Классификация запоминающих устройств.

Лекция №1.

Рассматриваемые вопросы:

Классификация запоминающих устройств.

Контроль правильности работы запоминающих устройств.

 

Хранение является одной из основных операций, осуществляемых над информацией, с целью обеспечения её доступности в течение некоторого промежутка времени.

Под хранением информации понимают её запись в запоминающее устройство (ЗУ) для последующего использования.

Лекция 3.

Рассматриваемые вопросы:

Основные положения информационной безопасности.

Организация защиты информации в вычислительном центре (ВЦ) крупного предприятия

 

Для правильной организации работы вычислительного центра руководство организации должно принять большое число решений, которые будут определять режим работы ВЦ. Многие из этих решений влияют на степень защиты информации. Поэтому их необходимо рассматривать в свете общих конечных целей организации.

Организация защиты информации в ВЦ рассматривается с следующих позиций:

- Внешнее окружение ВЦ;

- Способы контроля доступа;

- Применимость мер защиты;

- Надежность и восстановление ЭВМ;

- Обучение пользователей.

Внешнее окружение ВЦ

Для ограничения числа лиц, которые получают доступ в по­мещение вычислительного центра, могут быть использованы: организационные меры и меры непосредственной защиты. Определим следующие три основных режима организации работы ВЦ:

1. Закрытый режим. Только небольшое число операторов имеет прямой доступ в помещение ВЦ. Материал для всех вычислений, которые должны быть выполнены в ВЦ, передаются одному из специалистов, который затем и будет наблюдать за прогоном программы.                                1

2. Открытый режим. Любой сотрудник организации может получить доступ в помещение ВЦ. Пользователь для выполнения вычислений должен сам появиться в помещении ВЦ, и в это время можно выполнить процедуры его идентификации.                                        

3. Режим без ограничений. Доступ к средствам ВЦ осуществляется по линиям связи. При этом пользователь не должен появляться в помещении ВЦ.  

Применимость мер защиты

Введение мер защиты может создать дополнительные трудности или неудобства для пользователей. Если эти меры слишком усложняют работу, то, вероятнее все­го, эффективность их использования будет низкой. Для большинства пользовате­лей обеспечение защиты не является основной функциональной обязанностью. Если применение мер защиты требует от пользователя за­трат лишнего времени и он будет совершать некоторую лишнюю работу, кото­рая не относится к его непосредственным обязанностям, то это косвенно побудит его найти обходные пути, которые поставят под угрозу работу механизма защиты.

Поэтому когда разрабатывается способ установления полномочий и мер защиты, важно, учесть условия ра­боты с системой и должен быть выбран подход ЗИ, который обеспе­чивает простоту и удобство использования средств защиты. Такое решение может потребовать компромисса между сте­пенью защиты системы и простотой работы с нею.

Важность проблемы защиты и обучение пользователей

Обучение пользователей является важным предварительным условием эффективности внедрения различных процедур защиты. Знания пользователей и понимание ими проблем защиты будут углубляться за счет сообщений средств массовой информации, увеличения числа прямых контактов с вычислительной техникой, а также по ме­ре того, как ЭВМ станут все шире использоваться различными организациями и будут совершенствоваться системы защиты (как в техническом плане, так и в плане повышения их качест­ва по критерию стоимость-эффективность). Последнее сделает использование современных систем более простым и естествен­ным.

Экономические проблемы ЗИ

Применение систем ЗИ приводит к тому, что руко­водство должно принять большое число разнообразных реше­ний. Полезно рассмотреть эти решения с позиций экономиче­ской выгоды вложения средств, что привычно для руководст­ва большинства организаций.

Основными проблемами, которые должны быть рассмотре­ны для определения экономических аспектов проблемы защиты, являются следующие: а) определение ценности информации;

б) оценка вероятных угроз системе защиты информации;

в) оценка и эффективность возможных механизмов защиты.

Ниже рассмотрены некоторые аспекты этих проблем.

