться, что речь идет не обо всей информации, а только о той ее части, которая, по мнению ее собственника (пользователя), имеет коммерческую ценность (информация как товар) или подлежит защите в силу закона (конфиденциальная информация). Необходимо также учитывать, что источники угроз безопасности могут находиться как внутри фирмы - внутренние источники, так и вне ее - внешние источники. Такое деление оправдано потому, что для одной и той же угрозы (например, кража) методы парирования для внешних и внутренних источников будут разными [4].

При составлении модели угроз авторы использовали различные широко используемые в настоящее время варианты моделей, разработанные специалистами в области защиты информации государственных и негосударственных научных учреждений и собственный опыт работы в этой области. Исходя из проведенного анализа, все источники угроз безопасности информации, циркулирующей в корпоративной сети, можно разделить на три основные группы [3]:

- угрозы, обусловленные действиями субъекта (антропогенные);

- угрозы, обусловленные техническими средствами (техногенные);

- угрозы, обусловленные стихийными источниками.

Первая группа наиболее обширна и представляет наибольший интерес с точки зрения организации парирования этим угрозам, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия этим угрозам управляемы и напрямую зависят от воли организаторов защиты информации. Субъекты, действия которых могут привести к нарушению безопасности информации, могут быть как внешние, так и внутренние [5].

Внешние:

- криминальные структуры;

- рецидивисты и потенциальные преступники;

- недобросовестные партнеры;

- конкуренты;

- политические противники.

Внутренние:

- персонал учреждения;

- персонал филиалов;

- лица с нарушенной психикой;

- специально внедренные агенты.

Основываясь на результатах международного и российского опыта, действия субъектов могут привести к ряду нежелательных последствий, среди которых применительно к корпоративной сети, можно выделить следующие: кража, подмена, уничтожение, нарушение нормальной работы, ошибки и перехват информации.

Кража:

а) технических средств (винчестеров, ноутбуков, системных блоков);

б) носителей информации (бумажных, магнитных, оптических и пр.);

в) информации (чтение и несанкционированное копирование);

г) средств доступа (ключи, пароли, ключевая документация и пр.).

Подмена (модификация):

а) операционных систем;

б) систем управления базами данных;

в) прикладных программ;

г) информации (данных), отрицание факта отправки сообщений;

д) паролей и правил доступа.

Уничтожение (разрушение):

а) технических средств (винчестеров, ноутбуков, системных блоков);

б) носителей информации (бумажных, магнитных, оптических и пр.);

в) программного обеспечения (ОС, СУБД, прикладного ПО);

г) информации (файлов, данных);

д) паролей и ключевой информации.

Нарушение нормальной работы (прерывание):

а) скорости обработки информации;

б) пропускной способности каналов связи;

в) объемов свободной оперативной памяти;

г) объемов свободного дискового пространства;

д) электропитания технических средств.

Ошибки:

а) при инсталляции ПО, ОС, СУБД;

б) при написании прикладного программного обеспечения;

в) при эксплуатации ПО;

г) при эксплуатации технических средств.

Перехват информации (несанкционированный):

а) за счет ПЭМИ от технических средств;

б) за счет наводок по линиям электропитания;

в) за счет наводок по посторонним проводникам;

г) по акустическому каналу от средств вывода;

д) по акустическому каналу при обсуждении вопросов;

ж) при подключении к каналам передачи информации;

з) за счет нарушения установленных правил доступа (взлом).

Вторая группа содержит угрозы менее прогнозируемые, напрямую зависящие от свойств техники и поэтому требующие особого внимания. Технические средства, содержащие потенциальные угрозы безопасности информации, так же могут быть внутренними и внешними [5] .

Внутренние:

- некачественные технические средства обработки информации;

- некачественные программные средства обработки информации;

- вспомогательные средства (охраны, сигнализации, телефонии);

- другие технические средства, применяемые в учреждении;

Внешние:

- средства связи;

- близко расположенные опасные производства;

- сети инженерных коммуникации (энергетические, водоснабжения, канализации);

- транспорт.

