Засоби забезпечення безпеки даних і інформаційного захисту

Як захищатися? Найбільш простий спосіб - купити новітні рекламовані засоби захисту і встановити їх у себе в організації, не утрудняючи себе обґрунтуванням їх корисності і ефективності. Якщо компанія багата, то вона може дозволити собі цей шлях. Проте дійсний керівник повинен системно оцінювати ситуацію і правильно витрачати засоби. У всьому світі зараз прийнято будувати комплексну систему захист інформації і інформаційних систем у декілька етапів - на основі формування концепції інформаційної безпеки, маючи на увазі в першу чергу взаємозв'язок її основних понять (рис. 5.2) [Лапоніна О.Р. Основи мережевої безпеки. М.: ІНТУІТ.ru, 2005].

Перший етап - інформаційне обстеження підприємства - найважливіший. Саме на цьому етапі визначається, від чого в першу чергу необхідно захищатися компанії.

Спочатку будується так звана модель порушника, яка описує вірогідну зовнішність зловмисника, тобто його кваліфікацію, наявні засоби для реалізації тих або інших атак, звичайний час дії і т.п. На цьому етапі можна одержати відповідь на два питання, які були задані вище: "Навіщо і від кого треба захищатися?" На цьому ж етапі виявляються і аналізуються вразливі місця і можливі шляхи реалізації погроз безпеки, оцінюється вірогідність атак і збиток від їх здійснення.

 

Рис. 5.2. Взаємозв'язані параметри поля інформаційної безпеки

 

За наслідками етапу виробляються рекомендації по усуненню виявлених погроз, правильному вибору і застосуванню засобів захисту. На цьому етапі може бути рекомендовано не набувати достатньо дорогих засобів захисту, а скористатися вже наявними в розпорядженні. Наприклад, у разі, коли в організації є могутній маршрутизатор, можна рекомендувати скористатися вбудованими в нього захисними функціями, а не набувати дорожчого між мережевого екрану (Fairwall).

Разом з аналізом існуючої технології повинна здійснюватися розробка політики у області інформаційної безпеки і зведення організаційно-розпорядливих документів, що є основою для створення інфраструктури інформаційної безпеки (рис. 5.3). Ці документи, засновані на міжнародному законодавстві і законах Російській федерації і нормативних актах, дають необхідну правову базу службам безпеки і відділам захисту інформації для проведення всього спектру захисних заходів, взаємодії із зовнішніми організаціями, залучення до відповідальності порушників і т.п.

Рис. 5.3. Що становлять інфраструктури інформаційної безпеки

 

Формування політики ІБ повинне зводитися до наступних практичних кроків.

1. Визначення і розробка керівних документів і стандартів у області ІБ, а також основних положень політики ІБ, включаючи:

принципи адміністрування системи ІБ і управління доступом до обчислювальних і телекомунікаційних засобів, програм і інформаційних ресурсів, а також доступом в приміщення, де вони розташовуються;

принципи контролю стану систем захисту інформації, способи інформування про інциденти у області ІБ і вироблення коректуючих заходів, направлених на усунення погроз;

принципи використання інформаційних ресурсів персоналом компанії і зовнішніми користувачами;

організацію антивірусного захисту і захисту проти несанкціонованого доступу і дій хакерів;

питання резервного копіювання даних і інформації;

порядок проведення профілактичних, ремонтних і відновних робіт;

програму навчання і підвищення кваліфікації персоналу.

2. Розробка методології виявлення і оцінки погроз і ризиків їх здійснення, визначення підходів до управління ризиками: чи є достатнім базовий рівень захищеності або потрібно проводити повний варіант аналізу ризиків.

3. Структуризацію контрзаходів по рівнях вимог до безпеки.

4. Порядок сертифікації на відповідність стандартам у області ІБ. Повинна бути визначена періодичність проведення нарад з тематики ІБ на рівні керівництва, включаючи періодичний перегляд положень політики ІБ, а також порядок навчання всіх категорій користувачів інформаційної системи з питань ІБ.

