Граничный маршрутизатор на стороне провайдера производит фильтрацию всего трафика, что значительно снижает угрозу DoS-атак, спуфинга локальных сетей и частных адресов.

Первый маршрутизатор корпоративной сети производит базовую фильтрацию, которая пропускает только легитимный для предоставляемых услуг трафик. Это защищает от большинства угроз. Здесь же дублируется фильтрация, которая происходит на стороне провайдера и отбрасываются все фрагментированные пакеты. На этом маршрутизаторе происходит фильтрация VPN-туннелей, пропускающая только трафик IPSec между доверенными узлами сети.

Устройства IDS по обеим сторонам межсетевого экрана сконцентрированы на более изощренных атаках. Серверы настраиваются таким образом, чтобы пропускать запросы только в одном направлении, что обеспечивает защиту в случае контроля злоумышленника надо одни из серверов. Технология VLAN также не позволит совершать атаки с одного сервера на другой.

Прокси-сервер производит фильтрацию запросов в сеть интернет в соответствии с корпоративной политикой безопасности. На всех серверах устанавливаются агенты системы обнаружения атак, пресекающую любую подозрительную активность на уровне операционной системы и приложений.

Система IDS на пути к модулю периферийного распределения работает в сфокусированном режиме, подразумевая, что если в данном сегменте сети (на выходе из маршрутизатора) обнаруживается подозрительная активность, то это означает, что какое-то из устройств уже захвачено злоумышленником. Здесь требуется особое внимание.

Модуль VPN и удаленного доступа

Основные задачи VPN модуля: терминация VPN трафика и аутентификация удаленных пользователей. После аутентификации, проходя через межсетевой экран, весь трафик поступает в модуль периферийного распределения.

Основные устройства (рисунок 13).

1. VPN-концентратор. Обеспечивает аутентификацию удаленных пользователей и терминацию IPSec-туннелей.

2. VPN-маршрутизатор. Аутентифицирует доверенные удаленные сегменты и обеспечивает связь через GRE/IPSec-туннели.

3. Межсетевой экран. Обеспечивает безопасность удаленного доступа.

4. Система обнаружения вторжений IDS. Инспектирует весь трафик прикладных уровней модели OSI.

Рисунок 13. Модуль VPN и удаленного доступа с функциями защиты

Предотвращаемые угрозы.

1. Исследование сети. Пропускаются только данные набора протоколов IPSec.

2. Атака на пароли. Используются однократные пароли.

3. Несанкционированный доступ. Межсетевой экран, расположенный на пути расшифрованных данных, предотвращает их передачу на нелегитимные порты.

4. Атака типа Man-in-the-Middle . Трафик шифруется.

5. Сниффинг пакетов. Коммутируемая инфраструктура снижает эффективность сниффинга.

VPN трафик, предварительно фильтруясь по IP-адресам и протоколам, передается в этот модуль из модуля Интернет. Как правило, используется протокол IPSec. VPN-концентратор обеспечивает надежную аутентификацию пользователей, прежде чем этот пользователей сможет получить какие-либо параметры IP. После аутентификации, пользователь получает доступ, далее терминированный трафик передается на межсетевой экран, обеспечивающий его последующую фильтрацию. Безопасность достигается за счет навязывания пользователю всех параметров IPSec и параметров безопасности с центрального сегмента сети. Подключение ко всем функциям управления обеспечивается через выделенный интерфейс.

Связь между различными сегментами сети посредством VPN достигается с использованием GRE-туннелей (Generic Routing Encapsulation -- протокол туннелирования сетевых пакетов), защищенных протоколом IPsec. Как и в случае с удаленным доступом, трафик от модуля Интернета поступает на строго определенные адреса VPN-маршрутизаторов. Протокол GRE создает маршрутизируемый канал передачи данных между удаленными сегментами сети. Максимальная безопасность достигается применением алгоритмов шифрования и контроля целостности.

Узлы IDS необходимы для защиты от попыток получения доступа к VPN-концентраторам. Сигналы тревоги этих узлов стоит расценивать как захват одного из устройств модуля, поскольку они не могут инспектировать содержание IPSec-туннелей.

Модуль филиальной сети

Основная задача модуля -- обеспечение безопасности и устойчивости соединений между центральным офисом и филиальными сетями. Подразумевается, что трафик передается по протоколу Frame Relay.

Рисунок 14. Модуль филиальной сети с функциями защиты

Модуль состоит из маршрутизатора (рисунок 14), использующего механизм контроля доступа и качества обслуживания (QoS).

Предотвращаемые угрозы.

1. IP-спуфинг. Достигается фильтрацией на 3-ем уровне.

2. Несанкционированный доступ. Контроль доступа на маршрутизаторе позволяется ограничить доступ на уровне протоколов, используемых филиалами.

Устойчивость достигается резервированием соединения от провайдера к модулю периферийного распределения. Безопасность поддерживается использованием маршрутизатора. Блокировка нежелательного трафика обеспечивается списками контроля доступа (ACL) на входе маршрутизатора.

Возможен вариант шифрования конфиденциального трафика, передаваемого через Интернет.

Модуль электронной коммерции

Поскольку основная задача этого модуля -- проведение финансовых и торговых транзакций, то при его построении следуют компромиссу между удобством и безопасностью.

Основные устройства (рисунок 15).

1. WEB-сервер. Предоставляет интерфейс интернет-магазина.

2. Сервер приложений. Является платформой для различных приложений, которые требуются WEB-серверу.

3. Сервер баз данных. Содержит базы данных всех приложений сервера приложений.

4. Межсетевой экран. Обеспечивает функции безопасности и контроля доступа.

5. Системы обнаружения IDS. Инспектируют весь проходящий трафик.

6. Коммутатор 3-го уровня с интегрированными функциями безопасности.

Рисунок 15. Модуль электронной коммерции с функциями защиты

Предотвращаемые угрозы.

