СОДЕРЖАНИЕ
Введение…………………………………………………………………………….3
1. Основные
положения теории защиты информации……………………………5
1.2. Наиболее распространенные
угрозы.. 10
1.3. Обнаружение атак и обеспечение безопасности……………………………12
2. Основные
методы и средства защиты информации в сетях. 39
2.1.
Физическая защита информации. 39
2.2.
Аппаратные средства защиты информации в КС.. 41
2.3.
Программные средства защиты информации в КС.. 43
3. Методы и
средства защиты информации в телекоммуникационных сетях предприятия «Вестел». 62
3.1.
Характеристика предприятия и корпоративной сети. 62
3.2.
Организационно-правовое обеспечение защиты информации. 64
3.3. Защита
информации в корпоративной сети «Вестел» на уровне операционной системы 66
3.4. Защита
информации от несанкционированного доступа. 69
3.5.
Антивирусная защита. 74
Заключение. 80
Глоссарий. 82
Список
использованных источников. 87
Список
сокращений. 91
Приложение А.. 92
Приложение Б. 93
Приложение В. 94
Приложение Г. 96
Введение
Проблема
защиты информации является далеко не новой. Решать её люди пытались с древних
времен.
На
заре цивилизации ценные сведения сохранялись в материальной форме: вырезались
на каменных табличках, позже записывались на бумагу. Для их защиты использовались
такие же материальные объекты: стены, рвы.
Информация
часто передавалась с посыльным и в сопровождении охраны. И эти меры себя
оправдывали, поскольку единственным способом получения чужой информации было ее
похищение. К сожалению, физическая защита имела крупный недостаток. При захвате
сообщения враги узнавали все, что было написано в нем. Еще Юлий Цезарь принял
решение защищать ценные сведения в процессе передачи. Он изобрел шифр Цезаря.
Этот шифр позволял посылать сообщения, которые никто не мог прочитать в случае
перехвата.
Данная
концепция получила свое развитие во время Второй мировой войны. Германия
использовала машину под названием Enigma для шифрования сообщений, посылаемых
воинским частям.
Конечно,
способы защиты информации постоянно меняются, как меняется наше общество и
технологии. Появление и широкое распространение компьютеров привело к тому, что
большинство людей и организаций стали хранить информацию в электронном виде.
Возникла потребность в защите такой информации.
В
начале 70-х гг. XX века Дэвид Белл и Леонард Ла Падула разработали модель безопасности
для операций, производимых на компьютере. Эта модель базировалась на правительственной
концепции уровней классификации информации (несекретная, конфиденциальная,
секретная, совершенно секретная) и уровней допуска. Если человек (субъект) имел
уровень допуска выше, чем уровень файла (объекта) по классификации, то он
получал доступ к файлу, в противном случае доступ отклонялся. Эта концепция
нашла свою реализацию в стандарте 5200.28 "Trusted Computing System
Evaluation Criteria" (TCSEC) ("Критерий оценки безопасности
компьютерных систем"), разработанном в 1983 г. Министерством обороны США.
Из-за цвета обложки он получил название "Оранжевая книга".
"Оранжевая
книга" определяла для каждого раздела функциональные требования и
требования гарантированности. Система должна была удовлетворять этим
требованиям, чтобы соответствовать определенному уровню сертификации.
Выполнение
требований гарантированности для большинства сертификатов безопасности отнимало
много времени и стоило больших денег. В результате очень мало систем было
сертифицировано выше, чем уровень С2 (на самом деле только одна система за все
время была сертифицирована по уровню А1 - Honeywell SCOMP)
[41].
При
составлении других критериев были сделаны попытки разделить функциональные
требования и требования гарантированности. Эти разработки вошли в "Зеленую
книгу" Германии в 1989 г., в "Критерии Канады" в 1990 г.,
"Критерии оценки безопасности информационных технологий" (ITSEC) в
1991 г. и в "Федеральные критерии" (известные как Common Criteria -
"Общие критерии") в 1992 г. Каждый стандарт предлагал свой способ
сертификации безопасности компьютерных систем.
Одна
из проблем, связанных с критериями оценки безопасности систем, заключалась в
недостаточном понимании механизмов работы в сети. При объединении компьютеров к
старым проблемам безопасности добавляются новые. В "Оранжевой книге"
не рассматривались проблемы, возникающие при объединении компьютеров в общую
сеть, поэтому в 1987 г. появилась TNI (Trusted Network Interpretation), или
"Красная книга". В "Красной книге" сохранены все требования
к безопасности из "Оранжевой книги", сделана попытка адресации
сетевого пространства и создания концепции безопасности сети. К сожалению, и
"Красная книга" связывала функциональность с гарантированностью. Лишь
некоторые системы прошли оценку по TNI, и ни одна из них не имела коммерческого
успеха.
В
наши дни проблемы стали еще серьезнее. Организации стали использовать беспроводные
сети, появления которых "Красная книга" не могла предвидеть. Для
беспроводных сетей сертификат "Красной книги" считается устаревшим.
Технологии
компьютерных систем и сетей развиваются слишком быстро. Соответственно, также
быстро появляются новые способы защиты информации. Поэтому тема моей
квалификационной работы «Методы и средства защиты информации в сетях» является
весьма актуальной.
Объектом
исследования является информация, передаваемая по телекоммуникационным сетям.
Предметом
исследования является информационная безопасность сетей.
Основной
целью квалификационной работы является изучение и анализ методов и средств
защиты информации в сетях.
Для
достижения указанной цели необходимо решить ряд задач:
Рассмотреть
угрозы безопасности и их классификацию;
Охарактеризовать
методы и средства защиты информации в сети, их классификацию и особенности
применения;
Раскрыть
возможности физических, аппаратных и программных средств защиты информации в
КС, выявить их достоинства и недостатки;
Рассмотреть
методы, способы и средства защиты информации в корпоративной сети (на примере
предприятия Вестел).
1. Основные
положения теории защиты информации
1.1. Понятие информационной безопасности компьютерных
систем
Информационная безопасность является одной из проблем, с которой
столкнулось современное общество в процессе массового использования автоматизированных
средств ее обработки.
Проблема
информационной безопасности обусловлена возрастающей ролью информации в
общественной жизни. Современное общество все более приобретает черты информационного
общества.
С понятием
«информационная безопасность» в различных контекстах связаны различные
определения. Так, в Законе РФ «Об участии в международном информационном
обмене» информационная безопасность определяется как состояние защищенности информационной
среды общества, обеспечивающее ее формирование, использование и развитие в
интересах граждан, организаций, государства. Подобное же определение дается и в
Доктрине информационной безопасности Российской Федерации, где указывается, что
информационная безопасность характеризует состояние защищенности национальных интересов
в информационной сфере, определяемых совокупностью сбалансированных интересов
личности, общества и государства.
Оба эти определения рассматривают информационная безопасность в национальных
масштабах и поэтому имеют очень широкое понятие.
Наряду с этим характерно, что применительно к различным сферам деятельности
так или иначе связанным с информацией понятие «информационная безопасность»
принимает более конкретные очертания. Так, например, в «Концепции
информационной безопасности сетей связи общего пользования Российской
Федерации» даны два определения этого понятия.
Информационная безопасность – это свойство сетей связи общего пользования
противостоять возможности реализации нарушителем угрозы информационной
безопасности.
Информационная безопасность – свойство сетей связи общего пользования
сохранять неизменными характеристики информационной безопасности в условиях
возможных воздействий нарушителя [42].
Необходимо иметь в виду, что при рассмотрении проблемы информационной
безопасности нарушитель необязательно является злоумышленником. Нарушителем
информационной безопасности может быть сотрудник, нарушивший режим
информационной безопасности или внешняя среда, например, высокая температура,
может привести к сбоям в работе технических средств хранения информации и т. д.
Необходимо отметить, что термины «безопасность информации» и «защита
информации» отнюдь не являются синонимами. Термин «безопасность» включает в
себя не только понятие защиты, но также и аутентификацию, аудит, обнаружение
проникновения.
Перечислим некоторые характерные проблемы, связанные с безопасностью,
которые возникают при использовании компьютерных сетей:
1. Фирма имеет несколько офисов, расположенных на достаточно большом
расстоянии друг от друга. При пересылке конфиденциальной информации по общедоступной
сети (например, Internet) необходимо быть уверенным, что никто не сможет ни
подсмотреть, ни изменить эту информацию.
2. Сетевой администратор осуществляет удаленное управление компьютером.
Пользователь перехватывает управляющее сообщение, изменяет его содержание и
отправляет сообщение на данный компьютер.
3. Пользователь несанкционированно получает доступ к удаленному компьютеру
с правами законного пользователя, либо, имея право доступа к компьютеру,
получает доступ с гораздо большими правами.
4. Фирма открывает Internet-магазин, который: принимает оплату в электронном
виде. В этом случае продавец должен быть уверен, что он отпускает товар,
который действительно оплачен, а покупатель должен иметь гарантии, что он,
во-первых, получит оплаченный товар, а во-вторых, номер его кредитной карточки
не станет никому известен.
5. Фирма открывает свой сайт в Internet. В какой-то момент содержимое
сайта заменяется новым, либо возникает такой поток и такой способ обращений к
сайту, что сервер не справляется с обработкой запросов. В результате обычные
посетители сайта либо видят информацию, не имеющую к фирме никакого отношения,
либо просто не могут попасть на сайт фирмы.
Рассмотрим основные понятия, относящиеся к информационной безопасности,
и их взаимосвязь.
Собственник определяет множество информационных ценностей, которые
должны быть защищены от различного рода атак. Атаки осуществляются противниками
или оппонентами, использующими различные - уязвимости в защищаемых ценностях.
Основными нарушениями безопасности являются раскрытие информационных ценностей
(потеря конфиденциальности), их неавторизованная модификация (потеря
целостности) или неавторизованная потеря доступа к этим ценностям (потеря
доступности).
Собственники информационных ценностей анализируют уязвимости защищаемых
ресурсов и возможные атаки, которые могут иметь место в конкретном окружении. В
результате такого анализа определяются риски для данного набора информационных
ценностей. Этот анализ определяет выбор контрмер, который задается политикой
безопасности и обеспечивается с помощью механизмов и сервисов безопасности.
Следует учитывать, что отдельные - уязвимости могут сохраниться и после
применения механизмов и сервисов безопасности. Политика безопасности определяет
согласованную совокупность механизмов и сервисов безопасности, адекватную
защищаемым ценностям и окружению, в котором они используются.
На рисунке 1.1 показана взаимосвязь рассмотренных выше понятий информационной
безопасности [43].
Информационная безопасность – многогранная, можно даже сказать, многомерная
область деятельности, в которой успех может принести только систематический, комплексный
подход.
Спектр интересов субъектов, связанных с использованием информационных
систем, можно разделить на следующие категории: обеспечение доступности,
целостности и конфиденциальности информационных ресурсов и поддерживающей
инфраструктуры.
Рис. 1.1. Взаимосвязь основных понятий
безопасности информационных систем
Поясним понятия доступности, целостности и конфиденциальности.
Доступность – это возможность за приемлемое время получить требуемую
информационную услугу. Под целостностью подразумевается актуальность и непротиворечивость
информации, ее защищенность от разрушения и несанкционированного изменения.
Наконец, конфиденциальность – это защита от несанкционированного доступа
к информации.
Информационные системы создаются (приобретаются) для получения определенных
информационных услуг. Если по тем или иным причинам предоставить эти услуги
пользователям становится невозможно, это, очевидно, наносит ущерб всем
субъектам информационных отношений. Поэтому, не противопоставляя доступность
остальным аспектам, мы выделяем ее как важнейший элемент информационной
безопасности.
Особенно ярко ведущая роль доступности проявляется в разного рода системах
управления – производством, транспортом и т.п. Внешне менее драматичные, но
также весьма неприятные последствия – и материальные, и моральные – может иметь
длительная недоступность информационных услуг, которыми пользуется большое
количество людей (продажа железнодорожных и авиабилетов, банковские услуги и
т.п.).
Целостность можно подразделить на статическую (понимаемую как неизменность
информационных объектов) и динамическую (относящуюся к корректному выполнению
сложных действий (транзакций)). Средства контроля динамической целостности
применяются, в частности, при анализе потока финансовых сообщений с целью
выявления кражи, переупорядочения или дублирования отдельных сообщений.
Целостность оказывается важнейшим аспектом информационной безопасности в
тех случаях, когда информация служит «руководством к действию». Рецептура
лекарств, предписанные медицинские процедуры, набор и характеристики
комплектующих изделий, ход технологического процесса – все это примеры
информации, нарушение целостности которой может оказаться в буквальном смысле
смертельным. Неприятно и искажение официальной информации, будь то текст закона
или страница Web-сервера какой-либо правительственной организации.
Конфиденциальность – самый проработанный у нас в стране аспект информационной
безопасности. К сожалению, практическая реализация мер по обеспечению
конфиденциальности современных информационных систем наталкивается в России на
серьезные трудности. Во-первых, сведения о технических каналах утечки информации
являются закрытыми, так что большинство пользователей лишено, возможности
составить представление о потенциальных рисках. Во-вторых, на пути
пользовательской криптографии как основного средства обеспечения
конфиденциальности стоят многочисленные законодательные препоны и технические
проблемы.
Если вернуться к анализу интересов различных категорий субъектов информационных
отношений, то почти для всех, кто реально использует информационные системы, на
первом месте стоит доступность. Практически не уступает ей по важности,
целостность – какой смысл в информационной услуге, если она содержит искаженные
сведения?
Наконец, конфиденциальные моменты есть также у многих организаций
(например: сведения о зарплате сотрудников) и отдельных пользователей (например,
пароли).
Информационная безопасность является одним из важнейших аспектов интегральной
безопасности на каком бы уровне мы ни рассматривали последнюю – национальном, отраслевом,
корпоративном или персональном.
К сожалению,
современная технология программирования не позволяет создавать безошибочные
программы, что не способствует быстрому развитию средств обеспечения
информационной. Следует исходить из того, что необходимо конструировать
надежные системы (информационной безопасности) с привлечением ненадежных
компонентов (программ). В принципе, это возможно, но требует соблюдения
определенных архитектурных принципов и контроля состояния защищенности на всем
протяжении жизненного цикла информационной системы.
