Общее представление о структуре защищенной информационной системы

Информационной системой (или информационно-вычислительной системой) называют совокупность взаимосвязанных аппаратно-программных средств для автоматизации накопления и обработки информации. В информационную систему данные поступают от источника информации. Эти данные отправляются на хранение либо претерпевают в системе некоторую обработку и затем передаются потребителю.

Защищённая информационная система - это система, реализующая информационную модель предметной области, чаще всего, какой-либо области человеческой деятельности. Защищённая информационная система должна обеспечивать безопасное получение (ввод или сбор), хранение, поиск, передачу и обработку (преобразование) информации.

Анализ современных информационных систем (MBS Navision, MBS Axapta, SAP, 1С и другие.) позволил выявить их типовой состав:

1. Данные (от лат. data) - это представление фактов и идей в формализованном виде, пригодном для передачи и обработки в некотором информационном процессе.

2. Информация – это сведения о ком-либо или о чем-либо получаемые из внешнего мира с помощью различных средств. Информация (лат. informatio - разъяснение, изложение, осведомлённость) - одно из наиболее общих понятий науки, обозначающее некоторые сведения, совокупность каких-либо данных, знаний и т. п.

3. Знания – совокупность данных, фактов, сведений и правил вывода о мире, включающих в себя информацию о свойствах объектов, закономерностях процессов и явлений, а также правилах использования этой информации для принятия решений. Правила использования включают систему причинно-следственных связей. Главное отличие знаний от данных состоит в их активности, то есть появление в базе новых фактов или установление новых связей может стать источником изменений в принятии решений.

5. База данных (БД) - структурированный организованный набор данных, описывающих характеристики каких-либо физических или виртуальных систем.

6. База знаний - это особого рода база данных, разработанная для управления знаниями (метаданными), то есть сбором, хранением, поиском и выдачей знаний.

7. Программное обеспечение - наряду с аппаратными средствами, важнейшая составляющая информационных технологий, включающая компьютерные программы и данные, предназначенные для решения определённого круга задач и хранящиеся на машинных носителях. Программное обеспечение представляет собой либо данные для использования в других программах, либо алгоритм, реализованный в виде последовательности инструкций для процессора.

8. Экспертная система (ЭС) – компьютерная программа, способная заменить специалиста-эксперта в разрешении проблемной ситуации. ЭС начали разрабатываться исследователями искусственного интеллекта в 1970-х годах, а в 1980-х получили коммерческое подкрепление. Экспертные системы рассматриваются совместно с базами знаний как модели поведения экспертов в определенной области знаний с использованием процедур логического вывода и принятия решений, а базы знаний - как совокупность фактов и правил логического вывода в выбранной предметной области деятельности.

9. Локальные сети – сети, объединяющие все компьютеры одной системы. По локальной сети удобно передавать данные.

10.Информационная безопасность – деятельность, направленная на обеспечение защищенного состояния объекта (Национальный стандарт РФ «Защита информации. Основные термины и определения» (ГОСТ Р 50922-2006)).

Особенности современных информационных систем, факторы влияющие на безопасность информационной системы

Информационная система типичной современной организации является весьма сложным образованием, построенным в многоуровневой архитектуре клиент/сервер, которое пользуется многочисленными внешними сервисами и, в свою очередь, предоставляет собственные сервисы вовне.

С точки зрения безопасности наиболее существенными представляются следующие аспекты современных ИС:

· корпоративная сеть имеет несколько территориально разнесенных частей (поскольку организация располагается на нескольких производственных площадках), связи между которыми находятся в ведении внешнего поставщика сетевых услуг, выходя за пределы зоны, контролируемой организацией;

· корпоративная сеть имеет одно или несколько подключений к Internet;

· на каждой из производственных площадок могут находиться критически важные серверы, в доступе к которым нуждаются сотрудники, работающие на других площадках, мобильные пользователи и, возможно, сотрудники других организаций;

· для доступа пользователей могут применяться не только компьютеры, но и потребительские устройства, использующие, в частности, беспроводную связь;

· в течение одного сеанса работы пользователю приходится обращаться к нескольким информационным сервисам, опирающимся на разные аппаратно-программные платформы;

· к доступности информационных сервисов предъявляются жесткие требования, которые обычно выражаются в необходимости круглосуточного функционирования с максимальным временем простоя порядка нескольких минут;

· информационная система представляет собой сеть с активными агентами, то есть в процессе работы программные компоненты, такие как апплеты или сервлеты, передаются с одной машины на другую и выполняются в целевой среде, поддерживая связь с удаленными компонентами;

· не все пользовательские системы контролируются сетевыми и/или системными администраторами организации;

· программное обеспечение, особенно полученное по сети, не может считаться надежным, в нем могут быть ошибки, создающие проблемы в защите;

· конфигурация информационной системы постоянно изменяется на уровнях административных данных, программ и аппаратуры (меняется состав пользователей, их привилегии и версии программ, появляются новые сервисы, новая аппаратура и т.п.).