С позиции оценки ценности информация может быть:

1. Важная оперативная информация;

2. Персональная информация; (например данные переписи об отдельных.лицах или медицинская информация, которая хранится в файле данных о сотрудниках, имеет значительно большую ценность для источника (т. е. для лица, к которому относится информация), чем для держателя информации или для злоумышленника)

3. Информация, используемая руководством при выработке стратегических решений.

С позиции угроз действия злоумышленников можно отнести к следующим четырем группам:

1. Прерывание—прекращение нормальной обработки ин­формации;

2. Кража или раскрытие—чтение или копирование инфор­мации с целью получения данных.

3. Видоизменение—изменение информации;

4. Разрушение—необратимое разрушение информации.

Таким образом, в процессе определения ценности инфор­мации необходимо учитывать свойства самой информации, возможные угрозы и заинтересованную сторону, в частных случаях, например, могут быть использованы оценки типа затраты держателя на защиту информации «против раскры­тия Х» и «затраты злоумышленника на изменение информации У».

Оценка угроз проводится для того, чтобы определить затраты на выполнение определенных действий с информацией. Для разработки рационального плана защиты необходимо оценить и вероятность осуществления каждой угрозы

Общей целью большинства предложенных стратегий оценки риска является получение количественной оценки риска. В ка­честве наиболее приемлемого метода для этого можно предло­жить вычисление ожидаемой величины потерь для каждой угрозы в виде произведения Y р, где Y — денежная оценка угрозы, а р—вероятность ее осуществления. Следовательно, если оценка угрозы составляет 100 тыс. долл., а вероятность ее осуществления равна 0,05, то оценка риска составляет 5 тыс. долл.

К проблемам оценки рисков относятся:

1. определение точной денежной оценки угрозы;

2. большинство людей обычно не­охотно приписывают денежную оценку угрозам, которые могут оказать социальное воздействие;

Существуют также большие трудности и при определении вероятности осуществления угрозы. Определенные явления при­роды, например землетрясения и наводнения, пришлось изучать в течение достаточно длительных периодов времени, чтобы по­лучить некоторые разумные вероятности их появления. Угрозы вычислительным систе­мам слишком разнообразны и изучение их началось совсем недавно, чтобы можно было собрать по этому вопросу досто­верный статистический материал.

Лекция 4

Концепция защищенной ВС

Попытаемся ответить на следующий вопрос: что такое за­щищенная ВС? Многие специалисты считают, что точный ответ на этот вопрос (полный, ясный и исчерпывающий) до сих пор не найден.

В качестве первого приближенного ответа можно принять следующее утверждение: ВС защищена, если все операции выполняются в соответствии со строго определенными прави­лами, которые обеспечивают непосредственную защиту объек­тов сети, ее ресурсов и операций.

Для создания списка требований может оказаться полезной определенная классификация ресурсов и операций ВС.

Основным понятием защиты ВС является понятие объекта, кото­рый включает ресурсы и пользователей. В состав ресурсов входят все компоненты ВС, ее аппаратное и программное обеспечение. Понятие ресурса может быть распространено и на другие компоненты ВС - процедуры, протоколы, управляющие структуры и т.п.

Для того чтобы спроектировать и реализовать ин­тегрированную систему защиты для ВС, необходимо в первую очередь выявить все угрозы. Сделать это можно, проведя три стадии анализа: анализ требовании к защите; анализ спосо­бов защиты; анализ возможных реализаций функций, проце­дур и средств защиты.

Первая стадия - выработка требований - включает:

- анализ уязвимых элементов ВС;

- оценку угроз - выявление проблем, которые могут воз­
никнуть из-за наличия уязвимых элементов;

- анализ риска - прогнозирование возможных последствий,
которые могут вызвать эти проблемы.

Вторая стадия - определение способов защиты - включает ответы на следующие вопросы:

- какие угрозы должны быть устранены и в какой мере?

- какие ресурсы сети должны быть защищены и в какой
степени?