1. Несанкционированный доступ. Минимизируется межсетевым экраном со списками контроля доступа (ACL).

2. Атаки на приложения. Защита обеспечивается системой IDS.

3. DoS-атаки. Защита обеспечивается на стороне провайдера.

4. IP-спуфинг. Достигается фильтрацией на 3-ем уровне.

5. Сниффинг пакетов. Коммутируемая инфраструктура вместе с системами IDS снижают эффективность сниффинга.

6. Исследование сети. Ограничение по портам, блокировка ICMP- запросов.

7. Злоупотребление доверием. Правила межсетевых экранов четко регламентируются тип проходящего трафика.

8. Атака на порты. Ограничение эффективности этой атаки достигается фильтрацией на межсетевом экране и системами IDS.

Основу модуля представляют отказоустойчивые межсетевые экраны, защищающие WEB-серверы, серверы приложений и серверы баз данных. Дополнительная защита обеспечивается периферийными маршрутизаторами корпоративной сети и сети провайдера. В процессе взаимодействия межсетевые экраны разрешают передачу трафика только по трем маршрутам, каждый их которых работает только со своим протоколом, при этом блокируя все остальные попытки связи, в случае, если они не являются ответными пакетами на поступившие запросы.

Особое внимание уделяется обеспечению безопасности WEB-сервера. Обязательно наличие актуальных обновлений и изменений, развернута система IDS. Остальные серверы должны иметь аналогичные средства защиты.

Как правило, для защиты модуля электронной коммерции требуется участие провайдера. Желательно если его граничный маршрутизатор разрешал передачу трафика только на WEB-сервера и ограничивал количество используемых протоколов. Также провайдер может минимизировать DoS-атаки, используя фильтрацию и ограничение трафика.

Коммутатор 3-го уровня, установленный на периферии корпоративной сети, во-первых, участвует в маршрутизации запросов пользователей, во-вторых, производит дополнительную к ISP фильтрацию трафика, тем самым повышая безопасность, в-третьих, при наличии дополнительного IDS-модуля обеспечивается распознавание атак.

Средства IDS, установленные с внутренней стороны межсетевого экрана, сфокусированы каждый на своем сегменте сети и фиксирует определенный тип трафика.

Обмен данными между различными серверными приложениями должен быть защищенный, транзакционный и обладающий надежной системой аутентификации.

Коммутаторы 2-го уровня, используя технологию VLAN, позволяют пропускать только тот трафик, который отвечает определенным требованиям в рамках определенного сегмента.

Управление модулем электронной коммерции осуществляется только по сети управления, описанной в модуле управления.

2.3 Варианты упрощения модульной архитектуры

Реализация всех вышеописанных модулей может стать экономически затратной для организации. Поэтому можно использовать следующие варианты упрощения модульной архитектуры.

1. Модуль управления можно интегрировать в модуль ядра сети. Это даст возможность сократить количество коммутаторов 3-го уровня. При этом незначительно снизится производительность ядра сети.

2. Слияние модуля VPN и модуля Интернета. При наличии достаточных ресурсов у сетевых компонентов и количества интерфейсов межсетевого экрана, потери функциональности окажутся незначительными. Но необходимо учитывать, что при объединении разных функций на одном устройстве, увеличивается вероятность человеческих ошибок. В случае же интеграции в модули VPN и Интернета еще и модуль электронной коммерции, риски безопасности начинают преобладать над экономией.

3. Удаление излишних узлов IDS. В зависимости от вариантов построения корпоративной сети это вполне допустимый способ экономии.

Таким образом, в текущей главе была описана модель безопасной корпоративной сети передачи данных. Основные характеристики этой модели предполагается использовать в дальнейшем для разработки рекомендаций по защите информации на конкретном предприятии.



Глава 3. Анализ рисков информационной безопасности на предприятии

3.1 Описание объекта исследования

НПО «Ассоциация К» -- холдинговая компания, состоящая из группы научно-производственных предприятий различного профиля деятельности, но объединенных единой целью -- разработкой, производством и продвижением на рынок огнезащиты высококачественных продукции и услуг для обеспечения пожарной безопасности зданий и сооружений промышленного и гражданского назначения и защиты людей от влияния вредных факторов техногенного характера.

Профили деятельности [18]:

ѕ организационно-методическое и научно-техническое сопровождение производственной деятельности подведомственных предприятий; их информационное и юридическое обеспечение, подбор и подготовка кадров, материально-техническое обеспечение, предоставление транспортных услуг;

ѕ проектирование схем и систем противопожарной защиты, пассивных и активных средств пожаротушения, обеспечивающих пожарную безопасность зданий, сооружений; разработка новой продукции и услуг, проектов огнезащиты;

ѕ производство и продажа противопожарных изделий, оборудования, составов, красок и пропиток;

ѕ производство работ по повышению огнестойкости металлических, железобетонных и деревянных конструкций, электрических кабелей, воздуховодов, каналов дымоудаления, ковровых изделий и др., а также работ по монтажу пожарно-технических изделий и оборудований, систем пожарной и охранной сигнализации, установок пожаротушения и сервисному обслуживанию, проведению мониторинга смонтированного оборудования, как собственного, так и других фирм;

ѕ проектирование, разработка, изготовление противопожарных преград: противопожарных дверей, остекленных перегородок, окон, ворот и другого оборудования.

3.2 Бизнес-процессы верхнего уровня рассматриваемого предприятия

Ниже перечислены процессы верхнего уровня НПО «Ассоциация К» [18].

Процессы управления:

1) управление ресурсами;

2) процессы менеджмента качества.

Основные процессы:

1) прохождение заказа;

2) проектирование и разработка;

3) управление производством;

4) контроль;

5) поставка и сервис.

Обеспечивающие процессы:

1) управление персоналом;

2) техническое обслуживание оборудования и средств механизации;

3) закупки;

4) управление контрольно-измерительными средствами.