Последствиями применения таких технических средств, напрямую влияющими на безопасность информации, могут быть нарушения нормальной работы, модификация (изменение), так и ее уничтожение (разрушение).

Нарушение нормальной работы:

- нарушение работоспособности системы обработки информации;

- нарушение работоспособности связи и телекоммуникаций;

- старение носителей информации и средств ее обработки;

- нарушение установленных правил доступа;

- электромагнитное воздействие на технические средства.

Уничтожение (разрушение):

- программного обеспечения, ОС, СУБД;

- средств обработки информации (броски напряжений, протечки);

- помещений;

- информации (размагничивание, радиация, протечки и пр.);

- персонала.

Модификация (изменение):

- программного обеспечения. ОС, СУБД;

- информации при передаче по каналам связи и телекоммуникациям.

Третью группу составляют угрозы, которые совершенно не поддаются прогнозированию, и поэтому меры их парирования должны применяться всегда. Стихийные источники, составляющие потенциальные угрозы информационной безопасности, как правило, являются внешними по отношению к рассматриваемому объекту и под ними понимаются, прежде всего, природные катаклизмы: пожары, землетрясения, наводнения, ураганы, другие форс-мажорные обстоятельства, различные непредвиденные обстоятельства, необъяснимые явления. Эти природные и необъяснимые явления так же влияют на информационную безопасность, опасны для всех элементов корпоративной сети и могут привести к пропаже, а так же к ее уничтожению.

Даже первичный анализ приведенного перечня угроз безопасности информации показывает, что для обеспечения комплексной безопасности необходимо принятие как организационных, так и технических решений парирования. Такой подход позволяет дифференцировано подойти к распределению материальных ресурсов, выделенных на обеспечение информационной безопасности. Необходимо отметить, что оценить весовые коэффициенты каждой угрозы достаточно затруднительно из-за высокой латентности их проявлений и отсутствия вразумительной статистики по этому вопросу. Поэтому в современной литературе можно найти различные шкалы оценок. Вместе с тем, на основе анализа, проводимого различными специалистами в области компьютерных преступлений, и собственных наблюдений по частоте проявления угрозы безопасности можно расставить так:

- кража (копирование) программного обеспечения;

- подмена (несанкционированный ввод) информации;

- уничтожение (разрушение) данных на носителях информации;

- нарушение нормальной работы в результате вирусных атак;

- модификация (изменение) данных на носителях информации;

- перехват (несанкционированный съем) информации;

- кража (несанкционированное копирование) ресурсов;

- нарушение нормальной работы (перегрузка) каналов связи;

- непредсказуемые потери.

Несмотря на предложенную градацию (примем ее только к сведению), для простоты будем считать, что каждая угроза может себя рано или поздно проявить, и поэтому все они равны, то есть при построении модели принято, что весовые коэффициенты каждой угрозы равны 1. Описав состав угроз безопасности информации, проблемы моделирования их воздействие еще не решены. Все эти угрозы по-разному проявляются в каждой точке корпоративной сети. Поэтому попробуем оценить, исходя из обычной логики и собственного опыта, в каком месте какая угроза представляет наибольшую опасность. Наложение угроз безопасности информации на модель корпоративной сети позволяет в первом приближении оценить их опасность и методом исключения определить наиболее актуальные для конкретного объекта защиты. Кроме того, можно в первом приближении оценить объемы необходимых работ и выбрать магистральное направление по обеспечению защиты информации. Следствием реализации выявленных угроз безопасности информации, в конечном счете, может стать ущемление прав собственника (пользователя) информации или нанесение ему материального ущерба, наступившее в результате [5]:

- уничтожения информации из-за нарушения программных, аппаратных или программно-аппаратных средств ее обработки или систем защиты, форс-мажорных обстоятельств, применения специальных технических (например, размагничивающих генераторов), программных (например, логических бомб) средств воздействия, осуществляемого конкурентами, персоналом учреждения или его филиалов, преступными элементами или поставщиками средств обработки информации в интересах третьих лиц;

- модификации или искажения информации вследствие нарушения программных, аппаратных или программно-аппаратных средств ее обработки или систем защиты, форс-мажорных обстоятельств, применения специальных программных (например, лазеек) средств воздействия, осуществляемого конкурентами, персоналом учреждения, поставщиками средств обработки информации в интересах третьих лиц;