1.2. Наиболее распространенные угрозы
Самыми
частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные
ошибки штатных пользователей, операторов, системных администраторов и других
лиц, обслуживающих компьютерную сеть [18].
Иногда
такие ошибки и являются собственно угрозами (неправильно введенные данные или
ошибка в программе, вызвавшая крах системы), иногда они создают уязвимые места,
которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования).
По некоторым данным, до 65% потерь - следствие непреднамеренных ошибок.
Пожары
и наводнения не приносят столько бед, сколько безграмотность и небрежность в
работе.
Очевидно,
самый радикальный способ борьбы с непреднамеренными ошибками - максимальная
автоматизация и строгий контроль.
Другие
угрозы доступности можно классифицировать по компонентам КС, на которые
нацелены угрозы:
отказ
пользователей;
внутренний
отказ сети;
отказ
поддерживающей инфраструктуры.
Обычно
применительно к пользователям рассматриваются следующие угрозы:
нежелание
работать с информационной системой (чаще всего проявляется при необходимости
осваивать новые возможности и при расхождении между запросами пользователей и
фактическими возможностями и техническими характеристиками);
невозможность
работать с системой в силу отсутствия соответствующей подготовки (недостаток
общей компьютерной грамотности, неумение интерпретировать диагностические
сообщения, неумение работать с документацией и т.п.);
невозможность
работать с системой в силу отсутствия технической поддержки (неполнота
документации, недостаток справочной информации и т.п.).
Основными
источниками внутренних отказов являются:
отступление
(случайное или умышленное) от установленных правил эксплуатации;
выход
системы из штатного режима эксплуатации в силу случайных или преднамеренных
действий пользователей или обслуживающего персонала (превышение расчетного
числа запросов, чрезмерный объем обрабатываемой информации и т.п.);
ошибки
при (пере)конфигурировании системы;
отказы
программного и аппаратного обеспечения;
разрушение
данных;
разрушение
или повреждение аппаратуры.
По
отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие
угрозы[1]:
нарушение
работы (случайное или умышленное) систем связи, электропитания, водо- и/или
теплоснабжения, кондиционирования;
разрушение
или повреждение помещений;
невозможность
или нежелание обслуживающего персонала и/или пользователей выполнять свои
обязанности (гражданские беспорядки, аварии на транспорте, террористический акт
или его угроза, забастовка и т.п.).
Весьма
опасны так называемые "обиженные" сотрудники - нынешние и бывшие. Как
правило, они стремятся нанести вред организации - "обидчику", например:
испортить
оборудование;
встроить
логическую бомбу, которая со временем разрушит программы и/или данные;
удалить
данные.
Обиженные
сотрудники, даже бывшие, знакомы с порядками в организации и способны нанести
немалый ущерб. Необходимо следить за тем, чтобы при увольнении сотрудника его
права доступа (логического и физического) к информационным ресурсам аннулировались.
1.3. Обнаружение атак и обеспечение
безопасности
Обнаружение атак - это механизм, который применяется не
только в области информационной безопасности. Этот механизм находит свое
применение и в датчиках движения (охранная сигнализация), и в системах
обнаружения телефонного или финансового мошенничества, и в артиллерийских системах
самонаведения и т. д. В данной работе будет представлен только информационный
аспект этой технологии, т. е. обнаружение атак на узлы корпоративной сети.
Главная задача средств, реализующих технологии
обнаружения атак (как и других систем защиты), заключается в том, чтобы
автоматизировать рутинные и утомительные функции управления защитой системы и
сделать их понятными для тех, кто не является экспертом в области защиты
информации. Собственно, необязательно использовать автоматизированные инструментальные
средства. Практически все атаки можно обнаружить путем "ручного"
анализа журналов регистрации. Или же применить встроенные в ОС средства. Это
позволит существенно снизить прямые финансовые затраты на развертывание
инфраструктуры обнаружения атак. Однако время на осуществление этого процесса
возрастет многократно. Кроме того, "ручной" или автоматизированный
неспециализированный анализ не позволяет своевременно обнаружить и
предотвратить многие атаки. Именно поэтому и применяются специальные
автоматизированные средства, настроенные только на обнаружение нарушений
политики безопасности.
Чтобы технология обнаружения атак была эффективной, вы
должны знать ответы на три основополагающих вопроса:
·
Что
обнаруживать? Вы
должны знать признаки, описывающие нарушения политики безопасности, т. е.
признаки атак.
·
Где
обнаруживать? Вы
должны знать источники информации, в которых ищутся соответствующие признаки
нарушений политики безопасности.
·
Как
обнаруживать? Вы
должны знать методы выявления признаков атак в соответствующих источниках.
Признаки атак
Для того чтобы обнаружить в контролируемом пространстве
(сетевом трафике или журнале регистрации) нарушения политики безопасности,
необходимо уметь их идентифицировать и отличать от обычных событий безопасности.
В качестве таких признаков атак могут выступать [Edwardl-99]:
·
повтор
определенных событий;
·
неправильные
или несоответствующие текущей ситуации команды;
·
использование
уязвимостей;
·
несоответствующие
параметры сетевого трафика;
·
непредвиденные
атрибуты;
·
необъяснимые
проблемы;
·
дополнительные
знания о нарушениях.
Любые средства защиты (межсетевые экраны, серверы
аутентификации, системы разграничения доступа и т. п.) используют в своей
работе одно или два из указанных условий, в то время как системы обнаружения
атак (в зависимости от их реализации) задействуют практически все указанные
признаки.
Эта глава не только поможет вам разобраться, на каком
основании системы обнаружения атак принимают решения, но и призвана помочь
разработчикам создать свои собственные системы обнаружения несанкционированных
действий. Особенно это касается разработчиков прикладных систем, например,
финансовых приложений или автоматизированных систем операторов связи. Кроме
того, описание признаков осуществления несанкционированной деятельности будет
полезным в случае отсутствия автоматизированных средств обнаружения атак и их обнаружении
"ручными" методами.
Повтор определенных событий
Один из лучших способов обнаружения атак - распознавание
повторного осуществления каких-либо действий. Этот механизм основан на
предпосылке, согласно которой следует, что если нарушитель не знает точно, как
получить несанкционированный доступ к ресурсу с первой попытки, то он
попытается это сделать во второй раз, третий и т. д. Примерами таких действий
могут служить сканирование портов в поиске доступных сетевых сервисов или
подбор пароля. Алгоритмы обнаружения несанкционированной деятельности должны
распознавать такие повторные попытки и решать, по завершении скольких дополнительных
попыток можно сделать вывод о наличии атаки. Необходимо сразу заметить, что
если нарушитель заранее знал пути доступа к ресурсу (или смог перехватить или подобрать
идентификатор и пароль авторизованного пользователя) и не совершил никаких
ошибок, то обнаружить такой несанкционированный доступ практически невозможно.
Если злоумышленник смог создать стенд, полностью дублирующий атакуемую систему,
и "тренироваться" на ней, пытаясь повторить почерк авторизованных
пользователей, то обнаружить такие действия также зачастую невозможно.
Справедливости ради надо сказать, что создание идентичного стенда - очень
дорогостоящая задача, которая не под силу злоумышленникам-одиночкам и даже
многим хакерским сообществам.
Обнаружение повторных событий - очень мощный подход,
потому что позволяет обнаруживать даже те атаки, о которых нет никакой
дополнительной информации (иными словами, он позволяет обнаруживать неизвестные
атаки определенного типа).
В качестве критерия может выступать одно из двух (или
сразу оба) событий:
·
число
повторов превышает некоторое пороговое значение (например, превышение числа
входов в систему);
·
события
повторяются в течение заданного временного интервала (например, попытка
соединения с портами узла).
Контроль пороговых значений
В этом случае контролируется некоторый порог, позволяющий
отличить санкционированные повторы от несанкционированных. Несанкционированные
повторы могут соответствовать как обычным ошибкам, так и реальным атакам. В
любом случае все превышения порогового уровня будут обнаружены. Практический
опыт, получаемый в процессе работы, позволяет задавать для различных
компонентов информационной системы более точные пороговые значения, отличающиеся
от заданных по умолчанию. Типичным примером задания пороговых значений
является указание числа попыток ввода пароля в Windows 2000.
Необходимо отметить, что неправильный выбор порогового
значения может привести либо к проблеме false negative, либо к проблеме false positive. Иными словами, в случае
задания слишком малого значения порога контроль сведется к очень частым
срабатываниям системы обнаружения атак, т. е. к ложному обнаружению. В случае
задания слишком большой величины некоторые атаки могут остаться
необнаруженными.
Контроль
временных интервалов
Типичный пример, описывающий этот метод, - обнаружение
сканирования портов, т. е. заданного числа обращений к портам узла за
определенный промежуток времени.Сканирование портов осуществляется при помощи
различных программ, отличающихся реализацией данного механизма. Самые простые
программы (например, Haktek) выполняют простой перебор портов, начиная с первого и заканчивая
заданным пользователем.
Обратите внимание, что неправильный выбор значений
временного интервала, за который мы контролируем превышение порогового
значения, также может привести к упомянутым в предыдущем разделе проблемам (false negative и false positive).
Распознать подобную деятельность весьма легко. Однако
такого рода сканирующие порты программы используются достаточно редко и только
теми "пользователями", которые не имеют представления о наличии более
изощренных утилит, обладающих некоторым "интеллектом". К таким
утилитам относится Nmap
(http://www.nmap.org), функционирующая под управлением
большинства клонов UNIX и даже Windows. Данная утилита реализует
большое число различных типов сканирования (в версии 3.00 этих типов больше
10), в том числе и сканирование портов.
Представленные три фрагмента "лога" TCPdump очень интересны, т. к. номер
сканируемого порта увеличивается не на единицу, как это происходит обычно, а
совершенно случайным образом. При этом для усложнения выявления такого
сканирования номер порта не только увеличивается, но и уменьшается. Дополнительным
механизмом скрытия факта сканирования от систем обнаружения атак является
повторение некоторых портов, к которым уже производилось обращение (например,
427 и 447).
Помимо классических вариантов сканирования, легко
обнаруживаемых межсетевым экраном. Существуют и более изощренные способы поиска
"болевых точек", которые не обнаруживаются традиционными средствами
сетевой безопасности. Это - так называемое скрытое (stealth) сканирование, использующее особенности
обработки сетевых пакетов, не соответствующих стандартам TCP/IP, и
рассматриваемое далее.
Еще одним вариантом сканирования, осложняющим его
обнаружение, является увеличение интервала времени, в течение которого
происходит сканирование. Обычно сканеры узлов шлют запросы со скоростью 5-10
портов в секунду. Однако, если заданные по умолчанию временные значения меняются
(например, с помощью режима -sI в сканере Nmap 3.00 или
-т в сканере Nmap
2.xx), то многие системы обнаружения
атак уже не реагируют на такого рода действия, считая их нормальными.
Кстати, контроль временных интервалов может
использоваться и для обнаружения атак "отказ в обслуживании".
Например, атака Smurf
характеризуется использованием широковещательных пакетов, передаваемых в
течение длительного времени. Известны случаи, когда такие пакеты посылались в
течение нескольких дней, приводя атакуемую сеть к неспособности обрабатывать
санкционированный трафик. Ниже показан фрагмент журнала регистрации
маршрутизатора Cisco, в
котором зафиксированы примеры атак Smurf и Fraggle (аналог Smurf, но для протокола UDP). В реальной практике число
таких записей намного превышает сотню.
Неправильные команды
Другим способом идентификации несанкционированной
деятельности является обнаружение неправильных или некорректных запросов или
ответов. Если речь идет об автоматизированных процессах или программах, то несоответствие
заранее ожидаемым реакциям позволяет сделать вывод о подмене одного из участников
информационного обмена - или запрашивающего информацию, или того, кто
вырабатывает ответы на запросы. Проиллюстрировать обнаружение всех неправильных
команд в одной книге невозможно, и поэтому остановимся только на некоторых из
них. Например, уязвимые CGI-скрипты Web-сервера,
которые являются одними из самых распространенных "дыр" во
всем сетевом мире. В нижеприведенном случае запрос двух несуществующих на
сервере CGI-сценариев Glimpse cgi-bin и test-cgi) может быть обнаружен путем
анализа записей журнала регистрации сервера или при помощи сетевой системы
обнаружения атак.
Использование уязвимостей
Согласно приведенным ранее определению и классификации
уязвимостей, а также определению атаки, любой из описываемых признаков атаки
является признаком уязвимости. Например, непредвиденные атрибуты в различных
запросах и пакетах могут быть отнесены к классу уязвимостей проектирования или
реализации. Однако процесс использования автоматизированных средств поиска
широко распространенных уязвимостей (так называемых сканеров безопасности) или
реализации атак принято выделять в отдельную категорию признаков атаки. Существует
целый ряд таких средств, начиная от свободно распространяемых утилит типа
X-Spider или ShadowSecurityScanner и заканчивая коммерческими продуктами,
такими как Internet Scanner или Retina. Несмотря на то, что средства поиска уязвимостей
должны использоваться в благих целях, часто встречаются случаи враждебного
применения этих средств. Особенно тогда, когда средства поиска уязвимостей не
защищены сами от такого несанкционированного использования или распространяются
свободно.
Существует два аспекта обнаружения таких средств:
·
обнаружение
использования средств сканирования. Например, при помощи системы Courtney,
разработанной в Центре реагирования на инциденты CIAC при Министерстве
энергетики США, можно обнаружить факт использования сканера SATAN;
·
обнаружение
факта реализации атак. Например, при помощи системы RealSecure Network Sensor,
разработанной компанией ISS, можно зарегистрировать факт имитации действий,
внешних по отношению к сканируемому узлу, совершаемых нарушителями при помощи
различных систем анализа защищенности, например, CyberCop Scanner или Queso.
Однако сам факт применения средств анализа защищенности
еще не говорит о том, что происходит атака. Ведь эти средства могут
использоваться для плановых проверок компонентов информационной системы.
Поэтому необходимо проводить дополнительный разбор всех зарегистрированных
фактов применения сканеров безопасности. Например, если в течение короткого
периода времени после обнаружения сканирования одной из систем фиксируется
факт использования уязвимостей на данной системе, то это может свидетельствовать
об атаке. Такой анализ и корреляцию можно проводить как вручную, так и при
помощи специализированных средств поддержки и принятия решений, например,
RealSecure SiteProtector компании ISS или netForensics одноименной компании.