Управление процессами осуществляется в направлении наибольшего удовлетворения потребителей как внешних, так и внутренних, поэтому производится мониторинг и оценка удовлетворённости потребителей, что является основой для улучшения (совершенствования) бизнес-процессов.

На рисунке 16 изображена диаграмма модели процессов холдинга согласно стандарту ГОСТ ISO 9001-2015.

Рисунок 16. Модель процессов НПО «Ассоциация К» согласно ГОСТ ISO 9001-2015

3.3 Основные этапы построения систем защиты информации

Для достижения цели повышения информационной безопасности на рассматриваемом предприятии, необходимо полностью или частично следовать нижеописанным этапам построения защищенных систем [3].

1. Выявление конфиденциальной информации, которую необходимо защищать, а также источников угроз (частных лиц и организаций), которых эти сведения могут интересовать.

2. Выявление возможных точек нападения.

3. Анализ уязвимостей (каналы утечки и НСД, вероятность реализации угроз, модель действий нарушителя, анализ и оценка рисков).

4. Выбор контрмер, обеспечивающих информационную безопасность.

5. Проверка системы защиты информации (оценка эффективности, тестирование).

6. Составление плана защиты информации.

7. Реализация плана защиты информации.

3.4 Конфиденциальная информация предприятия

Согласно действующему законодательству РФ организация -- владелец информации вправе сама определять перечень отнесения тех или иных сведений к конфиденциальной информации. ФЗ «Об информации, информационных технологиях и защите информации»[16] определяет лишь понятие «конфиденциальности». «Конфиденциальность информации -- обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия её обладателя». Эта информация имеет действительную или потенциальную коммерческую ценность для предприятия в силу недоступности третьим лицам.

Перечень конфиденциальных сведений базируется на основных бизнес-процессах компании.

1. Данные о потребностях организации в персонале, составе и численности работников, уровне их квалификации, опыте работы.

2. Учебные пособия входящего в состав холдинга учебного центра по пожарной безопасности.

3. Информация о наличии и стоимости готовой продукции (остатки на складах, в цехе, в незавершенном производстве, прайс-листы и др.).

4. Информация об объемах работ, поставках, сроках исполнения по договорам.

5. Клиентская база.

6. Ценовая политика и порядок расчетов.

7. Проектная, конструкторская, сопроводительная документация.

8. Хранившаяся в базах данных информация о потенциальных или действительных заказах, коммерческих предложениях, договорах, проектах и др.

9. Полученная от клиентов информация о качестве выполненных работ и поставленной продукции, рекламации и другие претензии и замечания.

10. Проекты схем и систем противопожарной защиты, пассивных и активных средств пожаротушения, обеспечивающих пожарную безопасность зданий и сооружений.

11. Разработки новых и модифицированных видов огнезащитных составов, красок, пропиток.

12. Разработки новых изделий и пожарно-технического оборудования, технологий.

13. Результаты архитектурного и технологического проектирования объектов.

14. Технологические регламенты.

15. Информация о проведенных экспертизах проектов в пожарной безопасности.

16. Производственные прогнозы, планы развития и совершенствования производства.

17. Нормы расходов сырья, материалов, чертежи.

18. Информация о потребностях в сырье, материалах, полуфабрикатах и комплектующих изделиях.

19. Наличие и состояние производственных мощностей и возможностей производства.

20. Данные о поставщиках, заключенных с ними договорах и история взаимоотношений. Реестр утвержденных поставщиков.

21. Реестры (информационные базы) учета договоров и коммерческих предложений, сведения об их реализации.

22. Каталог комплектующих материалов (с характеристиками и модификациями), необходимый для формирования заказа на изготовление противопожарного оборудования.

23. Документы контроля качества изготовляемой продукции.

24. Схемы размещения сырья, материалов, готовой продукции на складах.

25. Документы системы менеджмента качества (Руководство по качеству, Положения об отделах, описание бизнес-процессов, структуры холдинга и т.д.).

26. Протоколы испытаний готовой продукции, данные о результатах контроля.

27. Документы внутренних аудитов, перспективный план развития компании.

28. Регламенты технического обслуживания и ремонта технологического оборудования.

29. Нормативно-техническая документация.

30. Финансовая информация: затраты на производство, себестоимость, накладные расходы, минимальные цены.

31. Маркетинговые исследования (технические возможности и цены конкурентов).

32. Конкурсная документация.

33. Платежные документы, данные об экономических показателях.

34. Приказы и поручения руководства компании, другие локальные нормативно-правовые акты.

35. Регистрируемая входящая и исходящая корреспонденция.

36. Бюджеты, бухгалтерские балансы, сведения об оплате труда, акты выполненных работ.

37. Первичные документы бухгалтерского учета.

38. Телефонные справочники.

39. Сведения об используемом программном обеспечении, средствах вычислительной техники, СКЗИ, средствах защиты информации.

40. Документы и сведения, содержащие данные о системе охранно-пожарной сигнализации, графике работы сотрудников охраны, схемы размещения камер видеонаблюдения, систем контроля доступа.

3.5 Описание ИТ-инфраструктуры предприятия

Территориальная структура предприятия

НПО «Ассоциация К» имеет следующую территориально-распределенную структуру (рисунок 17).