- с помощью каких средств должна быть реализована за­
щита?

- каковы должны быть полная стоимость реализации за­
щиты и затраты на эксплуатацию с учетом потенциальных
угроз?

Третья стадия - определение функций, процедур и средств защиты, реализуемых в виде некоторых механизмов защиты.

Управление защитой - это контроль за распределением информации в открытых системах. Он осуществляет­ся для обеспечения функционирования средств и механизмов защиты; фиксации выполняемых функций и состояний меха­низмов защиты и фиксации событий, связанных с нарушени­ем защиты.

Функции, требования, спецификации и механизмы защиты можно свести к:

- защите объектов ВС;

- защита линий связи;

- защита баз данных;

- защита подсистем управления ВС.

 

Защита объектов ВС

Защита объектов ВС – идентификация и верификация объекта защиты (алгоритма, модуля, программного компонента и др.) с целью установки сфер его действия и доступных ресурсов. Защита объектов ВС актуальна в каналах связи, в которых подтверждение подлинности означает установление подлинности объектов, связывающихся между собой по линиям связи, реализуемых с помощью сетевых механизмов защиты.

Защита объектов обеспечивается процедурами:

- подтверждение подлинности идентификатора и самого отправителя;

- контроль получателем истинности передаваемых данных;

- отправитель удостоверяется в доставки данных получателю;

- отправитель должен быть уверен в истинности доставленных данных.

Защита объекта

- Идентификация защищенного объекта

- Подтверждение подлинности

- Предоставление полномочий

Защита группы объектов

- Взаимное подтверждение подлинности

- Цифровая сигнатура

- Цифровая печать

- Уведомление о вручении

- Средства подтверждения передачи

- Защита отправлений по каналам электронной почты

- Защита при проведении телеконференций

Взаимодействие недружественных объектов

- Подписание контракта

- Жеребьевка

- (k,n)-пороговые схемы защиты

 

Защита линий связи ВС

Линии связи - один из наиболее уязвимых компонентов ВС. В случае пассивного вторжения злоумышленник только наблюдает за сообщениями, передаваемыми по линии связи, не нарушая их передачу. Даже если непонятны сами данные, злоумышленник может наблю­дать за управляющей информацией, которая сопровождает со­общения, и таким образом выявить размещение; и идентифи­каторы объектов ВС.

 Активное вторжение включает:

- воздействие на поток сообщений: модификация, удале­
ние, задержка, переупорядочение, дублирование регулярных и
посылка ложных сообщений;

- воспрепятствование передаче сообщений;

- осуществление ложных соединений.

 

Функции, процедуры и средства защиты линий связи ВС

Функции, процедуры и средства защиты от пассивных вторжений

* Конфиденциальность содержания сообщения

* Предотвращение возможного анализа трафика

* Чистый канал

* Цифровые псевдонимы

Функции, процедуры и средства защиты от активных вторжений

* Поддержание целостности потока сообщений

* Поддержание непрерывности процесса передачи

* Подтверждение подлинности соединения

Чтобы устранить возможность входа в ВС с неправильным идентификатором, соединение должно поддерживать защищен­ную проверку протоколов объектов на каждом конце соедине­ния (взаимоподтверждение). Хотя верификация идентифика­тора объекта - сложная проблема, которая может потребовать подтверждения подлинности и контроля защищенности вне ВС, часть проблемы идентификации должна быть решена в рамках ВС. Хотя эта категория вторжений аналогична атакам на поток сообщений, процедура инициализации соединения требует привлечения дополнительных механизмов защиты.

 

Защита баз данных ВС

Защита БД означает защиту самих данных и их контролируемое использование на рабочих ЭВМ сети, а так­же защиту любой сопутствующей информации, которая мо­жет быть извлечена или сгенерирована из этих данных.