Несоответствующие параметры сетевого трафика
В качестве признака атаки могут выступать и другие
параметры. Например, некоторые характеристики сетевого трафика:
·
адреса из
внешней сети, обращающиеся к адресам также во внешней сети, обнаруживаемые
внутри;
·
неожидаемый
сетевой трафик (например, в обход МСЭ или превышение объема передаваемого
трафика);
·
непредвиденные
параметры сетевого трафика (нестандартные комбинации флагов и т. д.);
·
обнаружение
попыток идентификации узлов сети и сервисов, запущенных на них (сканирование);
·
повторные
полуоткрытые соединения, которые могут характеризовать DoS-атаки или подмену пакетов;
·
удачные
попытки соединений с редко используемыми или необычными сервисами на узлах
сети;
·
последовательные
соединения с узлами сети или сервисами одного узла; соединения из
непредвиденного местонахождения или в него; повторные неудачные попытки
соединения.
Параметры входящего трафика
Наиболее ярким примером такого признака атаки, который
широко контролируется многими межсетевыми экранами и другими защитными системами,
являются входящие извне в локальную сеть пакеты, имеющие адрес источника, соответствующий
диапазону адресов внутренней сети (рис. 1.2).
Рисунок 1.2. Подмена внешнего адреса
В том случае, если система обнаружения атак или иное
средство разграничения доступа (межсетевой экран или маршрутизатор) не может
контролировать направление трафика, то возможна реализация так называемой
атаки типа "подмена адреса" ("address spoofing"). Эта атака позволяет нарушителю
выполнять различные несанкционированные действия так, как будто бы они исходят
с одного из узлов внутренней сети, к которым обычно предъявляются менее
серьезные требования по защите.
Параметры исходящего трафика
Примером такого признака являются исходящие из локальной
сети пакеты, имеющие адрес источника, соответствующий диапазону адресов внешней
сети (рис. 1.3). В этом случае внутренний нарушитель может пытаться
замаскировать свои действия таким образом, словно они реализуются из внешней
сети, чтобы в случае расследования отвести подозрение от пользователей
внутренней сети и направить расследование по ложному следу.
Рисунок 1.3. Подмена внутреннего адреса
Непредвиденные адреса пакетов
В данном случае признаком атаки могут служить пакеты с
непредвиденным адресом источника (или портом получателя для протоколов на базе TCP/UDP). Первым примером можно назвать обнаружение
пакета, поступившего из внешней сети с недоступным (как это было в случае с
атакой Кевина Митника на компьютер Тсутому Шимомуры) или невозможным для
внешней сети IP-адресом. Например,
существуют адреса, которые не маршрутизируются в Internet. К этим адресам относятся:
10.*.*.*, 172.16.0.0- 172.31.255.255 и 192.168.*.*. Их описание содержится в
RFC 1918 "Address Allocation for Private Internets". Помимо указанных категорий
адресов, существует еще ряд диапазонов, для которых пакеты не могут появляться
в вашей сети извне. Эти адреса зарезервированы IANA. К таким диапазонам относятся:
0.0.0.0/8, 1.0.0.0/8, 2.0.0.0/8, 5.0.0.0/8, 7.0.0.0/8, 23.0.0.0/8, 27.0.0.0/8,
31.0.0.0/8, 36.0.0.0/8, 37.0.0.0/8, 39.0.0.0/8, 41-42.0.0.0/8, 58-60.0.0.0/8,
67-127.0.0.0/8, 219-223.0.0.0/8, 240-255.0.0.0/8.
Другим примером является атака Land, в которой адрес и
порт источника совпадают с адресом и портом получателя. Обработка такого пакета
приводит к зацикливанию.
Следующий пример касается запросов на соединение по
протоколу Telnet от неизвестного узла или от
узла, с которым отсутствуют доверенные отношения. Еще один классический пример
- это обнаружения несоответствия MAC- и IP-адресов сетевых пакетов.
Последним примером атаки, которая использует данный признак, можно назвать
"троянца" Setiri,
который был продемонстрирован на Def Con 10. Данный "троянец", использующий уязвимости Internet Explorer, не обнаруживается и,
соответственно, не блокируется межсетевыми экранами. Все дело в том, что он не
сам инициирует подключение к Internet, как обычные "троянцы", он запускает невидимые окна Internet Explorer, на которые МСЭ не реагирует, и
которые осуществляютвсе несанкционированные действия - подключение к анонимному
proxy-серверу, загрузка файлов из
непредвиденных узлов и т. д.
Непредвиденные параметры сетевых пакетов
Можно назвать множество примеров атак с непредвиденными
параметрами сетевых пакетов. И число таких атак все время растет, т. к.
злоумышленники постоянно находят уязвимости в реализации стека протокола
TCP/IP в различных ОС. Например, если обнаружен сетевой пакет с установленными
битами syn и аск (второй
этап установления виртуального TCP-соединения), и при этом не было никакого предшествующего пакета с битом
syn (первый этап установления виртуального TCP-соединения), то это может
скрывать под собой несанкционированное вторжение. Указанный метод получил
применение в так называемом Stealth-сканировании, которое широко распространено среди злоумышленников.
Появление SYN/Аск-пакета без предшествующего SYN-пакета может также говорить о наличии
асимметричных маршрутов в сети. Поэтому, если ваша сеть поддерживает такие
потоки, то необходимо проводить дополнительное расследование. Помимо битов syn/ack, в заголовке TCP-пакета использовались также биты
fin- FIN-сканирование, reset- RESET-сканирование, а также комбинации
битов - Xmas-сканирование и их полное
отсутствие - Null-сканирование.
Последний вариант более наглядно может быть
продемонстрирован на примере журнала регистрации системы обнаружения Snort. Для сравнения можно привести
уже продемонстрированный вариант FIN-сканирования.
Любой пакет, который не соответствует стандартам RFC,
может привести к выходу из строя коммуникационного оборудования, которое этот
пакет обрабатывает. Причем к такому оборудованию относятся не только маршрутизаторы
или коммутаторы, но и межсетевые экраны и системы обнаружения атак. Во многих
сетевых атаках используются запрещенные комбинации TCP-флагов. Некоторые
комбинации приводят к выходу из строя узла, осуществляющего обработку таких
пакетов, а благодаря иным комбинациям пакеты остаются незамеченными некоторыми
системами обнаружения атак или межсетевыми экранами. В RFC 793 описано, как
должны реагировать различные системы на нормальные TCP-пакеты. Но в этом (и
других) документе не сказано, как система должна реагировать на неправильные
TCP-пакеты, в результате чего различные устройства и ОС по-разному реагируют на
пакеты с запрещенными комбинациями TCP-флагов. Существуют 6 флагов, которые
могут встретиться в TCP-пакете: syn, ack, fin, rst, psh, urg. Запрещенные
комбинации можно обнаружить по хотя бы одному из перечисленных ниже признаков
[Frederickl-00]:
·
syn + fin - поскольку это два
взаимоисключающих флага. Первый устанавливает соединение, а второй завершает
его. Такая комбинация очень часто используется различными сканерами, например, Nmap. Некоторое время назад большое
число систем обнаружения атак не могло обнаружить такого рода сканирования.
Однако сейчас ситуация изменилась к лучшему, многие системы обнаружения атак
отслеживают подобные комбинации флагов. Но добавление еще одного флага к данной
комбинации (например,
·
SYN + FIN + PSH, SYN + FIN + RST, SYN + FIN + RST + PSH) опять приводит к тому, что
некоторые системы обнаружения атак не распознают видоизмененное сканирование.
Некоторые аналитики называют такого рода комбинации "шаблоном рождественского
дерева" ("Christmas Tree Pattern");
·
TCP-пакеты никогда не должны
содержать только один флаг fin. Обычно один установленный флаг fin
свидетельствует о
скрытом (stealth) FIN-сканировании;
·
TCP-пакеты должны иметь хотя бы один
флаг (но не fin);
·
если в TCP-пакете не установлен флаг аск, и этот пакет - не первый при установлении
соединения (three-way handshake), то такой пакет однозначно является
ненормальным, т. к. в любом TCP-пакете должен присутствовать флаг аск;
·
помимо
указанных комбинаций, подозрительными считаются RST + FIN, SYN + RST.
В протоколе TCP существуют зарезервированные биты, которые предназначены для будущего
расширения протокола. Еще пару лет назад данные биты не использовались и
поэтому появление сетевых пакетов, где они задействованы, могло означать
только несанкционированную деятельность, в частности, попытку удаленной
идентификации операционной системы (OS fingerprinting). Обычно операционная система определяется либо путем
анализа заголовка пакетов (пассивный анализ), либо по реакции на посланные
пакеты определенного формата, что мы сейчас и рассмотрим. На момент написания
книги злоумышленники использовали три утилиты, удаленно идентифицирующие ОС - Queso, Hping и уже неоднократно упоминаемую Nmap.
После запуска Queso определяет открытый порт на сканируемом узле и посылает несколько
пакетов, не соответствующих стандартам RFC, отклик на которые позволяет сделать вывод об
используемой операционной системе.
В отправляемых пакетах могут встретиться следующие
комбинации флагов:
·
syn + дек со сброшенным аск;
·
только fin;
·
fin + аск со
сброшенным аск;
·
syn + fin;
·
только push;
syn + ххх + yyy, где ххх и yyy
- зарезервированные
флаги в TCP-заголовке (два старших бита в
13-м байте заголовка TCP-пакета).
Сканер Nmap использует схожую технику для определения типа операционной системы, но
в его пакетах применяются несколько иные комбинации флагов:
·
только syn; без флагов;
·
SYN
+ FIN + URGENT + PUSH;
·
только аск;
·
только syn, посылаемый на закрытый порт;
·
только аск, посылаемый на закрытый порт;
·
fin + urgent + push, посылаемые на закрытый порт.
Однако с появлением RFC 2481 [RFC1-99] и 2884 [RFC1-00] ситуация изменилась не в лучшую
сторону. Согласно указанным стандартам, резервные биты (Explicit Congestion Notification, ECN) могут использоваться для передачи служебной
информации. Как показано в [Milled-00], появление в сети пакета раньше означало только одно - работу
сканеров Queso, Hping или Nmap).
Сейчас чтобы понять, что значит появление в пакете
фрагмента с2 (использованы два резервных бита), придется провести
дополнительное расследование, позволяющее с уверенностью сказать, атака это или
нет.
Такой "интеллект" приводит к тому, что
аналитики могут быть введены в заблуждение системой TCPdump, которая будет считать, что
пакет соответствует стандарту RFC 2481, а на самом деле происходит удаленное определение операционной
системы с помощью Nmap. Налицо
ложное срабатывание (False positive).
К другим признакам "ненормальности" сетевого
пакета можно отнести следующие:
·
порт
источника или получателя (для пакетов TCP и UDP) равен О;
·
при
установленном флаге аск (для
пакетов TCP) номер подтверждения равен 0.
Очень часто признаком атаки может служить размер сетевых
пакетов, отличающийся от стандартного. Например, большинство запросов ICMP Echo Request имеют 8-байтовый заголовок и
56-байтовое поле данных. При появлении в сети пакетов нестандартной длины
можно говорить о присутствии несанкционированной деятельности. Например, атака Loki, позволяет туннелировать
различные команды в запросы ICMP Echo Request и реакции на них в ответы ICMP Echo Reply, что существенно изменяет размер поля данных по сравнению со
стандартным. Другим примером является атака Ping of Death, в процессе которой создается запрос
ICMP Echo Request с размером пакета больше 65 535
байтов. Длина этого сообщения, состоящего из множества фрагментов, составляет
65 740 (380 + 65 360) байтов.
Еще одним классическим признаком, позволяющим в
большинстве случаев распознать атаку, может быть появление в сети
фрагментированных пакетов. Многие средства сетевой безопасности не умеют
правильно собирать фраг-ментированные пакеты, что приводит или к выходу этих
средств из строя, или к пропуску таких пакетов внутрь защищаемой сети. Первый
результат может достигаться при помощи фрагментов с неправильным смещением (в
вышеприведенном примере с атакой Ping of Death, как это легко увидеть, не соблюдается требование, чтобы длина
передаваемого фрагмента была кратна 8 - размер фрагмента составляет 380
байтов), а второй - путем так называемой Tiny Fragment attack. В последнем случае создаются
два TCP-фрагмента. Первый из них настолько
мал, что даже не включает полного TCP-заголовка, и что особенно важно - порта получателя. Второй фрагмент
содержит остаток заголовка. Многие межсетевые экраны позволяют пройти первому
или обоим фрагментам внутрь корпоративной сети.
Обозначение [itcp] указывает на то, что TCPdump не смог захватить весь TCP-заголовок и не сумел интерпретировать назначение пакета.
Аномалии сетевого трафика
Под аномалиями сетевого трафика понимаются любые
отклонения показателей сети от заранее зафиксированных в качестве эталонных. К
таким показателям могут быть отнесены коэффициент загрузки, типичный размер
пакета, среднее число фрагментированных пакетов и т. п. Любое отклонение может
характеризировать как атаки, например, отказ в обслуживании, так и просто проблемы
в сети, вызванные сбоями в сетевом оборудовании.
Подозрительные характеристики сетевого
трафика
В качестве подозрительных характеристик, идентифицирующих
атаки, могут выступать:
·
подозрительный
трафик, от определенного адресата или к определенному адресату. В ряде случаев
подозрение могут вызвать некоторые типы трафика или его содержимого. Например,
обнаружение сообщений электронной почты с ключевыми словами "резюме"
или "поиск работы", доступ к серверам www.playboy.com, www.job.ru, www.jobs.ru или работа по протоколу, который
не ожидается от заданного адреса (скажем, запросы Telnet от сотрудника операционного
отдела банка);
·
подозрительный
трафик независимо от адресата. Определенные типы трафика являются
подозрительными независимо от адресата. Например, появление в сети незафиксированных
ранее протоколов или присутствие во внутренней сети трафика от адресов, которые
не принадлежат этой сети. В одном из московских банков при помощи системы RealSecure Network Sensor был обнаружен факт
несанкционированного использования модемов одним из сотрудников, который
подключался к своему рабочему компьютеру из дома и таким образом выходил в Internet по более скоростному каналу.
Другим примером может служить передача за пределы сети особо важных или
секретных материалов компании, обнаружить которую возможно путем слежения за
возникновением в сетевом трафике соответствующих ключевых слов (например,
"конфиденциально", "совершенно секретно" и т. д.).