Рисунок 17. Территориальная структура предприятия

1. Центральный офис -- расположен на принадлежащей компании территории промышленной зоны в деревне Машково Московской области и представляет собой несколько офисных зданий. Здесь же располагается химическое производство огнезащитных составов, красок и пропиток. Территория огорожена по периметру и имеет круглосуточную охрану (сотрудники охраны, пропускной режим, система видеонаблюдения и контроля доступа, охранно-пожарная сигнализация). Вход и выход сотрудников предприятия осуществляется через систему контроля доступа с использованием именных электромагнитных пропусков. Проезд автотранспорта на территорию осуществляется через автоматические ворота. Электропитание на территорию подается по двум независимым линиям, основной и резервной, переключение между которыми осуществляется в ручном режиме в течение регламентированного времени (10 минут). Подключение к Интернету организовано по двум независимым каналам связи от разных провайдеров Интернета (основной канал -- оптико-волоконная линия, резервный -- направленный Wi-Fi). Переключение между ними в случае аварии осуществляется автоматическим способом. Доступ в серверные комнаты, а также в некоторые закрытые помещения осуществляется с использованием электронной системы контроля доступа с последующим дублированием механическими замками. Все серверы и сетевое оборудование уровней ядра и распределения расположены в серверных комнатах, сетевое оборудование уровня доступа -- в открытом доступе в помещениях офиса (как правило, в одном из помещений этажа на стене). Офисные здания и производственные цеха соединены между собой оптико-волоконной линией связи. Количество рабочих мест (компьютер/ноутбук) в офисе -- около 250.

2. Представительский офис в г. Москва -- расположен на территории двухэтажного арендуемого здания и примыкающей к нему огороженной автомобильной стоянкой. Имеет два выхода из здания, один на городскую улицу, второй во внутренний двор со стоянкой, въезд и выезд с которой производится через автоматические ворота. Офис имеет круглосуточную охрану (сотрудники охраны, пропускной режим, система видеонаблюдения и контроля доступа, охранно-пожарная сигнализация). Вход и выход сотрудников предприятия осуществляется через систему контроля доступа с использованием именных электромагнитных пропусков. Аналогично центральному офису доступ в серверную комнату и другие критически важные объекты осуществляется с помощью системы контроля доступа. Резервного электропитания в офисе нет, но имеется в наличие дизель-генератор, время на ввод в эксплуатацию которого составляет около 1-го часа. Подключение офиса к Интернету организовано по двум каналам связи, основному -- по витой паре, и резервному -- по технологии ADSL. Переключение осуществляется автоматическим способом. Все серверы и сетевое оборудование уровней ядра и распределения расположены в серверных комнатах, сетевое оборудование уровня доступа -- в открытом доступе в помещениях офиса. Количество рабочих мест (компьютер/ноутбук) в офисе -- около 50.

3. Региональный офис -- расположен в г. Алексин Тульской области. Представляет собой огороженную территорию, на которой располагаются офисное здание и цех по производству противопожарных изделий и оборудования. Охрана и контроль доступа в офисе обеспечиваются по той же схеме, как и в центральном офисе. Есть резерв электропитания, два интернет-канала (основной -- оптико-волоконный, резервный -- ADSL). Серверная комната совмещена (смежное расположение) с кабинетом системного администратора, доступ в кабинет осуществляется только по электронным пропускам. Все серверы и сетевое оборудование уровней ядра и распределения расположены в серверной комнате, сетевое оборудование уровня доступа -- в открытом доступе в помещениях офиса. Количество рабочих мест (компьютер/ноутбук) в офисе -- около 70.

4. Представительство в г. Санкт-Петербург -- располагается в нежилых (коммерческих) помещениях многоквартирного дома. Количество рабочих мест сотрудников представительства -- около 10. Офис оборудован домофоном для обеспечения контроля доступа посторонних лиц, в нерабочее время закрывается на ключ и ставится под охрану. Электропитание подается от сети многоквартирного дома, Интернет проводной по выделенной линии, резерва нет. Серверное оборудование отсутствует.

5. Представительство в г. Сочи -- располагается на территории офисного центра. Численный состав сотрудников представительства -- 5 человек. Офис в нерабочее время закрывается на ключ, охраняется службой охраны бизнес-центра. Резерва электропитания и Интернета нет. Серверное оборудование отсутствует.

6. Филиалы в районах расположения объектов строительства. Представляют собой арендованные помещения или строительные «вагончики» с числом сотрудников от 1 до 5. Как правило, обеспечиваются мобильным интернетом, но может присутствовать и проводное подключение к Интернету (со статическим IP-адресом) для обеспечения IP-телефонией и программным VPN-туннелем с центральным офисом.

Весь информационный обмен между территориальными структурами холдинга производится через глобальные сети посредством защищенных VPN-туннелей, обеспечивающих инкапсуляцию, проверку подлинности и шифрование данных [9]. Помимо этого в каждом подразделение развернута аналоговая телефония (количество линий зависит от размера филиала), обеспечивающая резервную телефонную связь между ними в случае возникновения проблем с Интернетом.

Корпоративная сеть центрального офиса.

На рисунке 18 представлена топология корпоративной сети центрального офиса НПО «Ассоциация К».

Все серверы и сетевое оборудование верхних уровней распределены по двум серверным комнатам, в целях безопасности расположенных в различных офисных зданиях, но при этом соединенных между собой волоконно-оптической линией с использованием высокопроизводительных серверных коммутаторов.

Доступ в Интернет

Как уже упоминалось выше, локальная вычислительная сеть (ЛВС) центрального офиса подключена к Интернету по двум независимым линиям связи от разных провайдеров, одна из линий -- это волоконно-оптическая линия (оптика), другая -- направленный сигнал Wi-Fi. Внутри здания сигнал от обоих провайдеров конвертируется в Ethernet, который имеет две точки входа в сеть. Первая точка входа: сервер-шлюз на операционной системе CentOS, где каждая из линий подключается к отдельной сетевой карте сервера. Вторая точка входа: маршрутизатор Mikrotik, где каждая из линий подключается на отдельный WAN-порт.

Рисунок 18. Схема корпоративной сети центрального офиса

В конкретный момент времени всегда активна линия только одного провайдера (основной канал), в случае перерыва связи (обрыв линии, техническая неисправность на стороне провайдера и т.д.) на обеих точках входа происходит программное переключение на альтернативного провайдера с перестройкой таблиц маршрутизации. Переключение является прозрачным для пользователей интернет-услуг за исключением передачи голоса и потокового видео.