- хищения информации путем подключения к линиям связи или техническим средствам, за счет снятия и расшифровки сигналов побочных электромагнитных излучений, фотографирования, кражи носителей информации, подкупа или шантажа персонала учреждения или его филиалов. А также прослушивания конфиденциальных переговоров, осуществляемого конкурентами, персоналом учреждения или преступными элементами, несанкционированного копирования информации, считывания данных других пользователей, мистификации (маскировки под запросы системы), маскировки под зарегистрированного пользователя, проводимых обслуживающим персоналом автоматизированной системы, хищение информации с помощью программных ловушек;

- махинаций с информацией путем применения программных, программно-аппаратных или аппаратных средств, осуществляемых в интересах третьих лиц поставщиками средств обработки информации или проводимых персоналом учреждения, а также путем подделки электронной подписи или отказа от нее.

1.3 Модель защиты

Уменьшить отрицательное воздействие угроз безопасности информации возможно различными методами. Среди таких методов можно выделить четыре основных группы[4]:

- организационные методы;

- инженерно-технические методы;

- технические методы;

- программно-аппаратные методы.

Организационные методы, в основном, ориентированы на работу с персоналом, выбор местоположения и размещения объектов корпоративной сети, организацию систем физической и противопожарной защиты, организацию контроля выполнения принятых мер, возложение персональной ответственности за выполнение мер защиты. Эти методы применяются не только для защиты информации и, как правило, уже частично реализованы на объектах корпоративной сети. Однако, их применение дает значительный эффект и сокращает общее число угроз. Инженерно-технические методы связаны с построением оптимальных сетей инженерных коммуникаций с учетом требований безопасности информации. Это довольно дорогостоящие методы, но они, как правило, реализуются еще на этапе строительства или реконструкции объекта, способствуют повышению его общей живучести и дают высокий эффект при устранении некоторых угроз безопасности информации. Некоторые источники угроз, например обусловленные стихийными бедствиями или техногенными факторами, вообще не устранимы другими методами. Технические методы основаны на применении специальных технических средств защиты информации и контроля обстановки и дают значительный эффект при устранении угроз безопасности информации, связанных с действиями криминогенных элементов по добыванию информации незаконными техническими средствами. Кроме того, некоторые методы, например, резервирование средств и каналов связи, оказывают эффект при некоторых техногенных факторах. Программно-аппаратные методы, в основном, нацелены на устранение угроз, непосредственно связанных с процессом обработки и передачи информации. Без этих методов невозможно построение целостной комплексной системы информационной безопасности. Сопоставим описанные выше угрозы безопасности информации и группы методов их парирования. Это позволит определить, какими же методами какие угрозы наиболее целесообразно парировать, и определить соотношение в распределении средств, выделенных на обеспечение безопасности информации между группами методов. Анализ результатов моделирования с учетом принятых в модели ограничений и допущений позволяет сказать, что все группы методов парирования угрозам безопасности информации имеют примерно равную долю в организации комплексной защиты информации. Однако необходимо учесть, что некоторые методы могут быть использованы только для решения ограниченного круга задач защиты. Это особенно характерно для устранения угроз техногенного и стихийного характера. Наибольший эффект достигается при применении совокупности организационных и программно-аппаратных методов парирования. Анализ весовых коэффициентов программно-аппаратных методов позволяет сделать вывод, что гипотетическое средство защиты корпоративной сети, прежде всего, должно обеспечивать разграничение доступа субъектов к объектам (мандатный и дискреционный принципы). А так же управлять внешними потоками информации (фильтрация, ограничение, исключение) и, как минимум, обеспечивать управление внутренними потоками информации с одновременным контролем целостности программного обеспечения, конфигурации сети и возможности атак разрушающих воздействий [3].