Когда рассматриваются процедуры защиты сетевых баз данных, то данные и их логические структуры представляют­ся двумя различными способами. Отдельные объекты данных могут быть сами объектами защиты, но могут быть организо­ваны в структуры БД (сегменты, отношения, каталоги и т.п.). Защита таких структур рассматривается в основном при анализе механизмов контроля доступа.

Функции, процедуры, средства защиты БД в ВС

* Защита содержания данных

* Средства контроля доступа

* Управление потоком защищенных данных

* Предотвращение возможности выявления

* конфиденциальных значений

* Контроль согласованности данных

* (зависимость от значения)

* Контекстная защита данных

* (зависимость от предыстории)

* Предотвращение создания несанкционированной информации

Физическая защита данных

Кабельная система

Кабельная система остается главной "ахилессовой пятой" большинства локальных вычислительных сетей: по данным различных исследований, именно кабельная система является причиной более чем половины всех отказов сети [2]. В связи с этим кабельной системе должно уделяться особое внимание с самого момента проектирования сети.

Наилучшим способом решить проблему неправильной прокладкой кабеля является использование структурированных кабельных систем, использующих одинаковые кабели для передачи данных в локальной вычислительной сети, локальной телефонной сети, передачи видеоинформации или сигналов от датчиков пожарной безопасности или охранных систем. К структурированным кабельным системам относятся, например, SYSTIMAX SCS фирмы АТ&T, OPEN DECconnect компании Digital, кабельная система корпорации IBM.

Понятие "структурированность" означает, что кабельную систему здания можно разделить на несколько уровней в зависимости от назначения и месторасположения компонентов кабельной системы. Например, кабельная система SYSTIMAX SCS состоит из:

- Внешней подсистемы (campus subsystem)

- Аппаратных (equipment room)

- Административной подсистемы (administrative subsystem)

- Магистрали (backbone cabling)

- Горизонтальной подсистемы (horizontal subsystem)

- Рабочих мест (work location subsystem)

Внешняя подсистема состоит из медного и оптоволоконного кабеля, устройств электрической защиты и заземления и связывает коммуникационную и обрабатывающую аппаратуру в здании (или комплексе зданий).

Аппаратные служат для размещения различного коммуникационного оборудования, предназначенного для обеспечения работы административной подсистемы.

Административная подсистема предназначена для быстрого и легкого управления кабельной системой.

Магистраль состоит из медного кабеля или комбинации медного и оптоволоконного кабеля и вспомогательного оборудования.

Горизонтальная система на базе витого медного кабеля расширяет основную магистраль от входных точек административной системы этажа к розеткам на рабочем месте.

Оборудование рабочих мест включает в себя соединительные шнуры, адаптеры, устройства сопряжения и обеспечивает механическое и электрическое соединение между оборудованием рабочего места и горизонтальной кабельной подсистемой.

Наибольшее распространение в настоящее время получили следующие стандарты кабельных систем:

- Спецификации корпорации IBM;

- Система категорий Underwriters Labs (UL);

- Стандарт EIA/TIA 568;

Системы электроснабжения

Наиболее надежным средством предотвращения потерь информации при кратковременном отключении электроэнергии в настоящее время является установка источников бесперебойного питания. Различные по своим техническим и потребительским характеристикам, подобные устройства могут обеспечить питание всей локальной сети или отдельного компьютера в течение промежутка времени, достаточного для восстановления подачи напряжения или для сохранения информации на носители. Большинство источников бесперебойного питания одновременно выполняет функции и стабилизатора напряжения, что является дополнительной защитой от скачков напряжения в сети. Многие современные сетевые устройства - серверы, концентраторы, мосты и т. д. - оснащены собственными дублированными системами электропитания.

Крупные компании и корпорации, как правило, имеют собственные аварийные электрогенераторы или резервные линии электропитания. Эти линии подключены к разным подстанциям, и при выходе из строя одной из них электроснабжение осуществляется с резервной подстанции.

Операционные системы

Операционная система является важнейшим программным компонентом любой вычислительной машины, поэтому от уровня реализации политики безопасности в каждой конкретной ОС во многом зависит и общая безопасность информационной системы.

