Методы, способы и средства защиты информации

При создании системы информационной безопасности (СИБ) необходимо учитывать, что защитится от всех атак не возможно, постольку реализация подобной системы может стоит бесконечно дорого. Поэтому требуется четкое представление о том, какие атаки могут произойти с какой вероятностью. На основании этих сведений составляется список актуальных угроз, с риском возникновения которых существование невозможно. Хотя зачастую это представление, даваемое экспертной оценкой, довольно субъективно и может быть ошибочно.

Исходя из списка актуальных угроз, возможно создание комплекса мер противодействия. В него могут быть включены списки методов, средств и способов противодействия угрозам. Все вместе это образует политику информационной безопасности. Политика безопасности – это основополагающий документ, регламентирующий работу СИБ. Политика безопасности может включать в себя сведения об актуальных угрозах и требования к инструментарию обеспечения защиты информации. Кроме того, в ней могут быть рассмотрены административные процедуры. Примером политики информационной безопасности может быть Доктрина Информационной Безопасности РФ.

Рассмотрим некоторые наиболее популярные методы защиты информации.

Следует отметить, что построение СИБ необходимо начинать с обеспечения физической безопасности. Упущения в обеспечении физической безопасности делает бессмысленным защиту более высокого уровня. Так, например, злоумышленник, получив физический доступ к какому-либо компоненту СИБ, скорее всего сможет провести удачную атаку.

Шифрование – математическая процедура преобразования открытого текста в закрытый. Может применяться для обеспечения конфиденциальности передаваемой и хранимой информации. Существует множество алгоритмов шифрования (DES, IDEA, ГОСТ и др.).

Электронно-Цифровая Подпись (ЭЦП), цифровые сигнатуры. Применяются для аутентификации получателей и отправителей сообщений. Строятся на основе схем с открытыми ключами. Кроме того, могут применяться схемы с подтверждением. Так, например, в ответ на посланное сообщение отправителю вернется сообщение, что сообщение было получено.

Резервирование, дублирование. Атаки на отказ системы (Denial of Service) – это один из самых распространенных типов атаки на информационную систему. Причем вывод системы из строя может быть произведено как сознательно, так и в силу каких-либо непредсказуемых ситуаций, будь то отключение электричества или авария. Для предотвращения, возможно применение резервирования оборудования, которое позволит динамично перейти с вышедшего из строя компонента на дубликат с сохранением функциональной нагрузки. Результатом атаки на отказ может стать вывод из строя какого-либо программного или аппаратного компонента информационной системы и тогда резервирование позволит «перебросить» часть задач с недоступного или перегруженного элемента на более мощные или свободным распространенным способом борьбы с внезапными краткосрочными перерывами с электричеством может стать источник бесперебойного питания (ИБП).

Методики защиты

1. Проверка соответствия стандартам.

2. Проверка корректности применения протоколов.

3. Ограничение передачи опасных данных.

4. Контроль операций на уровне приложений.

ВИРТУАЛЬНЫЕ ЗАЩИЩЕННЫЕ СЕТИ: ВИДЫ, ХАРАКТЕРИСТИКИ И ВАРИАНТЫ РЕАЛИЗАЦИИ

 

Аббревиатуру VPN можно прочесть не только как Virtual Private Network (Виртуальная Частная Сеть), но и как Virtual Protected Network, т.е. Виртуальная Защищенная Сеть.

По наиболее распространенной классификации виртуальных защищенных сетей (классификация Check Point Software Technologies), существуют следующие виды VPN:

1. Intranet VPN – объединяет в единую защищенную сеть несколько распределенных филиалов одной организации, взаимодействующих по открытым каналам связи.

 

 

1. Remote Access VPN – реализует защищенное взаимодействие между сегментом корпоративной сети и одиночным пользователем.

 

 

 

1. Client-Server VPN – обеспечивает защиту передаваемых данных между двумя узлами корпоративной сети.

 

 

1. Extranet VPN – предназначен для сетей, к которым подключаются так называемые пользователи “со стороны” (партнеры, заказчики, клиенты и т.д.), уровень доверия к которым намного ниже, чем к своим сотрудникам.