Значения по умолчанию
Еще одним распространенным признаком атак являются их
атрибуты, установленные по умолчанию. К таким атрибутам могут быть отнесены
имена файлов или процессов в памяти (например, "троянцев"),
используемые порты и т. д. Рассмотрим данный признак более подробно на примере
"троянских коней".
Так как большинство "троянцев" имеют заранее
известные имена файлов или процессов, то появление их на вашем компьютере можно
расцениватькак несанкционированную деятельность. Например, файл с именем Patch.exe - повод задуматься о присутствии на узле
"троянцев" NetBus, Digital RootBeer, Krenx или Solid Gold. Список имен файлов для известных
"троянских коней" может быть получен по адресу: http://www.simovits.com/ trojans/trojans_files.html. Там же можно узнать и про часто
используемые "троянцами" порты. Список активных процессов также может
быть привлечен для обнаружения "троянских коней". В ОС UNIX этот список может быть получен
при помощи утилиты ps, а в Windows NT или 2000 - путем запуска Task Manager. Разумеется, вы должны быть
уверены, что злоумышленник не установил на ваш компьютер rootkit.
Другой способ обнаружения работы "троянских
коней" - анализ определенных портов (контроль обращений или выявление
открытого порта). По такому принципу можно опознать абсолютное большинство
"троянцев", в которых жестко "зашиты" номера используемых
портов. В том случае, если "троян" использует нестандартные порты, то
обнаружить его можно по ключевым словам в сетевом трафике, например, по
получаемым и отправляемым
командам или паролю взаимодействия серверной и клиентской
частей. Ниже показаны несколько примеров обнаружения широко известного
"троянского коня" SubSeven, который обычно взаимодействует через порт 1243 (или 27374).
"Троянский конь" Satans использует для соединения
"число зверя" 666 (аналогичный номер порта в ходу и у "троянца"
BackConstruction). При этом Satans можно "вычислить" еще
и по наличию запущенной программы WinVMM32.
"Троянский конь" BackOrifice "общается" с
владельцем через порт 31337, а в ОС может "наследить" в системном
реестре в разделе HKLM\Software\ Microsoft\Windows\CurrentVersion\RunServices.
Как уже отмечалось выше, "троянские кони" могут
быть обнаружены не только путем анализа обращений к определенным портам, но и
посредством слежения за появлением в сетевом трафике ключевых слов (особенно,
если порт "по умолчанию" не используется). Например,
"троянец" BackOrifice
может быть обнаружен по сигнатуре пароля се 63 d1 d2 l6 е7 13 cf, т. е. в первых 8-ми байтах поля данных UDP-пакета.
Помимо классических атак, построенных в соответствии с
моделью "один-к-одному" или "один-ко-многим", существуют и
так называемые распределенные атаки, соответствующие моделям
"многие-к-одному" и "многие-ко-многим". По этому принципу
сконструированы некоторые "троянские кони", например, WinTrinOO, TFN2K, Stacheldraht, mstream и т. д., которые также могут
быть выявлены по номерам используемых портов.Для обнаружения
"троянцев" необязательно контролировать сетевой трафик - достаточно
проанализировать открытые порты [Лукацкий1-01]. По такому принципу можно
опознать подавляющее большинство "троянцев", в которых также жестко
"зашиты" номера используемых портов. Найти открытые порты можно либо
локально, либо удаленно. В первом случае, запустив утилиту netstat с параметром -а (или аналогичную),
вы увидите список всех открытых портов.
В данном случае было обнаружено наличие на локальном узле
ws_lukich "троянца" NetBus, который функционирует на портах
12345 или 12346. Список портов, к которым прибегают троянские программы, может
быть также найден по адресу: #"_Toc10269316">Непредвиденные значения запросов
Запросы любой системы, сети или пользователя
характеризуются некоторыми атрибутами, которые описывают так называемый
профиль системы, сети или пользователя. Такие профили используются для
наблюдения и анализа контролируемого субъекта. Наиболее часто встречающиеся
параметры, которые помогают обнаружить потенциальную атаку, рассмотрены далее.
Время и дата
Время и дата - одни из характерных атрибутов, которые
используются при обнаружении нарушений политики безопасности. Предположим, что
зафиксирован вход в систему после 18.30. Если подключение осуществляет администратор
системы, то это может быть санкционированный вход пользователя, работающего в
неурочные часы. Однако, если система обнаружения атак регистрирует вход в
систему после указанного времени сотрудника финансового отдела, то данный факт
может служить причиной для дополнительного разбирательства (или сотрудник не
справляется со своими обязанностями, или он пишет квартальный отчет, или
действительно кто-то пытается реализовать атаку от его имени). Аналогичная
ситуация может возникнуть, когда регистрируется вход в систему или доступ к
важным данным, осуществляемый в выходные дни или праздники. Можно привести и
более специфичный пример. Например, во многих банках все платежи, поступившие
по истечении определенного часа (например, 13.00), откладываются на следующий
день. Если платеж пришел в пятницу после этого граничного момента, то он
переносится на понедельник. В американских банках аналогичная ситуация
наступает в полдень пятницы. Факт перечисления денег после указанных моментов
времени может привести к подаче сигнала системе обнаружения финансовых
мошенничеств, что происходит несанкционированная транзакция. Существует и
другой пример использования времени как индикатора атаки - если временной
промежуток между вводом и подтверждением банковского платежа слишком мал, чтобы
удостовериться в правильности осуществления транзакции, то можно предположить
факт некорректности или несанкционированности платежа [Конеев1-99]. Таким
образом, время является достаточно важным критерием, позволяющим оценивать
правомочность тех или иных действий. В частности, контроль даты и времени позволяет
обнаружить также неурочный запуск процессов и программ, непредвиденные перезагрузки,
запуски и остановы системы и т. д.
Местоположение
Обычно пользователь входит в систему с одного и того же
компьютера или обращается к ресурсам Internet через коммутируемое соединение с одного и того же номера телефона.
Соответственно вхождение в систему с другого компьютера или номера телефона
следует рассматривать как аномальное действие, что влечет за собой определенную
работу по разбору этой нештатной ситуации. В крупной
территориально-распределенной сети, филиалы которой разбросаны по всей стране
(или странам), иногда также контролируется и географическое расположение точки
входа в сеть. Таким образом, изменение типичного места входа в систему может
свидетельствовать об атаке. Более специфичный пример относится к финансовой
сфере. Операции ввода и подтверждения платежного поручения с одного и того же
рабочего места запрещены во многих банках, поскольку разделение этих процедур
необходимо для того, чтобы сотрудники не могли злоупотреблять своим положением.
Системные ресурсы
Характеристики многих системных ресурсов также могут
выступать в качестве индикатора атаки. Например, усиленная загрузка
центрального процессора, которая отличается от среднестатистической величины,
может скрывать под собой различные действия, выходящие за рамки нормальных.
Такое бывает как при неправильной работе операционной системы или какого-либо приложения,
так и, например, при атаке типа "подбор пароля" ("brute force"). Из прочих характеристик
ресурсов, которые часто используются для идентификации атаки, можно назвать
интенсивное обращение к оперативной и дисковой памяти, файлам, телекоммуникационным
портам и т. д. Внезапная нехватка дискового пространства может
свидетельствовать о появлении в системе "бомбы", представляющей собой
упакованный файл небольшого размера, который при разархивировании раскрывается
в файл размером в десятки гигабайт (такие "шалости" были очень распространены
в сети FIDO в начале-середине 1990-х годов).
Пользовательские и системные профили
Использование профилей является более общим подходом, чем
анализ запросов сервисов и услуг или системных ресурсов. Пользовательские и
системные профили сами по себе включают в себя эти запросы. Но также они
дополнены и новыми параметрами, учитывающими специфику конкретного
пользователя, процесса или узла. Например, временем пиковых и минимальных
нагрузок, длительностью типичного сеанса работы, обычным временем входа в
систему и выхода из нее и т. д. Отклонения параметров текущего сеанса работы
субъекта контролируемой системы от заданных в профиле могут свидетельствовать
об аномальном поведении.
Частным случаем проявления данного признака атаки может
быть отклонение от нормы результатов контроля тех сервисов и услуг, которые
чаще всего запрашиваются субъектом (пользователем, процессом и т. п.) в своей
повседневной деятельности. Например, если по долгу службы сотрудникам
необходимо получить доступ в Internet, то следует составить список часто используемых в работе Web-серверов и отслеживать обращения
к серверам, не включенным в этот список, что может расцениваться как нарушение
политики безопасности. Запросы определенных файлов, посылка (и прием)
электронной почты по конкретным адресам, работа с некоторыми сервисами
(например, FTP или Telnet) и иные типы активности также
можно отнести к индикаторам нарушений политики безопасности.
Другие параметры
Существуют и другие признаки, которые позволяют
идентифицировать нарушения политики безопасности. К ним относится и уже
приведенный выше пример с вводом и авторизацией банковского платежа. Однако
допустим, что указанные операции осуществляются на разных рабочих местах, но
одним и тем же сотрудником. Это также позволяет нечистоплотным служащим
производить переводы денег на подставные счета. В реальности такой ситуации
никогда не должно возникать, и функции ввода и подтверждения финансовой
транзакции распределяются не только между различными компьютерами, но и между
разными сотрудниками банка.
Обнаружение действий, приписываемых пользователю, который
уволен (но учетная запись которого по непонятным причинам не удалена из
контролируемой системы) или находится в отпуске, также является признаком
атаки.
Необъяснимые
проблемы
Любая проблема, которая возникает в корпоративной сети,
может (и должна) служить поводом для дополнительных разбирательств. Даже если
в процессе расследования выяснится, что проблема не относится к области защиты,
то сам факт ее обнаружения положительно влияет на функционирование и работоспособность
информационной системы. К числу таких необъяснимых проблем можно отнести
нижеперечисленные примеры.
·
Проблемы с
программным и аппаратным обеспечением. Выход из строя маршрутизатора,
перезагрузка сервера или невозможность запуска системного сервиса или процесса
может говорить о попытке атаки типа "отказ в обслуживании".
·
Необъяснимое
поведение пользователя. Неожиданное обращение к не запрашиваемому ранее
ресурсу может скрывать под собой тот факт, что злоумышленник перехватил или
подобрал пароль авторизованного пользователя и пытается в рамках его полномочий
получить доступ к важным данным.
Заголовки
Данный признак используется только в системах анализа
защищенности, о которых будет рассказываться дальше. Многие сетевые сервисы на
каждый запрос к ним создают определенный ответ, который называется заголовком
или "шапкой" (banner). Такой анализ очень часто позволяет идентифицировать версию сканируемого
сервиса, тип операционной системы и т. д., что дает возможность исследовать
потенциальные уязвимости в данном компоненте ИС. Например, попытка подключения
по протоколу Telnet к
порту 143 (сервис ШАР) выведет стандартное сообщение, в котором содержится информация
о версии и разработчике сервиса IMAP.
Эта, на первый взгляд "неважнецкая", информация
позволяет администратору безопасности, осуществляющему анализ защищенности,
найти на "хакерских" серверах все упоминания о наличии уязвимостей в
данной версии ШАР.
Аналогичным образом можно осуществить и анализ другого
программного обеспечения. Например, Web-сервера.
Цифровой
"отпечаток пальца"
Этот признак также задействуется в системах анализа
защищенности и основан не на проверках заголовков, а на сравнении цифрового
"отпечатка пальца" (fingerprint) фрагмента программного обеспечения с
"отпечатком" известной уязвимости. Аналогичным образом поступают
антивирусные системы, сравнивая фрагменты сканируемого программного
обеспечения с сигнатурами вирусов, хранящимися в специализированной базе
данных. Разновидностью этого признака являются контрольные суммы или даты
анализируемого программного обеспечения. Несоответствие эталонного значения
текущему характеризует изменение контролируемого объекта (программы или файла
данных), в том числе осуществленное и в результате атаки.
Источники информации об атаках
При обнаружении следов атак необходимо учитывать
следующие аспекты [Firthl-97]:
·
контроль
целостности программ, файлов данных и других информационных ресурсов,
подлежащих защите;
·
анализ деятельности
пользователей и процессов, а также сетевого трафика в контролируемой системе;
·
контроль
физических форм нападений на элементы ИС, в том числе и на отчуждаемые
источники хранения информации (например, mobile rack);
·
расследование
администраторами и другими надежными источниками (например, CIRT) необычных действий.
В соответствии с этой классификацией действия, связанные
с обнаружением атак, могут быть выполнены как в автоматизированном, так и в
ручном режиме.
Автоматизированный анализ также делится на две категории
- универсальный и специализированный анализ. Первый осуществляется при помощи
средств, встроенных в программное обеспечение. Например, к таким средствам
могут быть отнесены анализатор протоколов Network Monitor или система обработки журналов
регистрации Event Viewer. Специализированный анализ
реализуется средствами, предназначенными именно для обнаружения нарушений
политики безопасности. К таким системам относятся Snort, Tripwire, System Scanner и т. д.
Ручные методы абсолютно бесплатны (если не брать в расчет
зарплату специалиста, осуществляющего анализ, и другие параметры, составляющие
общую стоимость владения), однако не обеспечивают своевременности обнаружения
атак и, тем более, реагирования на них. Кроме того, эти методы неприменимы в
крупных, территориально - распределенных сетях. Однако в некоторых случаях использование
этих методов обоснованно. Например, в удаленных филиалах, на некритичных
сегментах и узлах, при отсутствии необходимых денежных средств и т. д. Также
эти методы предпочтительны после применения автоматизированного анализа,
поскольку несмотря на все их преимущества, некоторые атаки очень трудно
обнаружить без привлечения ручного анализа и человеческого разума. В таком
случае объемы обрабатываемых вручную данных становятся на порядки ниже их
первоначального объема. Как отмечается в [Allen 1-99], процесс полной
автоматизации процесса обнаружения атак пока является недостижимой мечтой.
Почти во всех известных инцидентах, которые были зафиксированы, и в которых
злоумышленник был пойман, применялись "ручные" методы, основанные на
внимательности операторов систем обнаружения атак или на дополнительных, самостоятельно
разработанных программах, расширяющих функциональность используемых защитных
систем. Ну и, наконец, "ручной" анализ позволяет специалистам в
области безопасности повысить свою квалификацию.