Операционная система MS-DOS является ОС реального режима микропроцессора Intel, а потому здесь не может идти речи о разделении оперативной памяти между процессами. Все резидентные программы и основная программа используют общее пространство ОЗУ. Защита файлов отсутствует, о сетевой безопасности трудно сказать что-либо определенное, поскольку на том этапе развития ПО драйверы для сетевого взаимодействия разрабатывались не фирмой MicroSoft, а сторонними разработчиками.

Семейство операционных систем Windows 95, 98, Millenium – это клоны, изначально ориентированные на работу в домашних ЭВМ. Эти операционные системы используют уровни привилегий защищенного режима, но не делают никаких дополнительных проверок и не поддерживают системы дескрипторов безопасности. В результате этого любое приложение может получить доступ ко всему объему доступной оперативной памяти как с правами чтения, так и с правами записи. Меры сетевой безопасности присутствуют, однако, их реализация не на высоте. Более того, в версии Windows 95 была допущена основательная ошибка, позволяющая удаленно буквально за несколько пакетов приводить к "зависанию" ЭВМ, что также значительно подорвало репутацию ОС, в последующих версиях было сделано много шагов по улучшению сетевой безопасности этого клона.

Поколение операционных систем Windows NT, 2000, Seven и 10 уже значительно более надежная разработка компании MicroSoft. Они являются действительно многопользовательскими системами, надежно защищающими файлы различных пользователей на жестком диске (правда, шифрование данных все же не производится и файлы можно без проблем прочитать, загрузившись с диска другой операционной системы – например, MS-DOS). Данные ОС активно используют возможности защищенного режима процессоров Intel, и могут надежно защитить данные и код процесса от других программ, если только он сам не захочет предоставлять к ним дополнительного доступа извне процесса.

За долгое время разработки было учтено множество различных сетевых атак и ошибок в системе безопасности. Исправления к ним выходили в виде блоков обновлений (англ. service pack).

Другая ветвь клонов растет от операционной системы UNIX. Эта ОС изначально разрабатывалась как сетевая и многопользовательская, а потому сразу же содержала в себе средства информационной безопасности. Практически все широко распространенные клоны UNIX прошли долгий путь разработки и по мере модификации учли все открытые за это время способы атак. Достаточно себя зарекомендовали: LINUX (SUSE), OpenBSD, FreeBSD, Sun Solaris. Естественно все сказанное относится к последним версиям этих операционных систем. Основные ошибки в этих системах относятся уже не к ядру, которое работает безукоризненно, а к системным и прикладным утилитам. Наличие ошибок в них часто приводит к потере всего запаса прочности системы.

С точки зрения информационной безопасности основные компоненты ОС можно разделить на:

1. локальный администратор безопасности – несет ответственность за несанкционированный доступ, проверяет полномочия пользователя на вход в систему.
2. Аудит – проверка правильности выполнения действий пользователя
3. Диспетчер учетных записей – поддержка БД пользователей их действий и взаимодействия с системой.
4. Монитор безопасности – проверяет имеет ли пользователь достаточные права доступа на объект
5. Журнал аудита – содержит информацию о входах пользователей, фиксирует работы с файлами, папками.
6. Пакет проверки подлинности – анализирует системные файлы, на предмет того, что они не заменены.

 

Windows XP дополнена:

1. можно назначать пароли для архивных копий
2. средства защиты от замены файлов
3. система разграничения … путем ввода пароля и создания учета записей пользователя.

       Архивацию может проводить пользователь, у которого есть такие права.

1. NTFS: контроль доступа к файлам и папкам

       В XP и 2000 – более полное и глубокое дифференцирование прав доступа пользователя.

       EFS – обеспечивает шифрование и дешифрование информации (файлы и папки) для ограничения доступа к данным.