Наступним етапом побудови комплексної системи інформаційної безпеки служить придбання, установка і настройка рекомендованих на попередньому етапі засобів і механізмів захисту інформації. До таких засобів можна віднести системи захисту інформації від несанкціонованого доступу, системи криптографічного захисту, міжмережеві екрани, засоби аналізу захищеності та інші.

Для правильного і ефективного застосування встановлених засобів захисту необхідний кваліфікований персонал.

З часом наявні засоби захисту застарівають, виходять нові версії систем забезпечення інформаційної безпеки, постійно розширюється список знайдених слабких місць і атак, міняється технологія обробки інформації, змінюються програмні і апаратні засоби, приходить і йде персонал компанії. Тому необхідно періодично переглядати розроблені організаційно-розпорядливі документи, проводити обстеження ІС або її підсистем, навчати новий персонал, оновлювати засоби захисту.

Проходження описаним вище рекомендаціям побудови комплексної системи забезпечення інформаційної безпеки допоможе досягти необхідного і достатнього рівня захищеності вашої автоматизованої системи.

Чим захищатися? Умовно можна виділити три категорії засобів захисту - традиційні засоби, нові технології і засоби криптографічного захисту інформації. Криптографічні засоби винесені в окрему категорію, тому що вони являють собою абсолютно особливий клас захисних засобів, який не може бути віднесений до якого-небудь іншому класу.

Традиційні засоби захисту будувалися з урахуванням класичних моделей розмежування доступу, розроблених в 1960-1970-х роках. У той час мережі ще не набули такого широкого поширення, та і розроблялися ці моделі у військових відомствах. До таких засобів можна віднести системи розмежування доступу і міжмережеві екрани. Перші засоби реалізують розмежування доступу конкретних користувачів до ресурсів конкретного комп'ютера або всієї мережі, а другі - розмежовують доступ між двома ділянками мережі з різними вимогами по безпеці. Яскравим прикладом систем розмежування доступу є системи сімейства SecretNet, розроблені науково-інженерним підприємством "Інформзахист" і на сьогодні що є лідерами російського ринку інформаційної безпеки.

З міжмережевих екранів можна назвати продукти компаній CheckPoint і CyberGuard - Firewall-1 і CyberGuard Firewall відповідно. Зокрема, міжмережевий екран CheckPoint Firewall-1 за даними незалежних агентств охоплює більше 40% світового ринку захисних засобів цього класу. До класу міжмережевих екранів можна також віднести і багато маршрутизаторів, що реалізовують фільтрацію даних на основі спеціальних правил (рис. 5.4).

 

Рис. 5.4. Використання комплексу "маршрутізатор-файерволл" в системах захисту інформації при підключенні до Internet

 

Проте у цих засобів є свої особливості. Наприклад, якщо пред'явити цим системам вкрадені ідентифікатор і секретний елемент (як правило, ім'я користувача і пароль), то і системи розмежування доступу, і міжмережеві екрани "пропустять" зломщика в корпоративну мережу і дадуть доступ до тих ресурсів, до яких допущений користувач, чиї ім'я і пароль "відведені". А одержати пароль зараз достатньо просто.

Для цього можна використовувати великий арсенал різних засобів, починаючи від програм-зломщиків, що перебирають за короткий час величезне число можливих паролів, і закінчуючи аналізаторами протоколів, які досліджують трафік, що передається по мережах, і вичленують з нього саме ті фрагменти, які характеризують паролі.

Для усунення таких недоліків були розроблені нові технології і різні механізми захисту, з яких широке розповсюдження одержали аналіз захищеності і виявлення атак. Аналіз захищеності полягає в пошуку в обчислювальній системі і її компонентах різних вразливих місць, які можуть стати мішенню для реалізації атак. Саме наявність цих місць приводить до можливості несанкціонованого проникнення в комп'ютерні мережі і системи. Найвідомішим продуктом у області аналізу захищеності є сімейство SAFEsuite американської компанії Internet Security Systems, яке складається з трьох систем, що виявляють уразливості ("дірки") і помилки в програмному забезпеченні - Internet Scanner, System Scanner і Database Scanner (рис. 5.5).