Понятие информационного сервиса безопасности. Виды сервисов безопасности

Центральным для программно-технического уровня является понятие сервиса безопасности. Выделяются следующие сервисы безопасности:

· Аутентификация. Данный сервис обеспечивает проверку подлинности партнеров по общению и проверку подлинности источника данных. Аутентификация партнеров по общению используется при установлении соединения и, быть может, периодически во время сеанса. Она служит для предотвращения таких угроз, как маскарад и повтор предыдущего сеанса связи.

· Управление доступом. Обеспечивает защиту от несанкционированного использования ресурсов, доступных по сети.

· Конфиденциальность данных. Обеспечивает защиту от несанкционированного получения информации. Отдельно упомянем конфиденциальность трафика (это защита информации, которую можно получить, анализируя сетевые потоки данных).

· Целостность данных подразделяется на подвиды в зависимости от того, какой тип общения используют партнеры - с установлением соединения или без него, защищаются ли все данные или только отдельные поля, обеспечивается ли восстановление в случае нарушения целостности.

· Неотказуемость (невозможность отказаться от совершенных действий) обеспечивает два вида услуг: неотказуемость с подтверждением подлинности источника данных и неотказуемость с подтверждением доставки. Побочным продуктом неотказуемости является аутентификация источника данных.

Каждый сервис безопасности реализуется с помощью определенных механизмов на базе разных технических решений, зависящих от характеристик конкретной ИС.

Идентификация и аутентификация

Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация – это первая линия обороны, "проходная" информационного пространства организации.

Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя).

Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация" иногда используют словосочетание "проверка подлинности".

Аутентификация бывает односторонней (обычно клиент доказывает свою подлинность серверу) и двусторонней (взаимной). Пример односторонней аутентификации – процедура входа пользователя в систему.

Парольные схемы аутентификации

Главное достоинство парольной аутентификации – простота и привычность. Пароли давно встроены в операционные системы и иные сервисы. При правильном использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности. Тем не менее, по совокупности характеристик их следует признать самым слабым средством проверки подлинности.

Чтобы пароль был запоминающимся, его зачастую делают простым. Однако простой пароль нетрудно угадать. Пароль можно угадать "методом грубой силы", используя, словарь. Если файл паролей зашифрован, но доступен для чтения, его можно скачать к себе на компьютер и попытаться подобрать пароль, запрограммировав полный перебор (предполагается, что алгоритм шифрования известен).

Тем не менее, следующие меры позволяют значительно повысить надежность парольной защиты:

· наложение технических ограничений (пароль должен быть не слишком коротким, он должен содержать буквы, цифры, знаки пунктуации и т.п.);

· управление сроком действия паролей, их периодическая смена;

· ограничение доступа к файлу паролей;

· ограничение числа неудачных попыток входа в систему (это затруднит применение "метода грубой силы");

· обучение пользователей;

· использование программных генераторов паролей (такая программа, основываясь на несложных правилах, может порождать только благозвучные и, следовательно, запоминающиеся пароли).

Перечисленные меры целесообразно применять всегда, даже если наряду с паролями используются другие методы аутентификации.

Симметричные схемы аутентификации субъекта

Аутентификация субъекта может осуществляться симметричными методами, т.е. с применением симметричных алгоритмов шифрования. В этом случае претендент и верификатор используют общие секретные ключи. Претендент зашифровывает свое сообщение, вводя в открытый или зашифрованный текст некоторое контрольное значение (КЗ). Если верификатору удается успешно расшифровать полученное сообщение и проверить корректность КЗ, то он может быть уверен в подлинности претендента.

Для реализации симметричных методов часто применяют протокол "запрос-ответ", когда верификатор сначала посылает претенденту случайный запрос x, затем претендент зашифровывает этот запрос и возвращает верификатору ответ, после чего верификатор расшифровывает ответ и проверяет его соответствие запросу.