Подлинность объекта

Если кто-то желает войти в вычислительную систему через терминал или выполнить пакетное задание, вычислительная система должна установить подлинность пользователя. Сам пользователь, как правило, не проверяет подлинность вычис­лительной системы. Если процедура установления подлинно­сти является односторонней, такую процедуру называют про­цедурой одностороннего подтверждения подлинности объекта.

1.1. Модель пароля

Традиционно каждый пользователь вычислительной системы получает идентификационный номер или пароль. В начале сеанса работы на терминале пользователь указывает свой идентификационный номер или идентификатор пользователя системе, которая затем запрашивает у пользователя пароль. В пакетное задание обычно включаются идентификационный номер и пароль отправителя или владельца. Такой механизм проверки подлинности простого пароля можно представить схемой 1.

Брандмауеры. Основные понятия

Брандмауэр - метод защиты сети от угроз безопасности, исходящих от других систем и сетей, с помощью централизации доступа к сети и контроля за ним аппаратно-программными средствами. Он является защитным барьером, состоящим из нескольких компонентов (например, маршрутизатора или шлюза, на котором работает программное обеспечение брандмауэра). Брандмауэр конфигурируется в соответствии с принятой в организации политикой контроля доступа к внутренней сети. Все входящие и исходящие пакеты должны проходить через брандмауэр, который пропускает только авторизованные пакеты.

Брандмауэр с фильрацией пакетов [packet-filtering firewall] - является маршрутизатором или компьютером, на котором работает программное обеспечение, сконфигурированное таким образом, чтобы отбраковывать определенные виды входящих и исходящих пакетов. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP- заголовках пакетов (адреса отправителя и получателя, их номера портов и др.).

Брандмауэр экспертного уровня [stateful inspecthion firewall] - проверяет содержимое принимаемых пакетов на трех уровнях модели OSI - сетевом, сеансовом и прикладном. Для выполнения этой задачи используются специальные алгоритмы фильтрации пакетов, с помощью которых каждый пакет сравнивается с известным шаблоном авторизованных пакетов.

Создание брандмауера относится к решению задачи экранирования. Формальная постановка задачи экранирования состоит в следующем. Пусть имеется два множества информационных систем. Экран - это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран осуществляет свои функции, контролируя все информационные потоки между двумя множествами систем (рис. 1). Контроль потоков состоит в их фильтрации, возможно, с выполнением некоторых преобразований.

Рис. 1. Экран как средство разграничения доступа.

На следующем уровне детализации экран (полупроницаемую мембрану) удобно представлять как последовательность фильтров. Каждый из фильтров, проанализировав данные, может задержать (не пропустить) их, а может и сразу "перебросить" за экран. Кроме того, допускается преобразование данных, передача порции данных на следующий фильтр для продолжения анализа или обработка данных от имени адресата и возврат результата отправителю (рис. 2).

Рис. 2. Экран как последовательность фильтров.

Помимо функций разграничения доступа, экраны осуществляют протоколирование обмена информацией.

Обычно экран не является симметричным, для него определены понятия "внутри" и "снаружи". При этом задача экранирования формулируется как защита внутренней области от потенциально враждебной внешней. Так, межсетевые экраны (МЭ) (предложенный автором перевод английского термина firewall) чаще всего устанавливают для защиты корпоративной сети организации, имеющей выход в Internet (см. следующий раздел).

Экранирование помогает поддерживать доступность сервисов внутренней области, уменьшая или вообще ликвидируя нагрузку, вызванную внешней активностью. Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно. Кроме того, экранирующая система, в отличие от универсальной, может быть устроена более простым и, следовательно, более безопасным образом.

Экранирование дает возможность контролировать также информационные потоки, направленные во внешнюю область, что способствует поддержанию режима конфиденциальности в ИС организации.

Подчеркнем, что экранирование может использоваться как сервис безопасности не только в сетевой, но и в любой другой среде, где происходит обмен сообщениями. Важнейший пример подобной среды - объектно-ориентированные программные системы, когда для активизации методов объектов выполняется (по крайней мере, в концептуальном плане) передача сообщений. Весьма вероятно, что в будущих объектно-ориентированных средах экранирование станет одним из важнейших инструментов разграничения доступа к объектам.