IP-телефония

Подключение к Интернету через маршрутизатор Mikrotik, расположенный в серверной №2, обусловлено требованиями IP АТС (сервер IP-телефонии) к «прямому» доступу в глобальную сеть. Маршрутизатор пробрасывает SIP-пакеты (голосовой трафик) на один из сетевых адаптеров сервера без каких-либо манипуляций с ними. Вторая причина, по которой это подключение присутствует -- необходимость в наличии административного доступа в Интернет для сотрудников Департамента ИТ. Списки контроля доступа (ACL) на маршрутизаторе настроены таким образом, чтобы пропускать только SIP-трафик на IP АТС и обеспечивать доступ в Интернет только конкретным устройствам (по IP и MAC-адресам).

Сервер IP-телефонии представляет собой программное VoIP (Voice over IP) решение Asterisk, развернутое на операционной системе CentOS. Поскольку сервер имеет прямое (без использования NAT) подключение к Интернету, то для его защиты используются цепочки правил встроенного в операционную систему межсетевого экрана Netfilter (утилита Iptables). Эти правила настраиваются таким образом, чтобы пропускать только SIP-трафик и только от конкретных IP-адресов провайдеров IP-телефонии либо удаленных абонентов (IP-телефонов и смартфонов). Ранее уже упоминалось, что некоторые филиалы обеспечиваются интернет-подключением со статическим IP-адресом. Этот адрес как раз необходим для внесения в правила межсетевого экрана. Другой сетевой картой IP АТС «смотрит» в локальную сеть, где нет никаких ограничений по трафику, а доступ к тем или иным подсетям определяется таблицей маршрутизации операционной системы и правилами межсетевого экрана. В целях безопасности административный доступ к серверу со стороны глобальной сети закрыт, даже по протоколу SSH.

Помимо сервера IP-телефонии на предприятии используются цифровая телефонная станция Panasonic, позволяющая работать с классическими телефонными линиями. Эта станция имеет встроенную возможность коммутации с аналогичной телефонной станцией, находящейся в представительском офисе в г.Москва по протоколу IP. Обмен голосовым трафиком между двумя офисами производится через VPN-туннель.

Сервер-шлюз

Основной для организации точкой выхода в Интернет является подключение через сервер-шлюз, расположенный в серверной №1. Сервер-шлюз совмещает в себе функции шлюза доступа в Интернет, почтового сервера, прокси-сервера, VPN-концентратора и межсетевого экрана. Весь необходимый функционал реализуется посредством операционной системы CentOS и дополнительных установленных пакетов приложений.

Весь проходящий через сервер трафик инспектируется межсетевым экраном Netfilter, обрабатывающим его согласно строго определенным цепочкам правил. Прокси-сервер Squid позволяет гибко управлять контролем доступа пользователей к определенным интернет-ресурсам. Почтовый сервер имеет «самообучаемую» защиту от спама и настроен на работу по протоколу IMAP, позволяющему использовать авторизацию пользователей через службу каталогов (Active Directory) контроллера домена.

Функции VPN-концентратора выполняет программный пакет KAME IPSec-Tools, который формирует VPN-туннели с представительствами и филиалами компании, а также с конечными пользователями, которым предоставляется удаленный доступ к сети предприятия. Данное программное обеспечение позволяет реализовать возможность автоматического перезапуска VPN-туннелей в случае недоступности одного из провайдеров Интернета. Оборудование представительского офиса в г. Москва позволяет распознать смену провайдера на стороне сервера центрального офиса и инициализировать пересоздание туннеля. Аналогично работает и сервер в центральном офисе. Это позволяет постоянно поддерживать стабильный VPN-туннель между центральным и представительским офисом (время переключения не более 5 минут). Оборудование в других филиалах требует ручного пересоздания туннеля с резервным провайдером, однако на стороне сервера-шлюза в центральном офисе никаких операций производить не нужно.

Через VPN-туннели с представительствами и филиалами компании производится обмен данными, почтой, голосовым трафиком, производится репликация серверов, работа удаленных пользователей на терминальном сервере. Это позволяет обеспечить защиту передаваемых данных.

Сервер-шлюз имеет выделенный интерфейс для подключения к сети управления, настроен на подключение только по протоколу SSH с изменением портов по умолчанию и строгим перечислением администраторов, имеющих доступ. Выполнены базовые рекомендации по настройке Linux-подобных операционных систем. Антивирусное программное обеспечение не установлено. Операционная система регулярно обновляется. Хранилище электронной почты на сервере шифруется.

Файловый сервер

Все файлы и данные предприятия хранятся на файловом сервере, который развернут на платформе Samba операционной системы CentOS. Платформа позволяет работать с сетевыми хранилищами по протоколу SMB/CIFS [21]. Контроль доступа к данным по сети осуществляется с помощью функций авторизации посредством доменных учетных записей Active Directory (AD).

Доступ к управлению сервером есть у ограниченного числа администраторов, осуществим либо через локальную консоль, либо через SSH-доступ, используется сеть управления.

В целях безопасности все данные на сервере шифруются, используется зеркалирование. Антивирусное ПО не установлено.

Сервер 1С Предприятие и SQL-сервер

В качестве базовой ERP-системы для организации НПО «Ассоциация К» используется технологическая платформа «1С Предприятие 8». Здесь содержится большая часть конфиденциальной информации предприятия. Платформа развернута на двух серверах, где один выполняет функции хранения и обработки базы данных (SQL-сервер), а другой реализует прикладной функционал (Сервер 1С). Оба сервера работают на операционной системе Microsoft Windows Server 2008 SP2, настроена регулярная установка обновлений c внутреннего сервера WSUS (Windows Server Update Services) .