В многопользовательских системах в сеанс связи вводится доверенная третья сторона - сервер аутентификации, с которой разделяют секретный ключ каждый пользователь и каждый верификатор. Существует два основных подхода. В первом претендент зашифровывает сообщение на своем секретном ключе и посылает шифр-текст верификатору, который обращается к серверу аутентификации для получения необходимого ключа. После обмена с сервером аутентификации верификатор проводит аутентификацию претендента. Во втором методе претендент сначала устанавливает связь с сервером аутентификации и получает разрешение на доступ, которое затем передает верификатору (такой вариант используется в схеме Kerberos).

Типичным примером реализации симметричных методов является схема Kerberos.

Несимметричные схемы аутентификации (с открытым ключом)

Несимметричные методы аутентификации субъекта подразумевают использование несимметричных (с открытым ключом) криптографических алгоритмов. В этих схемах верификатор формирует некоторое сообщение и просит претендента подписать его. Претендент подписывает это сообщение, используя свой секретный ключ, а потом верификатор проверяет подпись с помощью открытого ключа подлинного пользователя. Здесь в качестве защиты от атак повтора также можно включать в сообщение некоторую неповторяющуюся величину.

Несимметричные системы имеют ряд преимуществ перед симметричными системами. В несимметричных системах решена сложная проблема распределения ключей между пользователями, так как каждый пользователь может сгенерировать свою пару ключей, а открытые ключи свободно публикуются и распространяются. Благодаря тому, что в несимметричных системах секретный ключ известен только его владельцу, возможно взаимодействие сторон, не знающих друг друга.

Криптография с открытыми ключами в чистом виде обычно не применяется, так как реализация несимметричных алгоритмов требует больших затрат процессорного времени. Тем не менее, преимуществами криптографии с открытыми ключами пользуются при формировании и проверке цифровой подписи, а также для решения проблемы распределения ключей. Секретный ключ применяется для подписания данных, а открытый ключ - для их проверки. Единственно  известный  способ  получить  корректную  подпись - использовать секретный ключ. Кроме того, для каждого сообщения формируется уникальная подпись. В целях повышения производительности подписывается не все сообщение, а его хэш-код. Вообще, собственно цифровая подпись сообщения - это хэш-код сообщения, зашифрованный секретным ключом, он пересылается вместе с цифровым объектом и удостоверяет целостность самого объекта и подлинность его отправителя.

С появлением криптосистем с открытым ключом потребность в серверах аутентификации практически отпала, поскольку характеристики этих систем естественным образом исключают проблему раскрытия ключа претендента по известному ключу верификатора. Тем не менее, для проверки подписи верификаторы должны, как правило, получать сертифицированные открытые ключи. Обычно сертификаты на ключи выдаются специальным сервером, который не является непосредственным участником сеанса аутентификации.

Примеры протоколов: Диффи-Хелмана, Шнорра, Фиата-Шамира.

Аутентификация с третьей доверенной стороной (схема Kerberos)

Kerberos – это программный продукт, разработанный в середине 1980-х годов в Массачусетском технологическом институте и претерпевший с тех пор ряд принципиальных изменений. Клиентские компоненты Kerberos присутствуют в большинстве современных операционных систем.

Kerberos предназначен для решения следующей задачи. Имеется открытая (незащищенная) сеть, в узлах которой сосредоточены субъекты – пользователи, а также клиентские и серверные программные системы. Каждый субъект обладает секретным ключом.

Чтобы субъект C мог доказать свою подлинность субъекту S (без этого S не станет обслуживать C), он должен не только назвать себя, но и продемонстрировать знание секретного ключа. C не может просто послать S свой секретный ключ, во-первых, потому, что сеть открыта (доступна для пассивного и активного прослушивания), а, во-вторых, потому, что S не знает (и не должен знать) секретный ключ C. Требуется менее прямолинейный способ демонстрации знания секретного ключа.

Система Kerberos представляет собой доверенную третью сторону (то есть сторону, которой доверяют все), владеющую секретными ключами обслуживаемых субъектов и помогающую им в попарной проверке подлинности.

Чтобы с помощью Kerberos получить доступ к S (обычно это сервер), C (как правило – клиент) посылает Kerberos запрос, содержащий сведения о нем (клиенте) и о запрашиваемой услуге. В ответ Kerberos возвращает так называемый билет, зашифрованный секретным ключом сервера, и копию части информации из билета, зашифрованную секретным ключом клиента. Клиент должен расшифровать вторую порцию данных и переслать ее вместе с билетом серверу. Сервер, расшифровав билет, может сравнить его содержимое с дополнительной информацией, присланной клиентом. Совпадение свидетельствует о том, что клиент смог расшифровать предназначенные ему данные (ведь содержимое билета никому, кроме сервера и Kerberos, недоступно), то есть продемонстрировал знание секретного ключа. Значит, клиент – именно тот, за кого себя выдает.