Экранирование может быть частичным, защищающим определенные информационные сервисы. Экранирование электронной почты описано в статье "Контроль над корпоративной электронной почтой: система "Дозор-Джет"" (Jet Info, 2002, 5).

Ограничивающий интерфейс также можно рассматривать как разновидность экранирования. На невидимый объект трудно нападать, особенно с помощью фиксированного набора средств. В этом смысле Web-интерфейс обладает естественной защитой, особенно в том случае, когда гипертекстовые документы формируются динамически. Каждый пользователь видит лишь то, что ему положено видеть. Можно провести аналогию между динамически формируемыми гипертекстовыми документами и представлениями в реляционных базах данных, с той существенной оговоркой, что в случае Web возможности существенно шире.

Экранирующая роль Web-сервиса наглядно проявляется и тогда, когда этот сервис осуществляет посреднические (точнее, интегрирующие) функции при доступе к другим ресурсам, например таблицам базы данных. Здесь не только контролируются потоки запросов, но и скрывается реальная организация данных.

Архитектурные аспекты

Бороться с угрозами, присущими сетевой среде, средствами универсальных операционных систем не представляется возможным. Универсальная ОС - это огромная программа, наверняка содержащая, помимо явных ошибок, некоторые особенности, которые могут быть использованы для нелегального получения привилегий. Современная технология программирования не позволяет сделать столь большие программы безопасными. Кроме того, администратор, имеющий дело со сложной системой, далеко не всегда в состоянии учесть все последствия производимых изменений. Наконец, в универсальной многопользовательской системе бреши в безопасности постоянно создаются самими пользователями (слабые и/или редко изменяемые пароли, неудачно установленные права доступа, оставленный без присмотра терминал и т.п.). Единственный перспективный путь связан с разработкой специализированных сервисов безопасности, которые в силу своей простоты допускают формальную или неформальную верификацию. Межсетевой экран как раз и является таким средством, допускающим дальнейшую декомпозицию, связанную с обслуживанием различных сетевых протоколов.

Межсетевой экран располагается между защищаемой (внутренней) сетью и внешней средой (внешними сетями или другими сегментами корпоративной сети). В первом случае говорят о внешнем МЭ, во втором - о внутреннем. В зависимости от точки зрения, внешний межсетевой экран можно считать первой или последней (но никак не единственной) линией обороны. Первой - если смотреть на мир глазами внешнего злоумышленника. Последней - если стремиться к защищенности всех компонентов корпоративной сети и пресечению неправомерных действий внутренних пользователей.

Межсетевой экран - идеальное место для встраивания средств активного аудита. С одной стороны, и на первом, и на последнем защитном рубеже выявление подозрительной активности по-своему важно. С другой стороны, МЭ способен реализовать сколь угодно мощную реакцию на подозрительную активность, вплоть до разрыва связи с внешней средой. Правда, нужно отдавать себе отчет в том, что соединение двух сервисов безопасности в принципе может создать брешь, способствующую атакам на доступность.

На межсетевой экран целесообразно возложить идентификацию/аутентификацию внешних пользователей, нуждающихся в доступе к корпоративным ресурсам (с поддержкой концепции единого входа в сеть).

В силу принципов эшелонированности обороны для защиты внешних подключений обычно используется двухкомпонентное экранирование (см. рис. 3). Первичная фильтрация (например, блокирование пакетов управляющего протокола SNMP, опасного атаками на доступность, или пакетов с определенными IP-адресами, включенными в "черный список") осуществляется граничным маршрутизатором (см. также следующий раздел), за которым располагается так называемая демилитаризованная зона (сеть с умеренным доверием безопасности, куда выносятся внешние информационные сервисы организации - Web, электронная почта и т.п.) и основной МЭ, защищающий внутреннюю часть корпоративной сети.