Брандмауэр (встроенный в операционную систему) SQL-сервера настроен таким образом, чтобы пропускать трафик только от сервера 1С на строго определенные порты и административный трафик. Доступ к серверу обеспечивается авторизацией в AD. В целях экономии ресурсов антивирусное программное обеспечение не установлено. Все базы данных SQL-сервера шифруются для обеспечения высокого уровня конфиденциальности.

Брандмауэр сервера 1С настроен на пропуск трафика только на порты, используемые платформой 1С Предприятие и на административный трафик. Аналогично SQL-серверу контроль доступа регулируется с помощью доменных служб.

Клиенты сервера 1С Предприятия установлены на рабочих местах пользователей и позволяют войти в систему только с учетными данными пользователей, предварительно зарегистрированных в ней администратором 1С. Контроль доступа к данным внутри системы обеспечивается встроенными средствами конфигураций 1С Предприятия. Доступ к тем или иным функциональным блокам регламентирован.

Контроллер домена

Сервер с функциями контроллера домена хранит данные службы каталогов (AD) и управляет взаимодействием пользователей в домене, включая процессы входа пользователя в систему, проверку подлинности и поиск в каталоге. Контроллер домена является важнейшим звеном в обеспечении информационной безопасности. В случае выхода из строя этого сервера из-за отсутствия корректной авторизации нарушается работоспособность практически всех ИТ-систем предприятия. Чтобы избежать такой ситуации, производится дублирование функционала контроллера домена на другом сервере (на рассматриваемом предприятии резервный контроллер домена создан на базе виртуальной машины на одном из физических серверов предприятия).

Операционная система сервера -- Microsoft Windows Server 2008 SP2. Для управления объектами каталога Active Directory используются групповые политики, позволяющие создать эффективную и легко управляемую компьютерную рабочую среду, а также являются важным элементом информационной безопасности. Политики централизованно применяются ко всем рабочим станциям корпоративной сети и позволяют единообразно настроить такие правила, как сложность пароля для пользователей, блокировка экрана, разрешение на запуск тех или иных программ и большую часть других политик безопасности, применяемых к рабочим станциям пользователей, серверам, и остальным членам домена.

Контроллер домена также позволяет обеспечивать контроль доступа пользователей к тем или иным ресурсам сети предприятия. Например, администраторы смогут иметь доступ к серверам, а пользователи только к компьютерам.

Сервер выполняет также функцию DNS-сервера предприятия, при этом разрешая запросы от внутренней сети и перенаправляя внешние запросы на сервер-шлюз. Защита сервера DNS обеспечивается ограничением IP-адресов прослушивания, отключением рекурсии для сетевых клиентов и указанием корневых ссылок на внешние DNS-серверы.

Для обеспечения безопасности контроллера домена применяются следующие процедуры:

1) установка последних обновлений безопасности;

2) создание резервных копий службы каталогов и системных разделов;

3) регулярные антивирусные проверки;

4) отключение анонимного доступа к AD;

5) включение политика аудита;

6) фильтрация SID.

Терминальный сервер (сервер терминалов)

Этот сервер предоставляет удаленные рабочие столы пользователям 1С Предприятие и прикладных программ сервера приложений. Сервер терминалов необходим для предоставления доступа к локальным ресурсам клиентов с низкой производительностью и удаленных пользователей, подключаемых к сети через VPN.

Авторизация пользователей на терминальном сервере обеспечивается службами Active Directory и позволяет предоставить доступ к серверу только строго определенным клиентам.

Безопасность сервера терминалов обеспечивается встроенными в операционную систему Microsoft Windows Server 2008 SP2 механизмами защиты, такими как Network Level Authentication (NLA), SSL-шифрование, изменение порта RDP, используемого по умолчанию и проверка совместимости с RDP клиентами.

Антивирусное программное обеспечение не установлено.

Сервер приложений

Сервер приложений представляет среду для развертывания и выполнения пользовательских серверных бизнес-приложений. Эти приложения реагируют на запросы, поступающие по сети от клиентских компьютеров или других приложений. Развернут на операционной системе Microsoft Windows Server 2008 SP2.

Безопасность сервера обеспечивается брандмауэром операционной системы, который гибко настраивается на фильтрацию трафика приложений таким образом, чтобы запросы на порты проходили только с доверенных клиентов, а также авторизацией в AD. Антивирусное программное обеспечение позволяет проводить регулярную проверку системы и обеспечивает своевременный контроль запуска любых программ сервера.

Сервер резервного копирования (Backup-сервер)

Для обеспечения доступности данных, хранимых и обрабатываемых серверами предприятия, используются процедуры регулярного резервного копирования. Своевременное выполнение этих процедур обеспечивает сервер резервного копирования, развернутый на операционной системе CentOS и использующий кроссплатформенное программное обеспечение Bacula. Bacula -- это сетевая клиент-серверная программа для резервного копирования, архивирования и восстановления [19]. Клиенты устанавливаются на каждом из серверов предприятия и обеспечивают передачу данных на сервер согласно расписанию. Защита информации при резервном копировании обеспечивается следующими механизмами:

1) все сервисы авторизуются с использованием алгоритма аутентификации CRAM-MD5;

2) MD5, SHA1 сигнатуры для каждого файла в архиве;

3) контрольная CRC сумма для каждого блока, записанного на том хранения;

4) использование ACL для управляющей консоли;

5) шифрование обмена с помощью TLS;

6) шифрование данных с помощью PKI;

7) проверка данных, похожая на систему обнаружения атак.

Сервер резервного копирования имеет выделенный интерфейс для подключения к сети управления, настроен на подключение только по протоколу SSH с изменением портов по умолчанию и строгим перечислением администраторов, имеющих доступ. Выполнены базовые рекомендации по настройке Linux-подобных операционных систем. Антивирусное программное обеспечение не установлено. Операционная система регулярно обновляется. Хранилище резервных копий на сервере шифруется.