Принцип прозрачности

То есть не надо вводить запреты там, где без них можно обойтись, а если и вводить ограничения, то перед этим посмотреть, как это можно сделать с минимальными неудобствами для пользователя. При этом следует учесть не только совместимость создаваемой системы комплексной защиты с используемой операционной и программно-аппаратной структурой корпоративной сети и традициями фирмы. Вплотную к этой проблеме стоит принцип прозрачности. Корпоративной сетью пользуются не только высококлассные программисты. Кроме того, основное назначение корпоративной сети является обеспечение производственных потребностей пользователей, то есть - работа с информацией. Поэтому система защиты информации должна работать в "фоновом" режиме, быть "незаметной" и не мешать пользователям в основной работе, но при этом выполнять все возложенные на нее функции.

Принцип превентивности

Надо всегда помнить, что устранение последствий нанесенных угрозами безопасности информации потребует значительных финансовых, временных и материальных затрат, гораздо больших, чем затраты на создание системы комплексной защиты информации.

Принцип оптимальности

Оптимальный выбор соотношения между различными методами и способами парирования угрозам безопасности информации при принятии решения позволит в значительной степени сократить расходы на создание системы защиты информации.

Принцип адекватности

Принимаемые решения должны быть дифференцированы в зависимости от важности, частоты и вероятности возникновения угроз безопасности информации, степени конфиденциальности самой информации, а также коммерческой стоимости.

Принцип системного подхода

Позволяет заложить комплекс мероприятий по парированию угрозам безопасности информации уже на стадии проектирования корпоративной сети, обеспечив оптимальное сочетание организационных и инженерно-технических мер защиты информации. Важность реализации этого принципа основана на том, что оборудование действующей незащищенной корпоративной сети средствами защиты информации сложнее и дороже, чем изначальное проектирование и построение ее в защищенном варианте.

Принцип адаптивности

Система защиты информации должна строиться с учетом возможного изменения конфигурации сети, числа пользователей и степени конфиденциальности и ценности информации. При этом введение каждого нового элемента сети или изменение действующих условий не должно снижать достигнутый уровень защищенности корпоративной сети в целом.

Принцип доказательности

При создании системы защиты информации необходимо соблюдение организационных мер внутри корпоративной сети, включая привязку логического, и физического рабочих мест друг к другу, а так же применения специальных аппаратно-программных средств идентификации, аутентификации и подтверждения подлинности информации. Реализация данного принципа позволяет сократить расходы на усложнение системы, например, применять цифровую электронную подпись только при работе с удаленными и внешними рабочими местами и терминалами, связанными с корпоративной сетью по каналам связи [5].

Эти принципы должны быть положены в основу при выборе направлений обеспечения безопасности корпоративной сети, функций и мер защиты информации.

Определившись с функциями, которые должны быть реализованы для защиты информации на конкретном объекте и приступая к выбору конкретных технических решений, то есть к выбору средств защиты информации, обязательно встает вопрос о подтверждении выполнения тех или иных функций конкретным средством защиты. Это немаловажный процесс, который в определенных случаях, (например при организации защиты информации, содержащей государственную тайну или сведения о личности - персональные данные) строго регламентирован. Свидетельством того, что те или иные функции защиты реализованы конкретным средством защиты, является сертификат соответствия - документ, которым независимые эксперты свидетельствуют о готовности средства выполнить эти функции.

2. СПОСОБЫ ЗАЩИТЫ ИНФОРМАЦИИ В КОРПОРАТИВНОЙ СЕТИ

2.1 Компьютерные вирусы

Компьютерным вирусом называется разновидность компьютерных программ, отличительной особенностью которой является способность к самостоятельному размножению. Попадая на компьютер, вирус может создавать свои копии, распространяться, внедряя себя в другие программы, или заменять их. Компьютерные вирусы могут привести к порче или удалению информации, передаче конфиденциальных или персональных данных злоумышленникам по сети Интернет. Возможны сбои в работе программ или самой операционной системы (вплоть до приведения операционной системы в полную неработоспособность).