Токены, смарт-карты, их применение

Электронные USB-ключи и смарт-карты eToken представляют собой компактные устройства, предназначенные для обеспечения информационной безопасности корпоративных заказчиков и частных пользователей. Подобно компьютеру устройства eToken содержат процессор и модули памяти, функционируют под управлением своей операционной системы, выполняют необходимые прикладные программы и хранят информацию.

USB-ключи и смарт-карты eToken базируются на высокозащищенной платформе, разработанной для производства смарт-карт - области, в которой традиционно предъявляют повышенные требования к информационной безопасности. Поэтому USB- ключи и смарт-карты eToken фактически являются миниатюрным компьютером, обеспечивающим безопасное хранение персональных данных и надежно защищенным от несанкционированного вмешательства.

Продукты eToken позволяют выполнить следующие задачи:

· усовершенствовать процесс аутентификации (двухфакторная аутентификация) на локальном компьютере и в корпоративной сети, а также защищенный доступ к бизнес- приложениям;

· зашифровать данные на серверах, ноутбуках и рабочих станциях;

· обеспечить защиту персональных данных;

· защитить электронную почту и взаимодействие с коллегами в системах электронного документооборота;

· обезопасить финансовые  операции в системах дистанционного банковского обслуживания (ДБО);

· внедрить электронную цифровую подпись (ЭЦП) и защитить документы в системах сдачи электронной отчетности через Интернет;

· обеспечить защиту корпоративного сайта в Интернет;

· обезопасить себя от кражи паролей к онлайн-сервисам.

Использование биометрических данных при аутентификации пользователей

Биометрия представляет собой совокупность автоматизированных методов идентификации и/или аутентификации людей на основе их физиологических и поведенческих характеристик. К числу физиологических характеристик принадлежат особенности отпечатков пальцев, сетчатки и роговицы глаз, геометрия руки и лица и т.п. К поведенческим характеристикам относятся динамика подписи (ручной), стиль работы с клавиатурой. На стыке физиологии и поведения находятся анализ особенностей голоса и распознавание речи.

В общем виде работа с биометрическими данными организована следующим образом. Сначала создается и поддерживается база данных характеристик потенциальных пользователей. Для этого биометрические характеристики пользователя снимаются, обрабатываются, и результат обработки (называемый биометрическим шаблоном) заносится в базу данных (исходные данные, такие как результат сканирования пальца или роговицы, обычно не хранятся).

В дальнейшем для идентификации (и одновременно аутентификации) пользователя процесс снятия и обработки повторяется, после чего производится поиск в базе данных шаблонов. В случае успешного поиска личность пользователя и ее подлинность считаются установленными. Для аутентификации достаточно произвести сравнение с одним биометрическим шаблоном, выбранным на основе предварительно введенных данных.

Обычно биометрию применяют вместе с другими аутентификаторами, такими, например, как интеллектуальные карты. Иногда биометрическая аутентификация является лишь первым рубежом защиты и служит для активизации интеллектуальных карт, хранящих криптографические секреты; в таком случае биометрический шаблон хранится на той же карте.

Но главная опасность состоит в том, что любая "пробоина" для биометрии оказывается фатальной. Пароли, при всей их ненадежности, в крайнем случае можно сменить. Утерянную аутентификационную карту можно аннулировать и завести новую. Палец же, глаз или голос сменить нельзя. Если биометрические данные окажутся скомпрометированы, придется как минимум производить существенную модернизацию всей системы.

Сервисы управления доступом. Механизмы доступа данных в операционных системах, системах управления базами данных

Основной проблемой обеспечения безопасности операционных систем (ОС) является проблема создания механизмов контроля доступа к ресурсам системы. Процедура контроля доступа заключается в проверке соответствия запроса субъекта предоставленным ему правам доступа к ресурсам. Кроме того, ОС содержит вспомогательные средства защиты, такие как средства мониторинга, профилактического контроля и аудита. В совокупности механизмы контроля доступа и вспомогательные средства защиты образуют механизмы управления доступом.