Сервер регистрации событий и мониторинга (Syslog-сервер)

Этот сервер реализует функции контроля за состоянием ИТ-систем предприятия. Сюда стекается вся регистрационная информация с серверного и активного сетевого оборудования, и здесь же производится наблюдение за их физическим состоянием, климатом в серверных комнатах, доступными системными ресурсами, состоянием каналов передачи данных и т.д.

Syslog-сервер развернут на операционной системе CentOS, безопасность сервера обеспечивается механизмами, аналогичными для ранее описанных серверов этого типа. Используется Zabbix -- система мониторинга и отслеживания статусов ИТ-сервисов [23].

Обмен регистрационными данными производится по общей сети.

Сетевое оборудование

Обмен данными между серверами и конечными хостами (компьютерами, телефонами и т.д.) обеспечивается применением высокопроизводительных серверных коммутаторов и коммутаторов уровня ядра и распределения. Это сетевое оборудование 3-го уровня имеет базовые настройки безопасности, такие как контроль административного доступа, управление через выделенные порты и т.д. Технология VLAN в настоящий момент не задействована.

Маршрутизатор беспроводного доступа обеспечивает подключение к сети клиентов через Wi-Fi. Для этого используется выделенная подсеть и списки доступа на маршрутизаторе, позволяющие фильтровать трафик мобильных пользователей. Для беспроводных подключений используются следующие элементы управления безопасностью:

1) изменение заданного (по умолчанию) сетевого имени (SSID) в точках доступа;

2) включение защищенного доступа Wi-Fi (WPA/WPA2);

3) включение аппаратных ограничений MAC-адреса;

4) подключение точки доступа к сети за пределами межсетевого экрана или в отдельном сегменте из проводной локальной сети.

Доступ к корпоративной сети рабочих мест пользователей, IP-телефонов, оргтехники осуществляется через коммутаторы уровня доступа, которые располагаются в открытом доступе в помещениях офиса (как правило, в одном из помещений этажа на стене). Для целей безопасности все неиспользуемые порты этих коммутаторов отключены.

Корпоративная сеть представительского офиса.

На рисунке 19 представлена схема корпоративной сети представительского офиса в г. Москва НПО «Ассоциация К».

Рисунок 19. Схема корпоративной сети представительского офиса

Аналогично сети центрального офиса, доступ в Интернет производится через два интернет-канала от разных провайдеров. Основная линия -- это проводной интернет по технологии Ethernet, резервная линия -- низкоскоростной ADSL-канал. Имеются две точки входа в сеть: первая -- сервер-шлюз аналогичной установленному в центральном офисе серверу конфигурации, вторая -- маршрутизатор Mikrotik, необходимый для административного выхода в Интернет.

Сервер-шлюз, как и маршрутизатор Mikrotik обеспечивают автоматическое переключение между основной и резервной линией связи.

АТС Panasonic аналогична установленной станции в центральном офисе, за исключением количества доступных абонентов. Она обеспечивает цифровую телефонную связь между офисами через VPN- туннель.

Сервер контроллера домена виртуализирован и реплицируется с сервером в центральном офисе и хранит аналогичную конфигурацию службы каталогов, позволяя управлять доменной средой из единого центра.

Конфигурации и методы защиты остальных серверов представительского офиса полностью соответствуют серверам в центральном офисе. Локальный сервер приложений необходим для работы с программами представительского офиса, требующими установки серверных частей в локальной сети (например, ряд программ по расчету пожарных рисков).

Все остальные сервисы, развернутые в центральном офисе доступны для пользователей представительского офиса через VPN-туннель. Межсетевые экраны на обеих сторонах туннеля пропускают только строго определенный трафик, требующийся тем или иным приложениям и сервисам.

Доступ к беспроводной сети осуществляется по аналогии с центральным офисом.

Доступ к корпоративной сети рабочих мест пользователей, IP-телефонов, оргтехники осуществляется через коммутаторы уровня доступа, которые располагаются в открытом доступе в помещениях офиса (как правило, в одном из помещений этажа на стене). Для целей безопасности все неиспользуемые порты этих коммутаторов отключены.

Корпоративная сеть регионального офиса.

На рисунке 20 представлена схема корпоративной сети регионального офиса в г. Алексин НПО «Ассоциация К».

Все серверы и сетевое оборудование верхних уровней расположено в серверной комнате, совмещенной с кабинетом системного администратора и оборудованной системой контроля доступа.

Корпоративная сеть имеют единую точку выхода в Интернет через маршрутизатор (межсетевой экран) D-Link NetDefend UTM Firewall, позволяющий подключить к нему две WAN-линии от различных интернет провайдеров и имеющий возможность организации VPN-туннеля. Основная линия Интернет -- оптико-волоконная, резервная -- ADSL.

Маршрутизатор D-Link NetDefend UTM имеет всестороннюю защиту от вирусных атак, от несанкционированного доступа и нежелательного контента, обеспечивает автоматическое резервирование интернет-каналов. При этом отсутствует возможность автоматически «пересобрать» VPN-туннель в случае разрыва соединения. В случае возникновения такой ситуации системный администратор регионального офиса имеет четкую инструкцию по переконфигурированию туннеля.

Рисунок 20. Схема корпоративной сети регионального офиса

Аналогично офису в г. Москва, контроллер домена реплицируется с сервером в центральном офисе, позволяя управлять доменной средой из единого центра.

В качестве прокси-сервера используется программное решение Kerio Control, развернутое на сервере с операционной системой Microsoft Windows Server 2008 SP2. Безопасность сервера обеспечивается средствами операционной системы, а также самозащитой программного прокси-сервера.

Локальный сервер приложений необходим для работы с программами регионального офиса, требующими установки серверных частей в локальной сети (технологические производственные программы).

Доступ к беспроводной сети осуществляется по аналогии с центральным офисом.

АТС в региональном офисе -- аналоговая, она изолирована от корпоративной сети предприятия.