Пути попадания вирусов на компьютер:

- флеш-накопители являются одним из основных источников заражения компьютеров. Также вирусы могут распространяться и через другие накопители информации, использующиеся в цифровых фотоаппаратах, плеерах, а так же в современных телефонах;

- электронная почта также один из наиболее популярных источников заражения вирусами. Вирусы могут маскироваться под безобидные вложения: картинки, документы, ссылки на другие сайты;

- системы обмена мгновенными сообщениями (ICQ). Тут также действует золотое правило - не открывайте завлекающих ссылок от неизвестных контактов;

- интернет страницы. На них может находиться «активное» вредоносное содержимое. Возможно даже заражение добропорядочных сайтов из-за уязвимости программного обеспечения владельца сайта. Пользователь, зайдя на такой сайт, рискует подвергнуть свой компьютер заражению вирусом.

В сети Интернет и в локальных сетях велика вероятность заражения вредоносными программами категории сетевых червей. Компьютерный червь - подвид вирусов, которые проникают на компьютер жертвы без участия пользователя. Они сканируют сеть на предмет выявления компьютеров с наличием определенной уязвимости, и при нахождении таковых - атакуют их.

Кто и зачем создает вирусы

Создателей вредоносных программ можно разделить на несколько категорий: компьютерные хулиганы, профессионалы - злоумышленники и исследователи.

К первой категории относятся школьники и студенты, которые, зная азы программирования, создают вредоносные программы ради самоутверждения или же ради шутки. Обычно эти программы не используют особо хитрых методов распространения и не представляют большой угрозы. Вирусы созданные этой категорией авторов вредоносных программ составляют малую часть из общей массы. Большинство вирусов создается профессионалами-злоумышленниками, которые обычно являются высококвалифицированными программистами. Эти вирусы создаются ради получения выгоды. Во вредоносных программах подобного рода используются оригинальные и хитроумные методы распространения и проникновения на конечный компьютер. С их помощью злоумышленники воруют персональную или конфиденциальную информацию, которую в дальнейшем могут использовать либо ради обогащения, либо для рассылки спама. В последнее время прокатилась волна вирусов-вымогателей. Они блокируют работу операционной системы и для получения кода разблокировки требуют перечисления денежных средств создателю вируса. Последняя категория создателей вирусов - исследователи. В основном это талантливые программисты. Изобретение новых вирусных методик для них забава. Принципы работы созданных ими вирусов обычно оглашаются на специализированных ресурсах для обсуждения в среде таких же фанатов-программистов. Исследователи очень редко нацелены на приобретение прибыли. Однако когда их труды попадают в руки профессионалов-злоумышленников, эти «исследования» могут принести огромный вред.

Классификация вредоносных программ

На данный момент нет единой общепринятой классификации вредоносных программ. Каждая компания - разработчик антивирусного ПО использует свою классификацию и наименования для определения типа вредоносного ПО. Тем более, учитывая современные тенденции развития вирусных программ, бывает сложно отнести какую-то угрозу к определенному виду. Вредоносная программа может использовать несколько механизмов распространения, которые характерны для разных категорий. Также она может выполнять различные по своей направленности деструктивные действия.

Попробуем предоставить самую общую классификацию по способу распространения, проникновения и заложенному функционалу.

Вирусы

Характерной чертой вирусов является способность самостоятельно размножаться на компьютере без ведома пользователя. Вирус может либо встраиваться в код других программ «заражая» их, или полностью заменять их. Вирусы выполняют деструктивные действия: удаляют или искажают данные, парализуют работу системы, ограничивают доступ к файлам, системным функциям, пр. Для того, чтобы вирус не был обнаружен антивирусной программой, создатели вирусов используют специализированные алгоритмы шифрования кода, полиморфизма, стелс-технологии и т.п. Как правило, заражение вирусами происходит через переносные накопители информации - флешки, карты памяти, внешние жесткие диски, оптические диски, т.п.

Сетевые черви

Главной особенностью сетевых червей является способность самостоятельного распространения по локальной сети или по сети Интернет. Они используют уязвимости в ОС и других программах и проникают на компьютер. Главными каналами распространения сетевых червей являются: электронная почта, сети обмена мгновенными сообщениями, сетевые ресурсы с общим доступом, т.п. Сетевой червь может просканировать компьютер на предмет выявления адресов для рассылки другим компьютерам своей копии. Он может от имени пользователя посылать сообщения завлекающего содержания с просьбой перейти на указанную ссылку и т.п.