 

Все продукты для создания VPN можно условно разделить на следующие категории: программные, аппаратные и интегрированные. Программное решение для VPN – это, как правило, готовое приложение, которое устанавливается на подключенном к сети компьютере. С одной стороны, программное решение относительно недорого, но с другой стороны, создание подобной системы предусматривает конфигурирование сервера для распознавания данного компьютера, VPN-пакета, сетевых плат для каждого соединения и специальных плат для ускорения операций шифрования, что может быть затруднительным даже для опытных специалистов.

В отличие от них аппаратные VPN-решения включают в себя все, что необходимо для соединения – компьютер, частную (как правило) операционную систему и специальное программное обеспечение. Развертывать аппаратные решения значительно легче, но зато стоимость их достаточно высокая и позволить их себе приобрести может не каждая организация.

Существуют также интегрированные решения, в которых функции построения VPN реализуются наряду с функцией фильтрации сетевого трафика, обеспечения качества обслуживания и др. К данному виду решений можно отнести рассматриваемый в рамках данного учебного курса программно-аппаратный комплекс ViPNet.

Выбор решения определяется тремя факторами: размером сети, техническими навыками сотрудников организации, и объемом трафика, который планируется обрабатывать.

Так как в настоящее время стоит актуальная задача - обеспечение информационной безопасности предприятий среднего бизнеса (100-500 пользователей), то существуют следующие требования к системам защиты информации (в том числе и VPN):

Надежность

-Качество работы должно соответствовать ожиданиям;

-Высокая готовность решения.

Защита

- Решение должно обеспечивать высокий уровень безопасности;

-От решения требуется защита от всех типов угроз.

Простота использования

- Решение должно быть простым в установке, использовании и обслуживании.

Надежный поставщик

- Решение должно пройти проверку рынком;

- Достойная репутация компании-поставщика.

Экономическая эффективность

-Решение должно приносить пользу.

Основные компоненты VPN

• маршрутизаторы,
• межсетевые экраны,
• протоколирование событий,
• использование электронной цифровой подписи,
• Центр Управления сетью,
• основные криптографические средства,
• вспомогательные автоматизированные средства управления политикой безопасности.

Эти и другие элементы VPN мы рассмотрим далее по курсу.

Технология ViPNet предназначена для создания целостной системы доверительных отношений и безопасного функционирования технических средств и информационных ресурсов корпоративной сети организации, взаимодействующей также и с внешними техническими средствами и информационными ресурсами.

Доверительность отношений, безопасность коммуникаций и технических средств, безопасность и достоверность информационных ресурсов достигается путем создания в телекоммуникационной инфраструктуре корпоративной сети интегрированной виртуальной защищенной среды, которая включает в себя:

ü Распределенную систему межсетевых и персональных сетевых экранов, защищающую информационные ресурсы и пользователей как от внешних, так и внутренних сетевых атак.

ü Распределенную систему межсетевого и персонального шифрования трафика любых приложений и операционной системы, гарантирующую целостность и конфиденциальность информации, как на внешних, так и внутренних коммуникациях, и обеспечивающую разграничение доступа к техническим и информационным ресурсам.

ü Систему электронной цифровой подписи и шифрования информации на прикладном уровне, обеспечивающую достоверность и юридическую значимость документов и совершаемых действий.

ü Систему прозрачного для программных приложений шифрования данных при сохранении указанных данных в процессе работы этих приложений на сетевых и локальных жестких дисках, других носителях. Система обеспечивает целостность и недоступность информации для несанкционированного использования в процессе ее хранения.

ü Систему контроля и управления связями, правами и полномочиями защищенных объектов корпоративной сети, обеспечивающую автоматизированное управление политиками безопасности в корпоративной сети.

ü Комбинированную систему управления ключами, включающую подсистему асимметричного распределения ключей (PKI), обеспечивающую информационную независимость пользователей в рамках заданных политик безопасности от центральной администрации, и подсистему распределения симметричных ключей, гарантирующую высокую надежность и безопасность всех элементов централизованного управления средствами ViPNet, в том числе защиту подсистемы PKI.

ü Систему, обеспечивающую защищенное взаимодействие между разными виртуальными частными сетями ViPNet путем взаимного согласования между администрациями сетей допустимых межобъектных связей и политик безопасности.