Доступ к сервисам центрального офиса осуществляется через VPN-туннель.

Остальные серверы имеют аналогичную серверам в центральном офисе конфигурации, их безопасность обеспечивается описанными выше средствами защиты.

Коммутаторы уровня доступа регионального офиса установлены в произвольном порядке, многие из них не имеют встроенного функционала по обеспечению безопасности.

Корпоративная сеть представительств в г. Санкт-Петербург и в г. Сочи

Локальная сеть представительств компании НПО «Ассоциация К» (рисунок 21) представляет собой небольшой сегмент, состоящий из маршрутизатора D-Link NetDefend UTM Firewall, точки доступа к беспроводной сети, пользовательских компьютеров, IP-телефонов и сетевых МФУ.

Маршрутизатор обеспечивает подключение к проводному Интернету по единственной линии связи и позволяет поддерживать VPN-туннель с центральным офисом. В случае перехода на резервную линию Интернета в центральном офисе, маршрутизатор конфигурируется удаленно на резервного провайдера.

Рисунок 21. Схема корпоративной сети представительств в г. Санкт-Петербург и г. Сочи

Пользовательское оборудование работает в сети с динамическим IP-адресом, получаемым от маршрутизатора. Это сделано для того, чтобы сотрудники офиса самостоятельно (без привлечения ИТ-специалистов) могли осуществлять подключение компьютеров и других устройств к локальной сети.

Администраторы из центрального офиса производят настройку пользовательского оборудования с помощью программ удаленного администрирования.

Пользователи локальной сети представительств не имеют доступа к маршрутизатору.

Корпоративная сеть филиала.

Как правило, филиал организации (небольшое помещение на строительных или иных объектах) обеспечивается одним (или более) компьютером и одним (или более) IP-телефоном, подключаемым к Wi-Fi маршрутизатору домашнего (или сегмента малого бизнеса) уровня, устанавливаемому на месте сотрудниками филиала (рисунок 22).

Рисунок 22. Схема корпоративной сети филиала

Ввиду отсутствия VPN-соединения с центральным офисом используется два механизма, обеспечивающих защиту передаваемых данных.

1. Подключение к Интернету осуществляется с использованием статического IP-адреса. Это позволяет обеспечить создание четких правил межсетевого экрана центрального офиса с целью разрешения трафика только от конкретного филиала. Данный функционал строго необходим при использовании IP-телефонов, поскольку для безопасности сервера IP-телефонии межсетевой экран разрешает соединения по протоколу SIP только с конкретных IP-адресов.

2. Для доступа к ресурсам сети центрального офиса с филиальных компьютеров используется программный VPN-туннель между пользовательским рабочим местом и шлюзовым сервером. Для создания такого туннеля используется программное обеспечение с реализацией на технологии OpenVPN. Для обеспечения безопасности управляющего канала и потока данных OpenVPN использует библиотеку OpenSSL [20]. Это позволяет задействовать весь набор алгоритмов шифрования, доступных в данной библиотеке.

В случае отсутствия технической возможности доступа к проводному Интернету, в филиалах вместо маршрутизатора могут использоваться модемы для подключения мобильного интернета. При такой реализации отсутствует возможность размещения IP-телефона, но использование OpenVPN клиента допустимо.

3.6 Организационные аспекты информационной безопасности предприятия

В этом разделе рассматриваются внутренние процессы предприятия, определяющие корпоративную политику безопасности, процессы, связанные с персоналом, осведомленность сотрудников о безопасности и их обучение. Также рассматривается безопасность применительно к повседневным операциям, относящимся к назначениям и определению ролей.

В первую очередь стоит упомянуть тот факт, что на исследуемом предприятии существует утвержденный руководством перечень сведений, относящихся к конфиденциальной информации, а также регламент, регулирующий обращение с ними, под названием «Информационная безопасность и работа с конфиденциальной информацией». При этом согласно законодательству РФ (Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 12.03.2014) "О коммерческой тайне" [17]) для адекватной защиты конфиденциальной информации этих действий недостаточно. Для того чтобы лицо, посягающее на эти сведения несло ответственность перед законом необходимо ввести режим коммерческой тайны, а именно:

1) определить перечень информации, составляющей коммерческую тайну;

2) ограничить доступ к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

3) учитывать лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;

4) регулировать отношения по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

5) нанести на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа "Коммерческая тайна" с указанием обладателя такой информации (для юридических лиц -- полное наименование и место нахождения, для индивидуальных предпринимателей -- фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

В настоящий момент в организации такой режим не установлен.

Для поддержания должного уровня безопасности на предприятии используются следующие организационные процедуры [13].

1. Для кандидатов на трудоустройство проводятся проверки, включающие в себя проверку предыдущих мест работы, сведения об образовании и привлечении к юридической ответственности.

2. Для управления ресурсами с привлечением внешних компаний используются политики регулирования сторонних взаимосвязей.

3. Внутренние специалисты регулярно проводят оценку безопасности среды.

4. Существуют политики управления отдельными компонентами вычислительной среды, а также политики, регулирующие использование персоналом тех или иных ИТ-ресурсов (например, электронной почты, Интернета и т.д.).

5. Существует корпоративная политика правильного использования.

6. Существуют политики для управления учетными записями отдельных пользователей.

7. Процесс исправлений и обновлений регламентирован.

8. Разрабатываются схемы и справочная документация по конфигурации для сетевой инфраструктуры и хост-компьютеров. К сожалению, актуализация этих схем проводится редко.

9. Принимаются организационные меры по защите сведений, содержащихся в журналах компьютеров и сетевых устройств.

10. Производится регулярное резервирование важных и критических данных.

11. Существуют политики и процедуры для хранения резервных носителей и работы с ними.

3.7 Основные понятия менеджмента ИБ

Риском в сфере ИБ называют [14] потенциальную возможность понести убытки из-за нарушения безопасности информационной системы (ИС).

...