Троянские программы

Вредоносное ПО после попадания на компьютер не обязательно должно осуществлять какие-то деструктивные и разрушительные действия. Вредоносная программа может затаиться на компьютере и заниматься сбором и пересылкой конфиденциальной информации злоумышленникам. Именно такие вредоносные программы называются троянскими, или попросту троянами. Некоторые из ни не просто просматривают хранящуюся на жестком диске информацию, но следят за тем, какие клавиши пользователь набирает на клавиатуре. Такие вредоносные программы называются кейлоггерами или клавиатурными шпионами. Еще один вид - бэкдоры (от англ. backdoor - черный вход). Они предоставляют злоумышленнику удаленный доступ к компьютеру.

Нежелательное рекламное ПО

Adware - вредоносное программное обеспечение, принудительно показывающее пользователю рекламу. Устанавливаются на компьютер без согласия пользователя. Могут проявляться в виде перехода на сайты на которые пользователь заходить и не собирался. Также возможно проявление в виде постоянно всплывающих рекламных окон, баннеров, т.п. Совместно с рекламными программами могут использоваться и шпионские приложения (spyware), собирающие досье на пользователя и его компьютер. Эти данные могут потом использоваться в целевых рекламных компаниях без согласия человека.

Некоторые производители антивирусов утверждают, что сейчас создание вирусов превратилось из одиночного хулиганского занятия в серьёзный бизнес, имеющий тесные связи с бизнесом спама и другими видами противозаконной деятельности. Также называются миллионные, и даже миллиардные суммы ущерба от действий вирусов и не желательного ПО. К подобным утверждениям и оценкам следует относиться осторожно - суммы ущерба по оценкам различных аналитиков различаются (иногда на три - четыре порядка), а методики подсчёта не приводятся.

2.2 Антивирусная защита

Как защититься от вирусов и нежелательно программного обеспечения? Конечно же при помощи антивирусной программы. Итак, что же такое антивирусная программа, антивирусная программа (антивирус) - это специализированная программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления заражённых (модифицированных) такими программами файлов, а также для профилактики предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.

Антивирусные программы по технологии делятся на сигнатурный метод детектирования и проактивные метод антивирусной защиты [1].

Сигнатурный метод

Это классические антивирусные продукты позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение, многие детекторы имеют режимы лечения и уничтожения зараженных файлов. Следует заметить, что программы-детекторы могут обнаруживать только те вирусы, которые ей известны т.е. которые есть в их базах данных (сигнатурах). Для достижения продолжительного успеха при использовании этой технологии необходимо периодически пополнять базу известных вирусов новыми определениями т.е. обновлять сигнатуры антивирусной программы в основном это доступно в онлайновом режиме.

Достоинства и недостатки сигнатурного метода детектирования:

- позволяют определять конкретную атаку с высокой точностью и малой долей ложных вызовов;

- беззащитны перед полиморфными вирусами, т.е. теми вирусами, которые способны при заражении полностью менять свой код, как бы образуя многообразие форм одного и того же вируса;

- требуют регулярного и крайне оперативного обновления, так как без обновленных сигнатур неспособны выявить какие-либо новые атаки;

- требуют кропотливого ручного анализа вирусов при создании сигнатур.

Проактивный метод

Метод совмещающий совокупность технологий, используемых в антивирусном программном обеспечении, основной целью которых, в отличие от сигнатурных технологий, является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе. При этом проактивная защита старается блокировать потенциально опасную активность программы только в том случае, если эта активность представляет реальную угрозу. В настоящее время проактивные технологии являются важным компонентом антивирусного программного обеспечения. Серьезный недостаток проактивной защиты это блокирование легитимных программ, большое количество ложные срабатываний. Нужно заметить, что разработаны специальные антивирусные прокси-серверы и брандмауэры, сканирующие проходящий через них трафик и удаляющие из него вредоносные программные компоненты. Эти антивирусы часто применяются для защиты корпоративных сетей.