По способу доступа к базе данных (БД) системы управления ими подразделяются на три типа:

1. Файл-серверные

В файл-серверных системах управления базами данных (СУБД) файлы данных располагаются централизованно на файл-сервере. Ядро СУБД располагается на каждом клиентском компьютере. Доступ к данным осуществляется через локальную сеть. Синхронизация чтений и обновлений осуществляется посредством файловых блокировок. Преимуществом этой архитектуры является низкая нагрузка на центральный процессор (ЦП) сервера, а недостатком - высокая загрузка локальной сети. На данный момент файл- серверные СУБД считаются устаревшими. Они могут применяться для обучения работе с базами данных (чаще всего для этого используется MS Access) или для хранения информации в небольших информационных системах. Примеры: Microsoft Access, Paradox, dBase.

2. Клиент-серверные

Такие СУБД состоят из клиентской части (которая входит в состав прикладной программы) и сервера (см. Клиент-сервер). Клиент-серверные СУБД, в отличие от файл- серверных, обеспечивают разграничение доступа между пользователями и мало загружают сеть и клиентские машины. Сервер является внешней по отношению к клиенту программой, и по надобности его можно заменить другим. Недостаток клиент-серверных СУБД в самом факте существования сервера (что плохо для локальных программ - в них удобнее встраиваемые СУБД) и больших вычислительных ресурсах, потребляемых сервером. Клиент-серверные СУБД предоставляют больше возможностей для профессиональной работы с данными, поэтому они чаще всего используются в крупных предприятиях и организациях. Они больше всего подходят к крупным информационным системам с одним или несколькими серверами, обладающими большой производительностью. Даже в случае большого количества пользователей, работающих с ними, они не очень сильно загружают сеть. Примеры: Firebird, Interbase, IBM DB2, MS SQL Server, Sybase, Oracle, PostgreSQL, MySQL, ЛИНТЕР.

3. Встраиваемые

Встраиваемая СУБД - библиотека, которая позволяет унифицированным образом хранить большие объёмы данных на локальной машине. Доступ к данным может происходить через SQL либо через особые функции СУБД. Встраиваемые СУБД быстрее обычных клиент-серверных и не требуют установки сервера, поэтому востребованы в локальном программном обеспечении (ПО), которое имеет дело с большими объёмами данных (например, геоинформационные системы). Примеры: OpenEdge, SQLite, BerkeleyDB, один из вариантов Firebird, один из вариантов MySQL, Sav Zigzag, Microsoft SQL Server Compact, ЛИНТЕР.

Таким образом, для использования в крупных организациях, в том числе на промышленных предприятиях, больше подходят клиент-серверные СУБД.

Ролевая модель управления доступом

При большом количестве пользователей традиционные подсистемы управления доступом становятся крайне сложными для администрирования. Число связей в них пропорционально произведению количества пользователей на количество объектов.

Ролевое управление доступом оперирует следующими основными понятиями:

· Пользователь;

· Сеанс работы пользователя;

· Роль;

· Объект;

· Операция;

· Право доступа.

Ролям приписываются пользователи и права доступа; можно считать, что роли именуют отношения «многие ко многим» между пользователями и правами. Роли могут быть приписаны многие пользователи; один пользователь может быть приписан нескольким ролям. Во время сеанса работы пользователя активизируется подмножество ролей, которым он приписан, в результате чего он становится обладателем объединения прав, приписанных активным ролям. Одновременно пользователь может открыть несколько сеансов.

Между ролями может быть определено отношение частичного порядка, называемое наследованием. Отношение наследования является иерархическим, причем права доступа и пользователи распространяются по уровням иерархии навстречу друг другу. В общем случае наследование является множественным, то есть у одной роли может быть несколько предшественниц.

Протоколирование и аудит

Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе. У каждого сервиса свой набор возможных событий, но в любом случае их можно разделить на внешние (вызванные действиями других сервисов), внутренние (вызванные действиями самого сервиса) и клиентские (вызванные действиями пользователей и администраторов).

Аудит – это анализ накопленной информации, проводимой оперативно, в реальном времени или периодически. Оперативный аудит с автоматическим реагированием на выявленные штатные ситуации называется активным.

Задачи и функции аудита

· Обеспечение подотчетности пользователей и администраторов.

· Обеспечение возможности реконструкции последовательности событий.

· Обнаружение попыток нарушений информационной безопасности.

· Предоставление информации для выявления и анализа проблем.