Автоматизированные универсальные методы более эффективны,
чем ручные методы, используемые на начальном этапе, однако и они не в состоянии
своевременно обнаружить нарушения политики безопасности. Все, что они могут, -
это облегчить обработку больших объемов информации, осуществлять фильтрацию и
выборки данных, которые затем анализируются вручную.
И последний вариант выполнения действий, описанных в
табл. 5.1, - это применение специализированных систем, которые отличаются от
универсальных наличием соответствующей логики. Как правило, эти системы обладают
обширной базой нарушений политики безопасности (признаков атак или
уязвимостей), которые и можно обнаружить в источниках информации, используя
определенные методы (системы обнаружения злоупотреблений или аномалий).
Однако не следует делать вывод, что только
специализированные системы являются лучшим выбором из всех. Опираясь на
сообщения, генерируемые этими средствами, можно пропустить или неправильно
интерпретировать некоторые события. Поэтому иногда нельзя довольствоваться тем,
что вам "говорит" система обнаружения атак, даже самая совершенная (а
вы видели такую?). Приходится опускаться на уровень ручного анализа данных, собранных
не только системой обнаружения атак, но и другими средствами (например,
сетевыми анализаторами).
Контроль изменений каталогов и
файлов
С целью скрыть свое присутствие в атакованной системе
злоумышленники часто подменяют или изменяют различные программы, чтобы новые
программы осуществляли те же функции за исключением тех, которые бы позволили
обнаружить самих злоумышленников. Ряд программ после таких изменений выполняют
некоторые другие действия, отличающиеся от тех, которые были заложены разработчиком.
Кроме того, злоумышленники часто модифицируют журналы
регистрации, чтобы удалить из них записи, содержащие информацию о несанкционированном
поведении.
Злоумышленники также могут записать на ваш диск новые
файлы, например, программы, позволяющие обойти существующие механизмы разграничения
доступа. Но не только программы, а и файлы пользователей очень часто являются
целью атакующих. Доступ к ним может привести к раскрытию конфиденциальной
информации или изменению реквизитов получателя в счете, сформированном
пользователем.
Можно пойти дальше контроля изменений файлов и каталогов.
В некоторых случаях полезно контролировать и конкретные поля файлов. Например,
не плохо отслеживать целостность полей баз данных или ключей системного реестра
Windows. Многие вредоносные программы
(особенно "троянские кони") используют для своего автоматического запуска
в процессе загрузки операционной системы следующие элементы системного реестра
[Казенное1-00]:
·
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run;
·
НKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices;
·
НKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunOnce;
·
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServicesOnce;
·
HKEY_USERS\DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run;
·
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run;
·
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersioii\RunServices;
·
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce;
·
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce;
·
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunOnceEx.
Сбор данных о
важных файлах и каталогах
Для каждого файла и каталога необходимо иметь достаточно
информации, чтобы контролировать все производимые с ними изменения. К такой
информации, в первую очередь, можно отнести расположение файла в системе.
Причем расположение должно быть указано абсолютное, а не относительное.
Например, изменение значений многих системных переменных приведет к тому, что
обращение к программам, использующим относительную адресацию (несмотря на ее
удобство), вызовет другие, возможно модифицированные, программы.
Другая информация, представляющая интерес, это:
·
альтернативные
пути, например, ссылки (link), псевдонимы (alias) и ярлыки (shortcut);
·
содержание
каталогов;
·
размер файлов
в байтах;
·
время и дата
создания файлов, а также их последнего изменения;
·
владелец и
права доступа.
Здесь отмечена минимальная информация, которая может
потребоваться для контроля изменений файлов и каталогов. Для важных файлов
также необходимо знать значения контрольной суммы данных, которая может быть
получена при помощи различных средств контроля целостности (Tripwire MD5, L5, System Scanner и т. д.). Эта информация, как и архивные копии журналов регистрации,
карта сети и другие важные сведения, необходимые в инфраструктуре обнаружения
атак, должны храниться в защищенном от записи месте. Прежде чем начать сбор
указанной информации, необходимо проанализировать, для каких файлов какие из
параметров надо контролировать. Иначе может возникнуть ситуация, когда система
контроля целостности будет занимать все доступные системные ресурсы,
отслеживая все атрибуты всех файлов ОС. Например, для журналов регистрации нет
смысла проверять дату и время создания, а также размер и контрольную сумму,
т.к. такие файлы изменяются постоянно. Однако для этих файлов стоит
контролировать их расположение в системе, владельца и права доступа.
2. ОСНОВНЫЕ МЕТОДЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ В
СЕТЯХ
Разобрать
подробно все методы и средства защиты информации в рамках ВКР просто
невозможно. Охарактеризую только некоторые из них.
2.1. Физическая
защита информации
К
мерам физической защиты информации относятся:
защита
от огня;
защита
от воды и пожаротушащей жидкости
защита
от коррозийных газов;
защита
от электромагнитного излучения;
защита
от вандализма;
защита
от воровства и кражи;
защита
от взрыва;
защита
от падающих обломков;
защита
от пыли;
защита
от несанкционированного доступа в помещение.
Какие
же действия нужно предпринять, чтобы обеспечить физическую безопасность?
В
первую очередь надо подготовить помещение, где будут стоять серверы. Обязательное
правило: сервер должен находиться в отдельной комнате, доступ в которую имеет
строго ограниченный круг лиц. В этом помещении следует установить кондиционер и
хорошую систему вентиляции. Там же можно поместить мини-АТС и другие жизненно
важные технические системы.
Разумным
шагом станет отключение неиспользуемых дисководов, параллельных и
последовательных портов сервера. Его корпус желательно опечатать. Все это
осложнит кражу или подмену информации даже в том случае, если злоумышленник
каким-то образом проникнет в серверную комнату. Не стоит пренебрегать и такими
тривиальными мерами защиты, как железные решетки и двери, кодовые замки и
камеры видеонаблюдения, которые будут постоянно вести запись всего, что
происходит в ключевых помещениях офиса.
Другая
характерная ошибка связана с резервным копированием. О его необходимости знают
все, так же как и о том, что на случай возгорания нужно иметь огнетушитель. А
вот о том, что резервные копии нельзя хранить в одном помещении с сервером,
почему-то забывают[2]. В результате, защитившись от информационных
атак, фирмы оказываются беззащитными даже перед небольшим пожаром, в котором
предусмотрительно сделанные копии гибнут вместе с сервером.
Часто,
даже защитив серверы, забывают, что в защите нуждаются и всевозможные провода -
кабельная система сети. Причем, нередко приходится опасаться не злоумышленников,
а самых обыкновенных уборщиц, которые заслуженно считаются самыми страшными
врагами локальных сетей[3]. Лучший вариант защиты кабеля - это короба, но, в
принципе, подойдет любой другой способ, позволяющий скрыть и надежно закрепить
провода. Впрочем, не стоит упускать из вида и возможность подключения к ним
извне для перехвата информации или создания помех, например, посредством
разряда тока. Хотя, надо признать, что этот вариант мало распространен и
замечен лишь при нарушениях работы крупных фирм.
Помимо
Интернет, компьютеры включены еще в одну сеть - обычную электрическую. Именно с
ней связана другая группа проблем, относящихся к физической безопасности
серверов. Ни для кого не секрет, что качество современных силовых сетей далеко
от идеального. Даже если нет никаких внешних признаков аномалий, очень часто
напряжение в электросети выше или ниже нормы. При этом большинство людей даже
не подозревают, что в их доме или офисе существуют какие-то проблемы с
электропитанием.
Пониженное
напряжение является наиболее распространенной аномалией и составляет около 85%
от общего числа различных неполадок с электропитанием. Его обычная причина -
дефицит электроэнергии, который особенно характерен для зимних месяцев. Повышенное
напряжение почти всегда является следствием какой-либо аварии или повреждения
проводки в помещении. Часто в результате отсоединения общего нулевого провода
соседние фазы оказываются под напряжением 380 В. Бывает также, что высокое
напряжение возникает в сети из-за неправильной коммутации проводов.
Источниками
импульсных и высокочастотных помех могут стать разряды молний, включение или
отключение мощных потребителей электроэнергии, аварии на подстанциях, а также
работа некоторых бытовых электроприборов. Чаще всего такие помехи возникают в
крупных городах и в промышленных зонах. Импульсы напряжения при длительности от
наносекунд (10~9 с) до микросекунд (10~6 с) могут по амплитуде достигать
нескольких тысяч вольт. Наиболее уязвимыми к таким помехам оказываются
микропроцессоры и другие электронные компоненты. Нередко непогашенная
импульсная помеха может привести к перезагрузке сервера или к ошибке в
обработке данных. Встроенный блок питания компьютера, конечно, частично
сглаживает броски напряжения, защищая электронные компоненты компьютера от
выхода из строя, но остаточные помехи все равно снижают срок службы аппаратуры,
а также приводят к росту температуры в блоке питания сервера.
Для
защиты компьютеров от высокочастотных импульсных помех служат сетевые фильтры
(например, марки Pilot), оберегающие технику от большинства помех и перепадов
напряжения. Кроме того, компьютеры с важной информацией следует обязательно оснащать
источником бесперебойного питания (UPS). Современные модели UPS не только
поддерживают работу компьютера, когда пропадает питание, но и отсоединяют его
от электросети, если параметры электросети выходят из допустимого диапазона.
2.2. Аппаратные средства защиты информации в КС
К
аппаратным средствам защиты информации относятся электронные и
электронно-механические устройства, включаемые в состав технических средств КС
и выполняющие (самостоятельно или в едином комплексе с программными средствами)
некоторые функции обеспечения информационной безопасности. Критерием отнесения
устройства к аппаратным, а не к инженерно-техническим средствам защиты является
обязательное включение в состав технических средств КС [3].
К
основным аппаратным средствам защиты информации относятся:
•
устройства для ввода идентифицирующей пользователя информации (магнитных и
пластиковых карт, отпечатков пальцев и т.п.);
•
устройства для шифрования информации;
•
устройства для воспрепятствования несанкционированному включению рабочих
станций и серверов (электронные замки и блокираторы).
Примеры
вспомогательных аппаратных средств защиты информации:
•
устройства уничтожения информации на магнитных носителях;
•
устройства сигнализации о попытках несанкционированных действий пользователей
КС и др.
Аппаратные
средства привлекают все большее внимание специалистов не только потому, что их
легче защитить от повреждений и других случайных или злоумышленных воздействий,
но еще и потому, что аппаратная реализация функций выше по быстродействию, чем
программная, а стоимость их неуклонно снижается.
На
рынке аппаратных средств защиты появляются все новые устройства. Ниже приводится
в качестве примера описание электронного замка.
Электронный
замок «Соболь»
«Соболь»,
разработанный и поставляемый ЗАО НИП «Информзащита», обеспечивает выполнение
следующих функций защиты:
идентификация
и аутентификация пользователей;
контроль
целостности файлов и физических секторов жесткого диска;
блокировка
загрузки ОС с дискеты и CD-ROM;
блокировка
входа в систему зарегистрированного пользователя при превышении им заданного
количества неудачных попыток входа;
регистрация
событий, имеющих отношение к безопасности системы.
Идентификация
пользователей производится по индивидуальному ключу в виде «таблетки» Touch
Memory, имеющей память до 64 Кбайт, а аутентификация - по паролю длиной до 16
символов.
Контроль
целостности предназначен для того, чтобы убедиться, что программы и файлы
пользователя и особенно системные файлы ОС не были модифицированы злоумышленником
или введенной им программной закладкой. Для этого в первую очередь в работу
вступает разборщик файловой системы ОС: расчет эталонных значений и их контроль
при загрузке реализован в «Соболе» на аппаратном уровне. Построение же списка
контроля целостности объектов выполняется с помощью утилиты ОС, что в принципе
дает возможность программе-перехватчику модифицировать этот список, а ведь
хорошо известно, что общий уровень безопасности системы определяется уровнем
защищенности самого слабого звена.
2.3. Программные средства защиты информации
в КС
Под
программными средствами защиты информации понимают специальные программы,
включаемые в состав программного обеспечения КС исключительно для выполнения
защитных функций.
К
основным программным средствам защиты информации относятся:
•
программы идентификации и аутентификации пользователей КС;
•
программы разграничения доступа пользователей к ресурсам КС;
•
программы шифрования информации;
•
программы защиты информационных ресурсов (системного и прикладного программного
обеспечения, баз данных, компьютерных средств обучения и т. п.) от несанкционированного
изменения, использования и копирования.
Надо
понимать, что под идентификацией, применительно к обеспечению информационной
безопасности КС, понимают однозначное распознавание уникального имени субъекта
КС. Аутентификация означает подтверждение того, что предъявленное имя соответствует
данному субъекту (подтверждение подлинности субъекта).
Также
к программным средствам защиты информации относятся:
•
программы уничтожения остаточной информации (в блоках оперативной памяти,
временных файлах и т. п.);
•
программы аудита (ведения регистрационных журналов) событий, связанных с
безопасностью КС, для обеспечения возможности восстановления и доказательства
факта происшествия этих событий;
•
программы имитации работы с нарушителем (отвлечения его на получение якобы
конфиденциальной информации);
•
программы тестового контроля защищенности КС и др.
К
преимуществам программных средств защиты информации относятся:
•
простота тиражирования;
•
гибкость (возможность настройки на различные условия применения, учитывающие
специфику угроз информационной безопасности конкретных КС);
•
простота применения - одни программные средства, например шифрования, работают
в «прозрачном» (незаметном для пользователя) режиме, а другие не требуют от пользователя
ни каких новых (по сравнению с другими программами) навыков;
•
практически неограниченные возможности их развития путем внесения изменений для
учета новых угроз безопасности информации.
Рис.
2.1. Пример пристыкованного программного средства защиты.
Рис. 2.2. Пример встроенного программного средства защиты.
К
недостаткам программных средств защиты информации относятся:
•
снижение эффективности КС за счет потребления ее ресурсов, требуемых для
функционирование программ защиты;
•
более низкая производительность (по сравнению с выполняющими аналогичные
функции аппаратными средствами защиты, например шифрования);
•
пристыкованность многих программных средств защиты (а не их встроенность в
программное обеспечение КС, рис. 2.1 и 2.2), что создает для нарушителя
принципиальную возможность их обхода;
•
возможность злоумышленного изменения программных средств защиты в процессе
эксплуатации КС.