Виявлення атак - це нова технологія, яка набула поширення останніми роками. Її відмітна особливість полягає у виявленні будь-яких атак, зокрема випливаючих і від авторизованих користувачів, і що пропускаються міжмережевими екранами і засобами розмежування доступу. На цьому ринку також лідирує компанія ISS з системою виявлення атак RealSecure.

Необхідно сказати декілька слів про криптографічні засоби, які призначені для захисту критично важливих даних від несанкціонованого прочитання і/або модифікації. Криптографія - це сукупність технічних, математичних, алгоритмічних і програмних методів перетворення даних (шифрування даних), яка робить їх даремними для будь-якого користувача, у якого немає ключа для розшифровки.

 

Рис. 5.5. Схема застосування скануючої системи інформаційної безпеки

 

Формальні математичні методи криптографії були розроблені Клодом Шенноном [Шенон К. Математична теорія криптографія, 1945]. Він довів теорему про існування і єдність абсолютно стійкого шифру - такої системи шифрування, коли текст одноразово зашифровується за допомогою випадкового відкритого ключа такої ж довжини. У 1976 році американські математики У.Діффі і М.Хелман обґрунтували методологію асиметричного шифрування із застосуванням відкритої однонаправленої функції (це така функція, коли по її значенню не можна відновити значення аргументу) і відкритої однонаправленої функції з секретом.

У 1990-і роки в США були розроблені методи шифрування за допомогою особливого класу функцій - хеш-функцій (Hash Function). Хеш-функція (дайджест-функція) - це відображення, на вхід якого подається повідомлення змінної довжини М, а виходом є рядок фіксованої довжини h(M) - дайджест повідомлення. Криптостійкість такого методу шифрування полягає в неможливості підібрати документ М', який володів би необхідним значенням хеш-функції. Параметри обчислення хеш-функції h є сімейством ключів { К}N. В даний час на цих принципах будуються алгоритми формування електронного цифрового підпису (ЭЦП).

Найбільш використовуваними симетричними алгоритмами шифрування в даний час є DES (Data Encryption Standard), IDEA (International Data Encryption Algorithm) RC2, RC5, CAST, Blowfish. Асиметричні алгоритми - RSA (Rivest, Shamir, Adleman), алгоритм Ель Гамаля, криптосистема ЕСС на еліптичних кривих, алгоритм відкритого розподілу ключів Діффі-Хелмана. Алгоритми, засновані на застосуванні хеш-функцій, - MD4 (Message Digest 4), MD5 (Message Digest 5), SHA (Secure Hash Algorithm).

Найбільш відомим програмним продуктом, поширюваним вільно, є пакет PGP (Pretty Good Privacy). Пакет розроблений в 1995 році Філом Цимерманом (Phil Zimmerman), який використовував згадані вище алгоритми RSA, IDEA, і MD5. PGP складається з трьох частин - алгоритму IDEA, сигнатури і цифрового підпису. PGP використовує три ключі - відкритий ключ адресата, секретний ключ власника і сеансовий ключ, що генерується за допомогою RSA і відкритого ключа випадковим чином при шифруванні повідомлення (рис. 5.6). Інформацію про цей продукт можна одержати за адресою <www.mit.edu/network/pgp-form.html>.

Рис. 5.6. Схема формування захищеного повідомлення за допомогою пакету PGP

 

Криптографічні перетворення забезпечують рішення наступних базових задач захисту - конфіденційності (неможливості прочитати дані і витягнути корисну інформацію) і цілісності (неможливості модифікувати дані для зміни сенсу або внесення помилкової інформації).

Технології криптографії дозволяють реалізувати наступні процеси інформаційного захисту:

ідентифікація (ототожнення) об'єкту або суб'єкта мережі або інформаційної системи;

аутентифікація (перевірка достовірності) об'єкту або суб'єкта мережі;

контроль/розмежування доступу до ресурсів локальної мережі або внемережевих сервісів;

забезпечення і контроль цілісності даних.

Ці засоби забезпечують достатньо високий рівень захищеності інформації, проте в Росії існує специфіка їх використання, пов'язана з діями державних органів і яка не дозволяє широко застосовувати їх в комерційному секторі.