Структура журналов аудита

В журнале аудита записываются отдельные действия определенных пользователей. При включении ведения журнала аудита администраторы могут использовать его для отслеживания всех изменений объектов-получателей. Журнал аудита может помочь организации обеспечить соблюдение нормативных и законодательных требований. Тщательная настройка области ведения журнала аудита позволяет управлять тем, какие именно действия будут отслеживаться, что упрощает анализ и управление журналами аудита.

События отображаются в виде некоторого набора стандартных полей, и каждый идентификатор (ID) имеет уникальное описание. Стандартными являются поля идентификатора (ID), даты (date), времени (time), имени пользователя (username), имени компьютера (computer name), источника (source), категории (category) и типа (type).

Активный аудит, методы активного аудита

Задача активного аудита – оперативно выявлять подозрительную активность и предоставлять средства для автоматического реагирования на нее. Под подозрительной активностью понимается поведение пользователя или компонента информационной системы, являющееся злоумышленным или нетипичным.

Методы активного аудита

Выявление злоумышленной активности

Под злоумышленной активностью мы понимаем как атаки (очевидно, противоречащие любой политике безопасности), так и действия, нарушающие политику безопасности конкретной организации путем злоупотребления имеющимися полномочиями. Разделение двух видов злоумышленной активности представляется нам целесообразным по той причине, что настройка на выявление атак может быть выполнена поставщиком системы активного аудита (атаки носят универсальный характер), в то время как политика безопасности (если, конечно, она есть) у каждой организации своя и настраиваться на нее заказчикам придется самим.

Для выявления злоумышленной активности пытались и пытаются использовать несколько универсальных технологий: экспертные системы, нейронные сети, сопоставление с образцом, конечные автоматы и т.п. Одной из первых и до сих пор самой распространенной остается технология обнаружения сигнатур злоумышленных действий. Идея состоит в том, чтобы каким-либо образом задать характеристики злоумышленного поведения (это и называется сигнатурами), а затем отслеживать поток событий в поисках соответствия с предопределенными образцами. Иногда сопоставление основывается на простом (применительно к активному аудиту) механизме регулярных выражений, известному всем по ОС Unix. В более серьезных разработках уже свыше десяти лет используются экспертные системы, опирающиеся на наборы правил, задающие более мощные языки.

Выявление аномальной активности

Для выявления аномальной активности предлагаются довольно много методов: нейронные сети, экспертные системы, статистический подход. В свою очередь, статистический подход можно подразделить на кластерный и факторный анализ, а также дискриминантный (классификационный) анализ.

Выявление аномальной активности статистическими методами основывается на сравнении краткосрочного поведения с долгосрочным. Для этого измеряются значения некоторых параметров работы субъектов (пользователей, приложений, аппаратуры).

Реагирование на подозрительные действия

После того, как обнаружена сигнатура злоумышленного действия или нетипичная активность, необходимо выбрать достойный ответ. По многим соображениям удобно, чтобы компонент реагирования содержал собственную логику, фильтруя сигналы тревоги и сопоставляя сообщения, поступающие от подсистем анализа. Для активного аудита одинаково опасны как пропуск атак (это значит, что не обеспечивается должной защиты), так и большое количество ложных тревог (это значит, что активный аудит быстро отключат). При выборе реакции особенно важно определить первопричину проблем.

Предпочтительны более спокойные, но также достаточно эффективные меры, такие как блокирование злоумышленного сетевого трафика средствами межсетевого экранирования (ряд систем активного аудита умеют управлять конфигурацией экранов) или принудительное завершение сеанса работы пользователя. Конечно, и здесь остается опасность наказать невиновного, так что политика безопасности каждой организации должна определять, что важнее - не пропустить нарушение или не обидеть лояльного пользователя.

Обеспечение защиты корпоративной информационной среды от атак на информационные сервисы

Для построения систем защиты для корпоративных вычислительных сетей требуется использовать средства защиты, соответствующие современным стандартам. Данные средства защиты должны быть сертифицированы и лицензированы в соответствии с Законами Российской Федерации от 10.06.1993 N 5151-1 "О сертификации продукции и услуг", от 10.06.1993 N 5154-1 "О стандартизации", Федеральным законом от 25.09.1998 N 158-ФЗ "О лицензировании отдельных видов деятельности".

Для защиты от внешних атак со стороны открытых информационных систем, например Интернета, применяется защищенное подключение к подобным сетям. Необходима защита от проникновения в сеть и от утечки информации из сети, для этого осуществляется разграничение "доверенной" (защищаемой) сети от "недоверенной". Подобное защищенное разграничение реализуется при помощи межсетевых экранов.