Безопасность на уровне операционной системы
Операционная
система является важнейшим программным компонентом любой вычислительной машины,
поэтому от уровня реализации политики безопасности в каждой конкретной ОС во
многом зависит и общая безопасность информационной системы [22].
Операционная
система MS-DOS является ОС реального режима микропроцессора Intel, а потому
здесь не может идти речи о разделении оперативной памяти между процессами. Все
резидентные программы и основная программа используют общее пространство ОЗУ.
Защита файлов отсутствует, о сетевой безопасности трудно сказать что-либо определенное,
поскольку на том этапе развития ПО драйверы для сетевого взаимодействия разрабатывались
не фирмой MicroSoft, а сторонними разработчиками.
Семейство
операционных систем Windows 95, 98, Millenium – это клоны, изначально
ориентированные на работу в домашних ЭВМ. Эти операционные системы используют
уровни привилегий защищенного режима, но не делают никаких дополнительных
проверок и не поддерживают системы дескрипторов безопасности. В результате
этого любое приложение может получить доступ ко всему объему доступной
оперативной памяти как с правами чтения, так и с правами записи. Меры сетевой
безопасности присутствуют, однако, их реализация не на высоте. Более того, в
версии Windows 95 была допущена основательная ошибка, позволяющая удаленно
буквально за несколько пакетов приводить к "зависанию" ЭВМ, что также
значительно подорвало репутацию ОС, в последующих версиях было сделано много
шагов по улучшению сетевой безопасности этого клона[4].
Поколение
операционных систем Windows NT, 2000 уже значительно более надежная разработка
компании MicroSoft. Они являются действительно многопользовательскими
системами, надежно защищающими файлы различных пользователей на жестком диске
(правда, шифрование данных все же не производится и файлы можно без проблем
прочитать, загрузившись с диска другой операционной системы – например,
MS-DOS). Данные ОС активно используют возможности защищенного режима
процессоров Intel, и могут надежно защитить данные и код процесса от других
программ, если только он сам не захочет предоставлять к ним дополнительного
доступа извне процесса.
За
долгое время разработки было учтено множество различных сетевых атак и ошибок в
системе безопасности. Исправления к ним выходили в виде блоков обновлений
(англ. service pack).
Другая
ветвь клонов растет от операционной системы UNIX. Эта ОС изначально разрабатывалась
как сетевая и многопользовательская, а потому сразу же содержала в себе
средства информационной безопасности. Практически все широко распространенные
клоны UNIX прошли долгий путь разработки и по мере модификации учли все
открытые за это время способы атак. Достаточно себя зарекомендовали : LINUX
(S.U.S.E.), OpenBSD, FreeBSD, Sun Solaris. Естественно все сказанное относится
к последним версиям этих операционных систем. Основные ошибки в этих системах
относятся уже не к ядру, которое работает безукоризненно, а к системным и
прикладным утилитам. Наличие ошибок в них часто приводит к потере всего запаса
прочности системы.
Основные
компоненты:
Локальный
администратор безопасности – несет ответственность за несанкционированный
доступ, проверяет полномочия пользователя на вход в систему, поддерживает:
Аудит
– проверка правильности выполнения действий пользователя
Диспетчер
учетных записей – поддержка БД пользователей их действий и взаимодействия с
системой.
Монитор
безопасности – проверяет имеет ли пользователь достаточные права доступа на
объект
Журнал
аудита – содержит информацию о входах пользователей, фиксирует работы с
файлами, папками.
Пакет
проверки подлинности – анализирует системные файлы, на предмет того, что они не
заменены. MSV10 – пакет по умолчанию.
Windows
XP дополнена:
можно
назначать пароли для архивных копий
средства
защиты от замены файлов
система
разграничения … путем ввода пароля и создания учета записей пользователя.
Архивацию может проводить пользователь, у которого есть такие права.
NTFS:
контроль доступа к файлам и папкам
В
XP и 2000 – более полное и глубокое дифференцирование прав доступа пользователя.
EFS
– обеспечивает шифрование и дешифрование информации (файлы и папки) для
ограничения доступа к данным.
Криптографические методы защиты
Криптография
- это наука об обеспечении безопасности данных. Она занимается поисками решений
четырех важных проблем безопасности - конфиденциальности, аутентификации,
целостности и контроля участников взаимодействия. Шифрование - это преобразование
данных в нечитабельную форму, используя ключи шифрования-расшифровки.
Шифрование позволяет обеспечить конфиденциальность, сохраняя информацию в тайне
от того, кому она не предназначена.
Криптография
занимается поиском и исследованием математических методов преобразования
информации[5].
Современная
криптография включает в себя четыре крупных раздела:
симметричные
криптосистемы;
криптосистемы
с открытым ключом;
системы
электронной подписи;
управление
ключами.
Основные
направления использования криптографических методов - передача конфиденциальной
информации по каналам связи (например, электронная почта), установление
подлинности передаваемых сообщений, хранение информации (документов, баз данных)
на носителях в зашифрованном виде.
Шифрование дисков
Зашифрованный
диск – это файл-контейнер, внутри которого могут находиться любые другие файлы
или программы (они могут быть установлены и запущены прямо из этого
зашифрованного файла). Этот диск доступен только после ввода пароля к
файлу-контейнеру – тогда на компьютере появляется еще один диск, опознаваемый
системой как логический и работа с которым не отличается от работы с любым
другим диском. После отключения диска логический диск исчезает, он просто
становится «невидимым».
На
сегодняшний день наиболее распространенные программы для создания зашифрованных
дисков – DriveCrypt, BestCrypt и PGPdisk. Каждая из них надежно защищена от
удаленного взлома.
Общие
черты программ:[6]
-
все изменения информации в файле-контейнере происходят сначала в оперативной
памяти, т.е. жесткий диск всегда остается зашифрованным. Даже в случае
зависания компьютера секретные данные так и остаются зашифрованными;
-
программы могут блокировать скрытый логический диск по истечении определенного
промежутка времени;
-
все они недоверчиво относятся к временным файлам (своп-файлам). Есть возможность
зашифровать всю конфиденциальную информацию, которая могла попасть в своп-файл.
Очень эффективный метод скрытия информации, хранящейся в своп-файле – это вообще
отключить его, при этом не забыв нарастить оперативную память компьютера;
-
физика жесткого диска такова, что даже если поверх одних данных записать
другие, то предыдущая запись полностью не сотрется. С помощью современных
средств магнитной микроскопии (Magnetic Force Microscopy – MFM) их все равно
можно восстановить. С помощью этих программ можно надежно удалять файлы с
жесткого диска, не оставляя никаких следов их существования;
-
все три программы сохраняют конфиденциальные данные в надежно зашифрованном
виде на жестком диске и обеспечивают прозрачный доступ к этим данным из любой
прикладной программы;
-
они защищают зашифрованные файлы-контейнеры от случайного удаления;
-
отлично справляются с троянскими приложениями и вирусами.
Способы идентификации пользователя
Прежде
чем получить доступ к ВС, пользователь должен идентифицировать себя, а
механизмы защиты сети затем подтверждают подлинность пользователя, т. е.
проверяют, является ли пользователь действительно тем, за кого он себя выдает.
В соответствии с логической моделью механизма защиты ВС размещены на рабочей
ЭВМ, к которой подключен пользователь через свой терминал или каким-либо иным
способом. Поэтому процедуры идентификации, подтверждения подлинности и
наделения полномочиями выполняются в начале сеанса на местной рабочей ЭВМ.
В
дальнейшем, когда устанавливаются различные сетевые протоколы и до получения
доступа к сетевым ресурсам, процедуры идентификации, подтверждения подлинности
и наделения полномочиями могут быть активизированы вновь на некоторых удаленных
рабочих ЭВМ с целью размещения требуемых ресурсов или сетевых услуг.
Когда
пользователь начинает работу в вычислительной системе, используя терминал,
система запрашивает его имя и идентификационный номер. В соответствии с
ответами пользователя вычислительная система производит его идентификацию. В
сети более естественно для объектов, устанавливающих взаимную связь,
идентифицировать друг друга.
Пароли
- это лишь один из способов подтверждения подлинности. Существуют другие
способы:
1.
Предопределенная информация, находящаяся в распоряжении пользователя: пароль,
личный идентификационный номер, соглашение об использовании специальных закодированных
фраз.
2.
Элементы аппаратного обеспечения, находящиеся в распоряжении пользователя:
ключи, магнитные карточки, микросхемы и т.п..
3.
Характерные личные особенности пользователя: отпечатки пальцев, рисунок сетчатки
глаза, размеры фигуры, тембр голоса и другие более сложные медицинские и биохимические
свойства.
4.
Характерные приемы и черты поведения пользователя в режиме реального времени:
особенности динамики, стиль работы на клавиатуре, скорость чтения, умение использовать
манипуляторы и т.д.
5.
Привычки: использование специфических компьютерных заготовок.
6.
Навыки и знания пользователя, обусловленные образованием, культурой, обучением,
предысторией, воспитанием, привычками и т.п.
Если
кто-то желает войти в вычислительную систему через терминал или выполнить
пакетное задание, вычислительная система должна установить подлинность пользователя.
Сам пользователь, как правило, не проверяет подлинность вычислительной системы.
Если процедура установления подлинности является односторонней, такую процедуру
называют процедурой одностороннего подтверждения подлинности объекта[7].
Специализированные программные средства защиты информации
Специализированные
программные средства защиты информации от несанкционированного доступа обладают
в целом лучшими возможностями и характеристиками, чем встроенные средства
сетевых ОС. Кроме программ шифрования, существует много других доступных
внешних средств защиты информации. Из наиболее часто упоминаемых следует
отметить следующие две системы, позволяющие ограничить информационные потоки.
Firewalls
- брандмауэры (дословно firewall - огненная стена). Между локальной и глобальной
сетями создаются специальные промежуточные сервера, которые инспектируют и
фильтруют весь проходящий через них трафик сетевого/ транспортного уровней. Это
позволяет резко снизить угрозу несанкционированного доступа извне в
корпоративные сети, но не устраняет эту опасность совсем. Более защищенная
разновидность метода - это способ маскарада (masquerading), когда весь
исходящий из локальной сети трафик посылается от имени firewall-сервера, делая
локальную сеть практически невидимой.
Proxy-servers
(proxy - доверенность, доверенное лицо). Весь трафик сетевого/транспортного
уровней между локальной и глобальной сетями запрещается полностью - попросту
отсутствует маршрутизация как таковая, а обращения из локальной сети в глобальную
происходят через специальные серверы-посредники. Очевидно, что при этом методе
обращения из глобальной сети в локальную становятся невозможными в принципе.
Очевидно также, что этот метод не дает достаточной защиты против атак на более
высоких уровнях - например, на уровне приложения (вирусы, код Java и
JavaScript).
Рассмотрим
подробнее работу брандмауэра. Это метод защиты сети от угроз безопасности,
исходящих от других систем и сетей, с помощью централизации доступа к сети и
контроля за ним аппаратно-программными средствами. Брандмауэр является защитным
барьером, состоящим из нескольких компонентов (например, маршрутизатора или
шлюза, на котором работает программное обеспечение брандмауэра). Брандмауэр
конфигурируется в соответствии с принятой в организации политикой контроля
доступа к внутренней сети. Все входящие и исходящие пакеты должны проходить
через брандмауэр, который пропускает только авторизованные пакеты.
Брандмауэр
с фильрацией пакетов [packet-filtering firewall] - является маршрутизатором или
компьютером, на котором работает программное обеспечение, сконфигурированное
таким образом, чтобы отбраковывать определенные виды входящих и исходящих
пакетов. Фильтрация пакетов осуществляется на основе информации, содержащейся в
TCP- и IP- заголовках пакетов (адреса отправителя и получателя, их номера
портов и др.).
Брандмауэр
экспертного уровня [stateful inspecthion firewall] - проверяет содержимое
принимаемых пакетов на трех уровнях модели OSI - сетевом, сеансовом и
прикладном. Для выполнения этой задачи используются специальные алгоритмы
фильтрации пакетов, с помощью которых каждый пакет сравнивается с известным
шаблоном авторизованных пакетов.
Создание
брандмауера относится к решению задачи экранирования. Формальная постановка
задачи экранирования состоит в следующем. Пусть имеется два множества информационных
систем. Экран - это средство разграничения доступа клиентов из одного множества
к серверам из другого множества. Экран осуществляет свои функции, контролируя
все информационные потоки между двумя множествами систем (рис. 2.3). Контроль
потоков состоит в их фильтрации, возможно, с выполнением некоторых
преобразований.
Рис.
2.3. Экран как средство разграничения доступа.
На
следующем уровне детализации экран (полупроницаемую мембрану) удобно представлять
как последовательность фильтров. Каждый из фильтров, проанализировав данные,
может задержать (не пропустить) их, а может и сразу "перебросить" за
экран. Кроме того, допускается преобразование данных, передача порции данных на
следующий фильтр для продолжения анализа или обработка данных от имени адресата
и возврат результата отправителю (рис. 2.4).
Рис.
7. Экран как последовательность фильтров.
Помимо
функций разграничения доступа, экраны осуществляют протоколирование обмена
информацией.
Обычно
экран не является симметричным, для него определены понятия "внутри"
и "снаружи". При этом задача экранирования формулируется как защита
внутренней области от потенциально враждебной внешней. Так, межсетевые экраны
(МЭ) чаще всего устанавливают для защиты корпоративной сети организации,
имеющей выход в Internet.
Экранирование
помогает поддерживать доступность сервисов внутренней области, уменьшая или
вообще ликвидируя нагрузку, вызванную внешней активностью. Уменьшается
уязвимость внутренних сервисов безопасности, поскольку первоначально злоумышленник
должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно.
Кроме того, экранирующая система, в отличие от универсальной, может быть устроена
более простым и, следовательно, более безопасным образом.
Экранирование
дает возможность контролировать также информационные потоки, направленные во
внешнюю область, что способствует поддержанию режима конфиденциальности в ИС
организации.
Экранирование
может быть частичным, защищающим определенные информационные сервисы (например,
экранирование электронной почты).