Рис. 3. Двухкомпонентное экранирование с демилитаризованной зоной.

Теоретически межсетевой экран (особенно внутренний) должен быть многопротокольным, однако на практике доминирование семейства протоколов TCP/IP столь велико, что поддержка других протоколов представляется излишеством, вредным для безопасности (чем сложнее сервис, тем он более уязвим).

Вообще говоря, и внешний, и внутренний межсетевой экран может стать узким местом, поскольку объем сетевого трафика имеет тенденцию быстрого роста. Один из подходов к решению этой проблемы предполагает разбиение МЭ на несколько аппаратных частей и организацию специализированных серверов-посредников. Основной межсетевой экран может проводить грубую классификацию входящего трафика по видам и передоверять фильтрацию соответствующим посредникам (например, посреднику, анализирующему HTTP-трафик). Исходящий трафик сначала обрабатывается сервером-посредником, который может выполнять и функционально полезные действия, такие как кэширование страниц внешних Web-серверов, что снижает нагрузку на сеть вообще и основной МЭ в частности.

Ситуации, когда корпоративная сеть содержит лишь один внешний канал, являются скорее исключением, чем правилом. Напротив, типична ситуация, при которой корпоративная сеть состоит из нескольких территориально разнесенных сегментов, каждый из которых подключен к Internet. В этом случае каждое подключение должно защищаться своим экраном. Точнее говоря, можно считать, что корпоративный внешний межсетевой экран является составным, и требуется решать задачу согласованного администрирования (управления и аудита) всех компонентов.

Противоположностью составным корпоративным МЭ (или их компонентами) являются персональные межсетевые экраны и персональные экранирующие устройства. Первые являются программными продуктами, которые устанавливаются на персональные компьютеры и защищают только их. Вторые реализуются на отдельных устройствах и защищают небольшую локальную сеть, такую как сеть домашнего офиса.

При развертывании межсетевых экранов следует соблюдать рассмотренные нами ранее принципы архитектурной безопасности, в первую очередь позаботившись о простоте и управляемости, об эшелонированности обороны, а также о невозможности перехода в небезопасное состояние. Кроме того, следует принимать во внимание не только внешние, но и внутренние угрозы.

Анализ защищенности

Сервис анализа защищенности предназначен для выявления уязвимых мест с целью их оперативной ликвидации. Сам по себе этот сервис ни от чего не защищает, но помогает обнаружить (и устранить) пробелы в защите раньше, чем их сможет использовать злоумышленник. В первую очередь, имеются в виду не архитектурные (их ликвидировать сложно), а "оперативные" бреши, появившиеся в результате ошибок администрирования или из-за невнимания к обновлению версий программного обеспечения.

Системы анализа защищенности (называемые также сканерами защищенности), как и рассмотренные выше средства активного аудита, основаны на накоплении и использовании знаний. В данном случае имеются в виду знания о пробелах в защите: о том, как их искать, насколько они серьезны и как их устранять.

Соответственно, ядром таких систем является база уязвимых мест, которая определяет доступный диапазон возможностей и требует практически постоянной актуализации.

В принципе, могут выявляться бреши самой разной природы: наличие вредоносного ПО (в частности, вирусов), слабые пароли пользователей, неудачно сконфигурированные операционные системы, небезопасные сетевые сервисы, неустановленные заплаты, уязвимости в приложениях и т.д. Однако наиболее эффективными являются сетевые сканеры (очевидно, в силу доминирования семейства протоколов TCP/IP), а также антивирусные средства. Антивирусную защиту мы причисляем к средствам анализа защищенности, не считая ее отдельным сервисом безопасности.

Сканеры могут выявлять уязвимые места как путем пассивного анализа, то есть изучения конфигурационных файлов, задействованных портов и т.п., так и путем имитации действий атакующего. Некоторые найденные уязвимые места могут устраняться автоматически (например, лечение зараженных файлов), о других сообщается администратору.