Защита Интернет-подключений, функции и назначение межсетевых экранов

Защита Интернет-подключений включает в себя:

· защиту ресурсов корпоративной сети и разграничение доступа;

· обнаружение атак и вторжений;

· защиту информации при передаче через IP-сети (Виртуальные Частные Сети - VPN);

· межсетевое экранирование;

· централизованное управление и сбор статистики. В том числе:

· безопасное подключение корпоративной сети к Интернет;

· связь филиалов компаний через глобальную сеть Интернет с использованием технологии Виртуальной Частной Сети (VPN);

· защищенный удаленный доступ сотрудников к информационным ресурсам организации (VPN, SSL).

Межсетевой экран

Одним из эффективных механизмом обеспечения информационной безопасности распределенных вычислительных сетях является экранирование, выполняющее функции разграничения информационных потоков на границе защищаемой сети.

Межсетевое экранирование повышает безопасность объектов внутренней сети за счет игнорирования неавторизованных запросов из внешней среды, тем самым, обеспечивая все составляющие информационной безопасности. Кроме функций разграничения доступа, экранирование обеспечивает регистрацию информационных обменов.

Функции экранирования выполняет межсетевой экран или брандмауэр (firewall), под которым понимают программную или программно-аппаратную систему, которая выполняет контроль информационных потоков, поступающих в информационную систему и/или выходящих из нее, и обеспечивает защиту информационной системы посредством фильтрации информации. Фильтрация информации состоит в анализе информации по совокупности критериев и принятии решения о ее приеме и/или передаче.

Межсетевые экраны классифицируются по следующим признакам:

· по месту расположения в сети – на внешние и внутренние, обеспечивающие защиту соответственно от внешней сети или защиту между сегментами сети;

· по уровню фильтрации, соответствующему эталонной модели OSI/ISO.

Внешние межсетевые экраны обычно работают только с протоколом TCP/IP глобальной сети Интернет. Внутренние сетевые экраны могут поддерживать несколько протоколов, например, при использовании сетевой операционной системы Novell Netware, следует принимать во внимание протокол SPX/IPX.

Понятие демилитаризованной зоны

Незащищенную часть локальной сети с возможностью использования одного или нескольких портов или IP-адресов со специальными (более "слабыми") настройками сетевого экрана называют демилитаризованной зоной (DMZ). Демилитаризованная зона позволяет полноценно функционировать сетевым службам и интернет-приложениям. В DMZ обычно помещают Web-, Proxy-сервера, почтовые сервера и т. д. Внутренняя локальная сеть отделена от DMZ и защищена сетевым экраном.

Виртуальные частные сети (VPN), их назначение и использование в корпоративных информационных системах

Главной отличительной чертой технологии виртуальной частной сети VPN является использование сети Internet в качестве магистрали для передачи корпоративного IP- трафика. Сети VPN предназначены для решения задач подключения конечного пользователя к удаленной сети и соединения нескольких локальных сетей. Структура VPN включает в себя каналы глобальной сети, защищенные протоколы и маршрутизаторы.

Как же работает виртуальная частная сеть? Для объединения удаленных локальных сетей в виртуальную сеть корпорации используются так называемые виртуальные выделенные каналы. Для создания подобных соединений используется механизм туннелирования. Инициатор туннеля инкапсулирует пакеты локальной сети (в том числе, пакеты немаршрутизируемых протоколов) в новые IP-пакеты, содержащие в своем заголовке адрес этого инициатора туннеля и адрес терминатора туннеля. На противоположном конце терминатором туннеля производится обратный процесс извлечения исходного пакета.

Защита данных и сервисов от воздействия вредоносных программ. Вирусы, троянские программы

Компьютерный вирус – разновидность компьютерных программ или вредоносный код, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру.

Даже если автор вируса не программировал вредоносных эффектов, вирус может приводить к сбоям компьютера из-за ошибок, неучтённых тонкостей взаимодействия с операционной системой и другими программами. Кроме того, вирусы обычно занимают некоторое место на накопителях информации и отбирают некоторые другие ресурсы системы. Поэтому вирусы относят к вредоносным программам.

Троянскими вирусами (троянскими конями) обычно называют программы, содержащие скрытый модуль, осуществляющий несанкционированные действия. Эти действия не обязательно могут быть разрушительными, однако практически всегда направлены во вред пользователю. В свою очередь, троянские программы можно разделить на несколько категорий.