Ограничивающий
интерфейс также можно рассматривать как разновидность экранирования. На
невидимый объект трудно нападать, особенно с помощью фиксированного набора
средств. В этом смысле Web-интерфейс обладает естественной защитой, особенно в
том случае, когда гипертекстовые документы формируются динамически. Каждый
пользователь видит лишь то, что ему положено видеть. Можно провести аналогию
между динамически формируемыми гипертекстовыми документами и представлениями в
реляционных базах данных, с той существенной оговоркой, что в случае Web
возможности существенно шире.
Экранирующая
роль Web-сервиса наглядно проявляется и тогда, когда этот сервис осуществляет
посреднические (точнее, интегрирующие) функции при доступе к другим ресурсам,
например таблицам базы данных. Здесь не только контролируются потоки запросов,
но и скрывается реальная организация данных.
Архитектурные аспекты безопасности
Бороться
с угрозами, присущими сетевой среде, средствами универсальных операционных
систем не представляется возможным. Универсальная ОС - это огромная программа,
наверняка содержащая, помимо явных ошибок, некоторые особенности, которые могут
быть использованы для нелегального получения привилегий. Современная технология
программирования не позволяет сделать столь большие программы безопасными.
Кроме того, администратор, имеющий дело со сложной системой, далеко не всегда в
состоянии учесть все последствия производимых изменений. Наконец, в
универсальной многопользовательской системе бреши в безопасности постоянно
создаются самими пользователями (слабые и/или редко изменяемые пароли, неудачно
установленные права доступа, оставленный без присмотра терминал и т.п.).
Единственный перспективный путь связан с разработкой специализированных
сервисов безопасности, которые в силу своей простоты допускают формальную или
неформальную верификацию. Межсетевой экран как раз и является таким средством,
допускающим дальнейшую декомпозицию, связанную с обслуживанием различных
сетевых протоколов.
Межсетевой
экран располагается между защищаемой (внутренней) сетью и внешней средой
(внешними сетями или другими сегментами корпоративной сети). В первом случае
говорят о внешнем МЭ, во втором - о внутреннем. В зависимости от точки зрения,
внешний межсетевой экран можно считать первой или последней (но никак не единственной)
линией обороны. Первой - если смотреть на мир глазами внешнего злоумышленника.
Последней - если стремиться к защищенности всех компонентов корпоративной сети
и пресечению неправомерных действий внутренних пользователей.
Межсетевой
экран - идеальное место для встраивания средств активного аудита. С одной
стороны, и на первом, и на последнем защитном рубеже выявление подозрительной
активности по-своему важно. С другой стороны, МЭ способен реализовать сколь
угодно мощную реакцию на подозрительную активность, вплоть до разрыва связи с
внешней средой. Правда, нужно отдавать себе отчет в том, что соединение двух
сервисов безопасности в принципе может создать брешь, способствующую атакам на
доступность.
На
межсетевой экран целесообразно возложить идентификацию/аутентификацию внешних
пользователей, нуждающихся в доступе к корпоративным ресурсам (с поддержкой
концепции единого входа в сеть).
В
силу принципов эшелонированности обороны для защиты внешних подключений обычно
используется двухкомпонентное экранирование (см. рис. 8). Первичная фильтрация
(например, блокирование пакетов управляющего протокола SNMP, опасного атаками
на доступность, или пакетов с определенными IP-адресами, включенными в
"черный список") осуществляется граничным маршрутизатором (см. также
следующий раздел), за которым располагается так называемая демилитаризованная
зона (сеть с умеренным доверием безопасности, куда выносятся внешние
информационные сервисы организации - Web, электронная почта и т.п.) и основной
МЭ, защищающий внутреннюю часть корпоративной сети.
Теоретически
межсетевой экран (особенно внутренний) должен быть многопротокольным, однако на
практике доминирование семейства протоколов TCP/IP столь велико, что поддержка
других протоколов представляется излишеством, вредным для безопасности (чем
сложнее сервис, тем он более уязвим).
Рис.
2.5. Двухкомпонентное экранирование с демилитаризованной зоной.
Вообще
говоря, и внешний, и внутренний межсетевой экран может стать узким местом,
поскольку объем сетевого трафика имеет тенденцию быстрого роста. Один из подходов
к решению этой проблемы предполагает разбиение МЭ на несколько аппаратных
частей и организацию специализированных серверов-посредников. Основной
межсетевой экран может проводить грубую классификацию входящего трафика по
видам и передоверять фильтрацию соответствующим посредникам (например,
посреднику, анализирующему HTTP-трафик). Исходящий трафик сначала
обрабатывается сервером-посредником, который может выполнять и функционально
полезные действия, такие как кэширование страниц внешних Web-серверов, что
снижает нагрузку на сеть вообще и основной МЭ в частности.
Ситуации,
когда корпоративная сеть содержит лишь один внешний канал, являются скорее
исключением, чем правилом. Напротив, типична ситуация, при которой корпоративная
сеть состоит из нескольких территориально разнесенных сегментов, каждый из которых
подключен к Internet. В этом случае каждое подключение должно защищаться своим
экраном. Точнее говоря, можно считать, что корпоративный внешний межсетевой
экран является составным, и требуется решать задачу согласованного
администрирования (управления и аудита) всех компонентов.
Противоположностью
составным корпоративным МЭ (или их компонентами) являются персональные
межсетевые экраны и персональные экранирующие устройства. Первые являются
программными продуктами, которые устанавливаются на персональные компьютеры и
защищают только их. Вторые реализуются на отдельных устройствах и защищают
небольшую локальную сеть, такую как сеть домашнего офиса.
При
развертывании межсетевых экранов следует соблюдать рассмотренные нами ранее
принципы архитектурной безопасности, в первую очередь позаботившись о простоте
и управляемости, об эшелонированности обороны, а также о невозможности перехода
в небезопасное состояние. Кроме того, следует принимать во внимание не только
внешние, но и внутренние угрозы.
Системы
архивирования и дублирования информации
Организация
надежной и эффективной системы архивации данных является одной из важнейших
задач по обеспечению сохранности информации в сети. В небольших сетях, где
установлены один - два сервера, чаще всего применяется установка системы
архивации непосредственно в свободные слоты серверов. В крупных корпоративных
сетях наиболее предпочтительно организовать выделенный специализированный
архивационный сервер.
Такой
сервер автоматически производит архивирование информации с жестких дисков
серверов и рабочих станций в указанное администратором локальной вычислительной
сети время, выдавая отчет о проведенном резервном копировании.
Хранение
архивной информации, представляющей особую ценность, должно быть организовано в
специальном охраняемом помещении. Специалисты рекомендуют хранить дубликаты
архивов наиболее ценных данных в другом здании, на случай пожара или стихийного
бедствия. Для обеспечения восстановления данных при сбоях магнитных дисков в
последнее время чаще всего применяются системы дисковых массивов - группы
дисков, работающих как единое устройство, соответствующих стандарту RAID
(Redundant Arrays of Inexpensive Disks). Эти массивы обеспечивают наиболее
высокую скорость записи/считывания данных, возможность полного восстановления
данных и замены вышедших из строя дисков в "горячем" режиме (без
отключения остальных дисков массива).
Организация
дисковых массивов предусматривает различные технические решения, реализованные
на нескольких уровнях:
RAID
уровеня 0 предусматривает простое разделение потока данных между двумя или
несколькими дисками. Преимущество подобного решения заключается в увеличении
скорости ввода/вывода пропорционально количеству задействованных в массиве
дисков.
RAID
уровня 1 заключается в организации так называемых "зеркальных"
дисков. Во время записи данных информация основного диска системы дублируется
на зеркальном диске, а при выходе из строя основного диска в работу тут же
включается "зеркальный".
RAID
уровни 2 и 3 предусматривают создание параллельных дисковых массивов, при
записи на которые данные распределяются по дискам на битовом уровне.
RAID
уровни 4 и 5 представляют собой модификацию нулевого уровня, при котором поток
данных распределяется по дискам массива. Отличие состоит в том, что на уровне 4
выделяется специальный диск для хранения избыточной информации, а на уровне 5
избыточная информация распределяется по всем дискам массива.
Повышение
надежности и защита данных в сети, основанная на использовании избыточной
информации, реализуются не только на уровне отдельных элементов сети, например
дисковых массивов, но и на уровне сетевых ОС. Например, компания Novell
реализует отказоустойчивые версии операционной системы Netware - SFT (System
Fault Tolerance):
-
SFT Level I. Первый уровень предусматривает,создание дополнительных копий FAT и
Directory Entries Tables, немедленную верификацию каждого вновь записанного на
файловый сервер блока данных, а также резервирование на каждом жестком диске
около 2% от объема диска.
-
SFT Level II содержала дополнительно возможности создания "зеркальных"
дисков, а также дублирования дисковых контроллеров, источников питания и
интерфейсных кабелей.
-
Версия SFT Level III позволяет использовать в локальной сети дублированные серверы,
один из которых является "главным", а второй, содержащий копию всей
информации, вступает в работу в случае выхода "главного" сервера из
строя.
Анализ защищенности
Сервис
анализа защищенности предназначен для выявления уязвимых мест с целью их
оперативной ликвидации. Сам по себе этот сервис ни от чего не защищает, но
помогает обнаружить (и устранить) пробелы в защите раньше, чем их сможет
использовать злоумышленник. В первую очередь, имеются в виду не архитектурные
(их ликвидировать сложно), а "оперативные" бреши, появившиеся в
результате ошибок администрирования или из-за невнимания к обновлению версий
программного обеспечения.
Системы
анализа защищенности (называемые также сканерами защищенности), как и
рассмотренные выше средства активного аудита, основаны на накоплении и
использовании знаний. В данном случае имеются в виду знания о пробелах в
защите: о том, как их искать, насколько они серьезны и как их устранять.
Соответственно,
ядром таких систем является база уязвимых мест, которая определяет доступный
диапазон возможностей и требует практически постоянной актуализации.
В
принципе, могут выявляться бреши самой разной природы: наличие вредоносного ПО
(в частности, вирусов), слабые пароли пользователей, неудачно
сконфигурированные операционные системы, небезопасные сетевые сервисы, неустановленные
заплаты, уязвимости в приложениях и т.д. Однако наиболее эффективными являются
сетевые сканеры (очевидно, в силу доминирования семейства протоколов TCP/IP), а
также антивирусные средства[8]. Антивирусную защиту мы причисляем к средствам
анализа защищенности, не считая ее отдельным сервисом безопасности.
Сканеры
могут выявлять уязвимые места как путем пассивного анализа, то есть изучения
конфигурационных файлов, задействованных портов и т.п., так и путем имитации
действий атакующего. Некоторые найденные уязвимые места могут устраняться
автоматически (например, лечение зараженных файлов), о других сообщается
администратору.
Контроль,
обеспечиваемый системами анализа защищенности, носит реактивный, запаздывающий
характер, он не защищает от новых атак, однако следует помнить, что оборона
должна быть эшелонированной, и в качестве одного из рубежей контроль защищенности
вполне адекватен. Известно, что подавляющее большинство атак носит рутинный характер;
они возможны только потому, что известные бреши в защите годами остаются неустраненными.
3. Методы и средства
защиты информации в телекоммуникационных сетях предприятия "Вестел"
3.1 Характеристика предприятия и корпоративной
сети
Группа
компаний Vestel объединяет 19 компаний, специализирующихся на разработке,
производстве, маркетинге и дистрибуции бытовой электроники, мелкой и крупной бытовой
техники. Являясь одним из лидеров рынка электроники и бытовой техники в Европе,
компания имеет представительства в таких странах, как Франция, Испания,
Германия, Бельгия, Люксембург, Италия, Великобритания, Голландия, Румыния,
Тайвань, Гонконг, Финляндия, США. Производственные и научно-исследовательские
мощности также сосредоточены во многих регионах мира. На данный момент Vestel
Group входит в крупный транснациональный холдинг Zorlu со штаб-квартирой в
городе Стамбул (Турция).
Завод
в г. Александров был заложен в ноябре 2002 г., а в ноябре 2003 г. началось
производство телевизоров. В 2006 году был построен цех по производству
стиральных машин и холодильников. На данный момент на российском рынке
представлены кинескопные, жидкокристаллические и плазменные телевизоры,
стиральные машины, холодильники, плиты. На заводе применяются самые современные
сборочные технологии и полностью автоматизированные системы контроля качества.
Число
работающих – более 700 человек (около 500 из них – рабочие).
На
предприятии отсутствуют сведения, составляющие государственную тайну, но ведется
работа с коммерческой и служебной тайной.
На
предприятии существует своя локальная сеть, доступ к которой имеют только работники
Вестела. В большинстве случаев имеется доступ лишь к ограниченному числу сайтов
этой сети, необходимых в ходе трудовой деятельности. Информация о каждом выходе
в сеть фиксируется системным администратором. Это также относится к сети
Интернет.
Количество
рабочих станций в сети – 27. Они объединены в несколько рабочих групп:
директор
предприятия – 1 рабочая станция;
отдел
№1 - 2 рабочих станции;
секретарь
– 1 рабочая станция;
отделения
1, 2 и 3 отдела №2 по 3, 2 и 4 рабочих станции соответственно;
отделения
4 и 5 отдела №3 по 3 и 4 рабочих станции;
отделение
6 отдела №4 – 3 рабочих станции;
отдел
№5 – 4 рабочие станции;
отдел
№6 – 4 рабочие станции.
Вся
сеть расположена на одном этаже административного здания.
План
помещений, где расположены рабочие станции и сервер представлен в Приложении Б.
Сеть,
как это видно из рис. 9, имеет топологию «звезда».
Топология
типа «звезда» представляет собой более производительную структуру, каждый
компьютер, в том числе и сервер, соединяется отдельным сегментом кабеля с центральным
концентратором (HAB).
Основным
преимуществом такой сети является её устойчивость к сбоям, возникающим
вследствие неполадок на отдельных ПК или из-за повреждения сетевого кабеля. [7]
Используемый
метод доступа - CSMA/CD. Именно этот метод доступа применяет сетевая
архитектура Ethernet, которая используется на предприятии. Сеть построена на
основе на основе витой пары (10Base – T) с использованием кабеля фирмы Siemon,
стандарта UTP (Unshielded Twisted Pair) (неэкранированная витая пара) категории
5, международного стандарта Кабельных систем.
Используемые
операционные системы - Windows 2000 (на рабочих станциях) и Windows 2003
Server.
Рис.
3.1. Топология сети предприятия.