Технология ViPNet позволяет быстро развертывать корпоративные защищенные сети на базе имеющихся у организации локальных сетей, доступных ресурсов глобальных (включая Интернет) и ведомственных телекоммуникационных сетей, телефонных и выделенных каналов связи, средств стационарной, спутниковой и мобильной радиосвязи и др. При этом в полной мере может использоваться уже имеющееся у организации оборудование (компьютеры, серверы, маршрутизаторы, коммутаторы, Межсетевые Экраны (МЭ) и т.д.).

Кроме того, технология дает возможность создать внутри распределенной корпоративной сети информационно–независимых виртуальных защищенных контуров, включающих как отдельные компьютеры, так и сегменты сетей, для обеспечения функционирования в единой телекоммуникационной среде различных по конфиденциальности или назначению информационных задач. Такие контуры создаются только исходя из логики требуемых (разрешенных) информационных связей, независимо от приложений, сетевой операционной системы, без каких-либо настроек сетевого оборудования.

Технология ViPNet позволяет поддерживать работу мобильных и удаленных пользователей корпоративной сети, а также организовывать контролируемое и безопасное для корпоративной сети подключение внешних пользователей и безопасное подключение отдельных рабочих станций к открытым ресурсам сети Интернет.

Результатом применения системы защиты информации ViPNet будет являться защита (конфиденциальность, подлинность и целостность) любого вида трафика, передаваемого между любыми компонентами сети, а также защита управляющего трафика для систем и средств удаленного управления объектами сети: маршрутизаторами, межсетевыми экранами, серверами и самих средств удаленного управления от возможных атак из глобальной или корпоративной сети.

С помощью системы защиты информации ViPNet можно проводить контроль доступа к любому узлу (рабочая станция, сервер, маршрутизатор и т.д.) и сегменту сети (локальная сеть, сегмент локальной сети, группа сегментов сети и т.д.), включая фильтрацию трафика, правила которой могут быть определены для каждого узла отдельно, как с помощью набора стандартных настроек, так и с помощью индивидуальной настройки. Возможно организовать безопасную работу участников VPN с совместным информационным групповым и/или корпоративным информационным ресурсом и защитить от НСД к информационным ресурсам корпоративной сети, хранимым на рабочих станциях (мобильных, удаленных и локальных), серверах (WWW, FTP, SMTP, SQL, файл-серверах и т.д.) и других хранилищах группового доступа.

Технология позволяет проводить аутентификацию пользователей и сетевых объектов VPN как на основе использования системы симметричных ключей, так и на основе использования инфраструктуры открытых ключей (PKI) и сертификатов стандарта X.509, а также оперативно управлять распределенной VPN-сетью (включая систему распределенных сетевых экранов) и политикой информационной безопасности на сети из одного центра с возможностью делегирования части полномочий локальным администраторам.

3.2.Состав программно-аппаратного комплекса ViPNet

 

1. ViPNet [Администратор] создает логическую инфраструктуру виртуальной сети, определяет политики безопасности в ней, осуществляет мониторинг и управление объектами сети. Также формирует симметричную ключевую информацию и первичную парольную информацию, выпускает сертификаты открытых ключей для объектов сети.

 

2. ViPNet [Координатор]:

- выполняет маршрутизацию почтовых и управляющих защищенных сообщений при взаимодействии объектов сети между собой и ViPNet [Администратором];

- в реальном времени осуществляет регистрацию и предоставление информации о состоянии объектов сети, их местоположении, значении их IP-адресов и др;

- обеспечивает работу защищенных компьютеров локальной сети в VPN от имени одного адреса (функция proxy);

- осуществляет туннелирование пакетов от обслуживаемой ViPNet [Координатором] группы незащищенных компьютеров локальной сети для передачи трафика от них к другим объектам VPN в зашифрованном виде по открытым каналам Интернет/Интранет;

- фильтрует трафик от источников, не входящих в состав VPN, в соответствии с заданной политикой безопасности (функция межсетевого экрана);

- обеспечивает возможность работы защищенных по технологии ViPNet компьютеров локальной сети через сетевые экраны и прокси-серверы других производителей.

 

3. ViPNet [Клиент] обеспечивает защиту информации при ее передаче в сеть, а также защиту от доступа к ресурсам компьютера и атак на него из локальных и глобальных сетей. При этом ViPNet [Клиент] может быть установлен как на рабочую станцию (мобильную, удаленную, локальную), так и на всевозможные типы серверов (баз данных, файл-серверов, WWW, FTP, SMTP, SQL и пр.) с целью обеспечения безопасных режимов их использования.