Троянские вирусы обычно выполняют или имитируют выполнение какой-нибудь полезной или экзотической функции. При этом в качестве побочного эффекта они стирают файлы, разрушают каталоги, форматируют диск и т.д. Иногда разрушительный код встраивается в какую-нибудь известную программу. Чтобы привлечь пользователей, полученная троянская программа-вандал часто маскируется под новую версию данного программного продукта.

Антивирусное программное обеспечение

Антивирусная программа (антивирус) - любая программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики - предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.

Говоря о системах Майкрософт, обычно антивирус действует по схеме:

· поиск, в базе данных антивирусного ПО, сигнатур вирусов;

· если найден инфицированный код в памяти (оперативной и/или постоянной), запускается процесс карантина и процесс блокируется;

· зарегистрированная программа обычно удаляет вирус, незарегистрированная просит регистрации, и оставляет систему уязвимой.

Для использования антивирусов необходимы постоянные обновления так называемых баз антивирусов. Они представляют собой информацию о вирусах - как их найти и обезвредить. Поскольку вирусы пишут часто, то необходим постоянный мониторинг активности вирусов в сети. Для этого существуют специальные сети, которые собирают соответствующую информацию. После сбора этой информации производится анализ вредоносности вируса, анализируется его код, поведение, и после этого устанавливаются способы борьбы с ним. Чаще всего вирусы запускаются вместе с операционной системой. В таком случае можно просто удалить строки запуска вируса из реестра, и на этом в простом случае процесс может закончиться. Более сложные вирусы используют возможность заражения файлов.

Защита системы электронной почты

Специальные средства защиты электронной почты:

1. Установка «брандмауэра» - защитной стенки в виде буфера на стыке между сетью Intеrnеt и внутрифирменными сетями. Буфер, контролируя доступ на этом стыке, позволяет защитить информационные ресурсы.

2. Во-вторых, маскировка паролей. Маскирование паролей, т. е. помещение зашифрованных паролей в некий файл, доступный только для системного администратора, является наиболее простым решением проблемы защиты от хэкеров.

3. В-третьих, рекомендуется шифровать все передаваемые по сети сообщения, хотя при этом могут возникать определенные сложности. В частности, шифрование нельзя использовать при передаче сообщений между локальными вычислительными сетями (ЛВС), использующими систему Uniх и систему Мiсrоsоft Маil. Кроме того, зашифрованные сообщения зачастую не проходят по сетям, в которых используется сжатие данных. Наконец, внедрению шифрования могут противодействовать правительственные органы. Так, в интересах усиления национальной безопасности правительственные круги США хотели бы сохранить за собой возможность контроля сообщений, пересылаемых по сети Intеrnеt. И все же шифрование остается единственным надежным средством защиты информации в системах электронной почты. Оно позволяет использовать эти системы при совершении крупных сделок, для передачи финансовой информации и стратегических планов компаний. Без шифрования электронная почта оказывается чрезвычайно уязвимой по отношению к перехвату циркулирующих по ней сообщений.

Спам, борьба со спамом

Наиболее часто термин «спам» употребляется в смысле «почтовый спам». Это сообщения, присылаемые вам от неизвестных людей или организаций, которым вы не давали на это разрешения. Как правило, спам – это массовая рассылка на большое число адресов, содержащая рекламу или коммерческие предложения.

При выборе технологического решения по защите от спама вне зависимости от типа защищаемого объекта (персональный ли это почтовый ящик или почтовый сервер крупной организации) рассматриваются следующие основные требования, которым должна удовлетворять современная система защиты от спама.

1. Комплексная защита. В состав средств защиты должны входить:

· фильтры содержимого;

· сигнатурный анализ;

· проверка по черным спискам;

· проверка по серым спискам;

· байесовские фильтры;

· эвристический анализ.

2. Интегрированный комплекс антивирусной защиты.

3. Высокая производительность аппаратной платформы (интерфейсы и шины с пропускной способностью от 1 Гбит/с) и программных компонентов (разбор не менее 10 сообщений в секунду).

4. Постоянная поддержка решения производителем и автоматическое обновление сигнатур, фильтров в режиме, близком к режиму реального времени.

5. Наличие обратной связи с получателем сообщения (возможность просмотра карантина, изменения персональных параметров фильтрации, информирование пользователя о наступлении событий в системе и т.д.).

6. Возможность дополнительной адаптации системы в соответствии с особенностями инфраструктуры организации.