2.3 Контентная фильтрация

Программа ограничения веб-контента или другими словами контентная фильтрация это программное обеспечение или устройство для фильтрации сайтов по их содержимому, не позволяющее получить доступ к определённым сайтам или услугам в глобальной сети. Нежелательным контентом являются: вирусы, трояны и прочие вредоносные объекты, а также перехват паролей, сетевые атаки, утечка важной информации и злоупотребление персональными данными. Кроме того, существует определенная информация, доступ к которой по какой либо причине необходимо ограничить. Решением всех этих проблем является использование системы контетной фильтрации. Похожей системой пользуются антивирусы и фаерволы, защищающие компьютер от вирусов и сетевых атак.

В качестве примеров контентной фильтрации можно привести спам-фильтры, используемые сегодня повсеместно на почтовых серверах и пользовательских рабочих станциях, или противопорнографические фильтры, устанавливаемые на школьные компьютеры во многих странах. В настоящее время контентная фильтрация также активно применяется в корпоративных системах безопасности - например, в получающих всё большее распространение системах защиты от утечек данных [10].

Стоит отметить, что сегодня под контентной фильтрацией понимают совокупность различных методов, предназначенных для блокировки данных по признаку содержащейся в них информации, а не какую-то одну технологию. Хотя многие производители программного обеспечения, включающего в себя средства контентной фильтрации, взращивают в пользователях уверенность, что контентная фильтрация ограничивается только фильтрацией по формальным признакам. В действительности же контентная фильтрация использует большое количество различных техник, включая уже упомянутые семантический поиск, распознавание изображений, эвристический анализ, анализ информации с использованием регулярных выражений, вероятностные методы; фильтрацию, основанную на источнике данных [10]. При этом большинство систем контентной фильтрации не ограничивается применением какого-то одного метода, а использует их комбинации.

Не всегда контент-фильтры используются для обеспечения безопасности, так же с их помощью осуществляется цензура или контроль других людей. Масштабы фильтрации могут доходить до блокировки ресурсов в целых регионах странах. За примерами контроля с помощью контент фильтра можно взять любое предприятие использующее программу ограничения веб-контента, любой офисный сотрудник, имеющий доступ к интернету на рабочем месте, сталкивался с блокировкой отдельных ресурсов и программ. Это обусловлено тем, что начальство заинтересовано в том, чтобы их работники выполняли свои обязанности, а не развлекались. Кроме того, во многих компаниях трафик ограничен, поэтому блокировка оправдана экономическими соображениями. Стоит упомянуть также, что ограничение пользования сетью на работе помогает избежать случаев заражения компьютера вирусами и троянами, поскольку если сотрудник посещает лишь нужные по работе сайты, у него меньше шансов подцепить виртуальную заразу. Совсем другое дело, когда работодатель следит за действиями своих подчиненных в интернете. Отслеживание журнала посещений, чтение логов служб моментальной доставки сообщений и переписки по электронной почте является незаконным. Данная информация является конфиденциальной. Но компания имеет право отслеживать ее, если подписала с работником договор, в котором он согласился на это.

Технологии не стоят не месте, они постоянно развиваются, пополняя Интернет новыми возможностями и новыми угрозами. Поэтому крайне важно вовремя устанавливать защитное программное обеспечение, чтобы защититься от интернет угроз.

2.4 Сетевые шлюзы

Аппаратный маршрутизатор или программное обеспечение для сопряжения компьютерных сетей который использует разные протоколы, называется сетевым шлюзом. Сетевой шлюз конвертирует протоколы одного типа физической среды в протоколы другой физической среды сети. Например, при соединении локального компьютера с сетью интернет обычно используется сетевой шлюз. Маршрутизатор (роутер) является одним из примеров аппаратных сетевых шлюзов. Основная задача сетевого шлюза - конвертировать протокол между сетями. Роутер сам по себе принимает, проводит и отправляет пакеты только среди сетей, использующих одинаковые протоколы.

Сетевой шлюз может с одной стороны принять пакет, сформатированный под один протокол (например NetWare) и перед отправкой в другой сегмент сети конвертировать в пакет другого протокола (например TCP/IP) [1]. Сетевые шлюзы могут быть аппаратным решением, программным обеспечением или тем и другим вместе, но обычно это программное обеспечение, установленное на роутер или компьютер. Другими словами сетевой шлюз - это точка сети, которая служит выходом в другую сеть. В сети конечной точкой может быть или сетевой шлюз, или хост, например интернет пользователи и компьютеры, которые доставляют веб-страницы пользователям - это хосты, а узлы между различными сетями - это сетевые шлюзы.

То есть сервер, контролирующий трафик между локальной сетью компании и сетью интернет это и есть сетевой шлюз. В качестве шлюза обычно используется компьютер, на котором запущено соответственное программное обеспечение. Некоторые устройства выполняющие функции шлюза называют устройства обслуживания канала или устройствами обслуживания цифрового канала. Шлюз осуществлять соединение на уровне выше сетевого. Существует три категории шлюзов: протоколов, приложений и безопасности.

Шлюзы протоколов, объединяют области сети, которые используют различные протоколы. Физическое преобразование происходит на сетевом уровне. Протокольные шлюзы бывают двух типов - безопасности и туннелирования. Шлюзы безопасности, которые соединяют технически подобные области сети, вследствие логических различий между областями являются обязательными промежуточными звеньями. Туннельные шлюзы - для передачи данных через несовместимые области сети, используется относительно несложная методика туннелирования, пакеты данных инкапсулируются в кадры, которые распознаются сетью, через которую планируется организовать передачу, при этом сохраняется первоначальный формат и разбивка на кадры.

Шлюзы приложений представляют собой системы, которые преобразуют данные из одного формата в другой. Как правило, эти шлюзы играют роль промежуточного устройства между получателем и отправителем, несовместимых данных. Типичная последовательность действий выполняемых шлюзом, сводится к приему данных в одном формате, преобразованию и их передаче в другом формате. Наличие непосредственного соединения между передающим и принимающим данные устройствами необязательно.

Шлюзы безопасности - успешно используют самые различные технологии и существенно отличаются от рассмотренных выше шлюзов, что позволяет выделить их в отдельную категорию основная область применения - фильтрация данных на различных уровнях (от уровня протокола до уровня приложений). Если говорить о недостатках шлюза, то к ним можно отнести: сложность в установке и настройке, стоимость шлюзов выше стоимости других коммутационных устройств, шлюз работает медленнее, чем маршрутизаторы или мосты т. к. требуется время на преобразование протоколов.

В крупных сетях сервер, работающий как сетевой шлюз, обычно интегрирован с межсетевым экраном и прокси-сервером. Так же сетевой шлюз часто объединен с роутером, который управляет распределением и конвертацией пакетов в сети.

2.5 Межсетевой экран

Наиболее кратким, но в то же время понятным определением будет то, которое дано в Википедии [1]: Межсетевой экран (firewall, FW, файрволл, брандмауэр, МЭ) - комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации. Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов - динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.

Это определение буквально и относится к МЭ в классическом понимании стоящих перед ними задач. Ещё десяток лет назад такое определение было бы исчерпывающим. Однако в настоящий момент его можно смело расширить, используя для описания понятия те задачи, которые решаются современными межсетевыми экранами. Практика разработки и, прежде всего, использования современных систем распределённого межсетевого экранирования показывает, что наиболее востребованы решения, совмещающие в себе функции файрволла и средства построения виртуальных частных сетей (VPN).

Решаемые задачи МЭ [9]:

- организация доверенных и защищённых каналов связи в рамках единой, территориально распределённой информационной системы;

- сегментирование информационных систем;

- защита корпоративной информационной системы от внешних угроз;

- организация защищённого доступа;

- фильтрация доступа к заведомо незащищенным службам;

- препятствование получению закрытой информации из защищенной подсети, а также внедрению в защищенную подсеть ложных данных с помощью уязвимых служб;

- контроль доступа к узлам сети;

- может регистрировать все попытки доступа как извне, так и из внутренней сети, что позволяет вести учёт использования доступа в интернет отдельными узлами сети;

- регламентирование порядка доступа к сети;

- уведомление о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран.

...