3.2. Организационно-правовое обеспечение защиты
информации
На
предприятии разработаны следующие меры по защите информации:
-
заключен договор об охране помещения и территории (действует пропускной режим);
-
разработан режим и правила противопожарной безопасности;
-
режим видеонаблюдения этажей;
-
разработаны должностные инструкции служащих, разграничивающие их права и
обязанности;
-дополнительные
соглашения к трудовым договорам сотрудников о неразглашении ими
конфиденциальной информации, регламентирующие ответственность в области защиты
информации;
-
инструкции по охране периметра, по эксплуатации системы охранной сигнализации и
видеонаблюдения;
-
положение о конфиденциальном документообороте;
-
описание технологического процесса обработки КИ;
-
установлена антивирусная системы защиты на АРМ;
-
разграничен доступ к АРМ паролями.
Правовое
обеспечение системы защиты конфиденциальной информации включает в себя комплекс
внутренней нормативно-организационной документации, в которую входят такие
документы предприятия, как:
-
Устав;
-
коллективный трудовой договор;
-
трудовые договоры с сотрудниками предприятия;
-
правила внутреннего распорядка служащих предприятия;
-
должностные обязанности руководителей, специалистов и служащих предприятия.
-
инструкции пользователей информационно-вычислительных сетей и баз данных;
-
инструкции сотрудников, ответственных за защиту информации;
-
памятка сотрудника о сохранении коммерческой или иной тайны;
-
договорные обязательства.
Не
углубляясь в содержание перечисленных документов, можно сказать, что во всех из
них, в зависимости от их основного нормативного или юридического назначения, указываются
требования, нормы или правила по обеспечению необходимого уровня информационной
защищенности предприятия, обращенные, прежде всего, к персоналу и руководству.
Правовое
обеспечение дает возможность урегулировать многие спорные вопросы, неизбежно
возникающие в процессе информационного обмена на самых разных уровнях - от
речевого общения до передачи данных в компьютерных сетях. Кроме того,
образуется юридически оформленная система административных мер, позволяющая
применять взыскания или санкции к нарушителям внутренней политики безопасности,
а также устанавливать достаточно четкие условия по обеспечению
конфиденциальности сведений, используемых или формируемых при сотрудничестве
между субъектами экономики, выполнении ими договорных обязательств,
осуществлении совместной деятельности и т.п. При этом стороны, не выполняющие
эти условия, несут ответственность в рамках, предусмотренных как
соответствующими пунктами меж сторонних документов (договоров, соглашений, контрактов
и пр.), так и российским законодательством.
Основными
объектами защиты являются:
-
АРМ сотрудников;
-
сервер локальной сети;
-
конфиденциальная информация (документы);
-
кабинеты генерального директора, главного инженера и главного технолога;
-
кабинеты с конфиденциальной документацией.
3.3 Защита информации в корпоративной сети
«Вестел» на уровне операционной системы
Windows
2003 Server имеет средства обеспечения безопасности, встроенные в операционную
систему. Ниже рассмотрены наиболее значимые из них.
Слежение
за деятельностью сети.
Windows
2003 Server дает много инструментальных средств для слежения за сетевой
деятельностью и использованием сети. ОС позволяет:
просмотреть
сервер и увидеть, какие ресурсы он использует;
увидеть
пользователей, подключенных в настоящее время к серверу и увидеть, какие файлы
у них открыты;
проверить
данные в журнале безопасности;
проверитьзаписи
в журнале событий;
указать,
о каких ошибках администратор должен быть предупрежден, если они произойдут.
Начало
сеанса на рабочей станции
Всякий
раз, когда пользователь начинает сеанс на рабочей станции, экран начала сеанса
запрашивает имя пользователя, пароль и домен. Затем рабочая станция посылает
имя пользователя и пароль в домен для идентификации. Сервер в домене проверяет
имя пользователя и пароль в базе данных учетных карточек пользователей домена.
Если имя пользователя и пароль идентичны данным в учетной карточке, сервер
уведомляет рабочую станцию о начале сеанса. Сервер также загружает другую
информацию при начале сеанса пользователя, как например установки пользователя,
свой каталог и переменные среды.
По
умолчанию не все учетные карточки в домене позволяют входить в систему. Только
карточкам групп администраторов, операторов сервера, операторов управления
печатью, операторов управления учетными карточками и операторов управления резервным
копированием разрешено это делать.
Для
всех пользователей сети предприятия предусмотрено свое имя и пароль (подробнее
об этом рассказывается в следующем разделе ВКР).
Учетные
карточки пользователей
Каждый
клиент, который использует сеть, имеет учетную карточку пользователя в домене
сети. Учетная карточка пользователя содержит информацию о пользователе, включающую
имя, пароль и ограничения по использованию сети, налагаемые на него. Учетные
карточки позволяют сгруппировать пользователей, которые имеют аналогичные
ресурсы, в группы; группы облегчают предоставление прав и разрешений на
ресурсы, достаточно сделать только одно действие, дающее права или разрешения
всей группе.
Приложение
В показывает содержимое учетной карточки пользователя.
Журнал
событий безопасности
Windows
2003 Server позволяет определить, что войдет в ревизию и будет записано в
журнал событий безопасности всякий раз, когда выполняются определенные действия
или осуществляется доступ к файлам. Элемент ревизии показывает выполненное
действие, пользователя, который выполнил его, а также дату и время действия.
Это позволяет контролировать как успешные, так и неудачные попытки каких-либо
действий.
Журнал
событий безопасности для условий предприятия является обязательным, так как в
случае попытки взлома сети можно будет отследить источник.
На
самом деле протоколирование осуществляется только в отношении подозрительных
пользователей и событий. Поскольку если фиксировать все события, объем регистрационной
информации, скорее всего, будет расти слишком быстро, а ее эффективный анализ
станет невозможным. Слежка важна в первую очередь как профилактическое
средство. Можно надеяться, что многие воздержатся от нарушений безопасности,
зная, что их действия фиксируются.
Права
пользователя
Права
пользователя определяют разрешенные типы действий для этого пользователя.
Действия, регулируемые правами, включают вход в систему на локальный компьютер,
выключение, установку времени, копирование и восстановление файлов сервера и
выполнение других задач.
В
домене Windows 2003 Server права предоставляются и ограничиваются на уровне
домена; если группа находится непосредственно в домене, участники имеют права
во всех первичных и резервных контроллерах домена.
Для
каждого пользователя предприятия обязательно устанавливаются свои права доступа
к информации, разрешение на копирование и восстановление файлов.
Установка
пароля и политика учетных карточек
Для
домена определены все аспекты политики пароля: минимальная длина пароля (6
символов), минимальный и максимальный возраст пароля и исключительность пароля,
который предохраняет пользователя от изменения его пароля на тот пароль,
который пользователь использовал недавно.
Дается
возможность также определить и другие аспекты политики учетных карточек:
-
должна ли происходить блокировка учетной карточки;
-
должны ли пользователи насильно отключаться от сервера по истечении часов начала
сеанса;
-
должны ли пользователи иметь возможность входа в систему, чтобы изменить свой
пароль.
Когда
разрешена блокировка учетной карточки, тогда учетная карточка блокируется в
случае нескольких безуспешных попыток начала сеанса пользователя, и не более,
чем через определенный период времени между любыми двумя безуспешными попытками
начала сеанса. Учетные карточки, которые заблокированы, не могут быть
использованы для входа в систему.
Если
пользователи принудительно отключаются от серверов, когда время его сеанса
истекло, то они получают предупреждение как раз перед концом установленного
периода сеанса. Если пользователи не отключаются от сети, то сервер произведет
отключение принудительно. Однако отключения пользователя от рабочей станции не
произойдет. Часы сеанса на предприятии не установлены, так как в успешной
деятельности заинтересованы все сотрудники и зачастую некоторые остаются
работать сверхурочно или в выходные дни.
Если
от пользователя требуется изменить пароль, то, когда он этого не сделал при
просроченном пароле, он не сможет изменить свой пароль. При просрочке пароля
пользователь должен обратиться к администратору системы за помощью в изменении
пароля, чтобы иметь возможность снова входить в сеть. Если пользователь не
входил в систему, а время изменения пароля подошло, то он будет предупрежден о
необходимости изменения, как только он будет входить.
Шифрованная
файловая система EFS
Windows
2000 предоставляет возможность еще больше защитить зашифрованные файлы и папки
на томах NTFS благодаря использованию шифрованной файловой системы EFS
(Encrypting File System). При работе в среде Windows 2000 можно работать только
с теми томами, на которые есть права доступа.
При
использовании шифрованной файловой системы EFS можно файлы и папки, данные
которых будут зашифрованы с помощью пары ключей. Любой пользователь, который
захочет получить доступ к определенному файлу, должен обладать личным ключом, с
помощью которого данные файла будут расшифровываться. Система EFS так же обеспечивает
схему защиты файлов в среде Windows 2000. Однако, на предприятии не используется
эта возможность, так как при использовании шифрования производительность работы
системы снижается.
3.4 Защита
информации от несанкционированного доступа
Выше
уже были указаны организационно-правовые аспекты защиты информации от
несанкционированного доступа и возможности Windows 2000 в этом плане. Теперь
остановлюсь чуть подробнее на других аспектах.
Информация,
циркулирующая в корпоративной сети весьма разнообразна. Все информационные
ресурсы разделены на три группы:
Сетевые
ресурсы общего доступа;
Информационные
ресурсы файлового сервера;
Информационные
ресурсы СУБД.
Каждая
группа содержит ряд наименований информационных ресурсов, которые в свою
очередь имеют индивидуальный код, уровень доступа, расположение в сети, владельца
и т.п.
Эта
информация важна для предприятия и его клиентов, поэтому она должна иметь
хорошую защиту.
Электронные
ключи
Все
компьютеры, работающие со сведениями, составляющими коммерческую тайну,
оборудованы дополнительными программно-аппаратными комплексами.
Такие
комплексы представляют собой совокупность программных и аппаратных средств
защиты информации от несанкционированного доступа.
Аппаратная
часть, подобных комплексов так называемый электронный замок представляет собой
электронную плату, вставляемую в один из слотов компьютера и снабженную
интерфейсом для подключения считывателя электронных ключей таких типов как:
Smart Card, Touch Memory, Proximity Card, eToken. Типичным набором функций,
предоставляемых такими электронными замками, является:
-
регистрации пользователей компьютера и назначения им персональных идентификаторов
(имен и/или электронных ключей) и паролей для входа в систему;
-
запрос персонального идентификатора и пароля пользователя при загрузке компьютера.
Запрос осуществляется аппаратной частью до загрузки ОС;
-
возможность блокирования входа в систему зарегистрированного пользователя;
-
ведение системного журнала, в котором регистрируются события, имеющие отношение
к безопасности системы;
-
контроль целостности файлов на жестком диске;
-
контроль целостности физических секторов жесткого диска;
-
аппаратную защиту от несанкционированной загрузки операционной системы с
гибкого диска,CD-ROM или USB портов;
-
возможность совместной работы с программными средствами защиты от несанкционированного
доступа.
Попечительская
защита данных
На
предприятии используется такой вариант защиты информации как попечительская
защита данных. Попечитель - это пользователь, которому предоставлены привилегии
или права доступа к файловым информационным ресурсам.
Каждый
сотрудник имеет одну из восьми разновидностей прав:
Read
- право Чтения открытых файлов;
Write
- право Записи в открытые файлы;
Open
- право Открытия существующего файла;
Create
- право Создания (и одновременно открытия) новых файлов;
Delete
- право Удаления существующих файлов;
Parental
- Родительские права:
-
право Создания, Переименования, Стирания подкаталогов каталога;
-
право Установления попечителей и прав в каталоге;
-
право Установления попечителей и прав в подкаталоге;
Search
- право Поиска каталога;
Modify
- право Модификации файловых атрибутов.
Для
предотвращения случайных изменений или удаления отдельных файлов всеми
работниками используется защита атрибутами файлов. Такая защита применяется в
отношении информационных файлов общего пользования, которые обычно читаются
многими пользователями. В защите данных используются четыре файловых атрибута:
Запись-чтение,
Только
чтение,
Разделяемый,
Неразделяемый.
Пароли
Как
я уже указывал, все компьютеры на предприятии защищены с помощью паролей.
Поскольку
на всех компьютерах организации установлен Microsoft Windows 2000 и Windows
Server 2003, то используется защита паролем операционной системы, которая устанавливается
администратором в BIOS, так как важнейшую роль в предотвращении несанкционированного
доступа к данным компьютера играет именно защита BIOS.
Модификация,
уничтожение BIOS персонального компьютера возможно в результате
несанкционированного сброса или работы вредоносных программ, вирусов.
В
зависимости от модели компьютера защита BIOS обеспечивается:
-
установкой переключателя, расположенного на материнской плате, в положение,
исключающее модификацию BIOS (производится службой технической поддержки подразделения
автоматизации);
-
установкой административного пароля в ПО SETUP.
Защита
BIOS от несанкционированного сброса обеспечивается опечатыванием корпуса
компьютера защитной голографической наклейкой.
Используются
два типа паролей доступа: административные и пользовательские.
При
установке административного и пользовательского паролей следует руководствоваться
следующими правилами:
-
пользовательский пароль пользователь компьютера выбирает и вводит единолично
(не менее 6-ти символов). Администратору информационной безопасности
запрещается узнавать пароль пользователя.
-
административный пароль (не менее 8-ми символов) вводится администратором
информационной безопасности. Администратору информационной безопасности запрещается
сообщать административный пароль пользователю.
В
том случае если компьютер оборудован аппаратно-программным средством защиты от
НСД, которое запрещает загрузку ОС без предъявления пользовательского персонального
идентификатора, пользовательский пароль допускается не устанавливать.
При
положительном результате проверки достоверности предъявленного пользователем
пароля:
-
система управления доступом предоставляет пользователю закрепленные за ним
права доступа;
-
пользователь регистрируется встроенными средствами регистрации (если они имеются).
Контроль
доступа в Интернет
Особое
внимание следует уделять доступу работников предприятия к сети Интернет.
Раньше
доступ к сети Internet осуществлялся со специализированного рабочего места,
называемого Интернет-киоском. Интернет-киоск не был подключен к корпоративной
сети предприятия.
В
подразделении, осуществлявшем эксплуатацию Интернет-киоска, велись:
-
журнал учета работ в сети Internet, в котором отражались: ФИО пользователя,
дата, время начала работ, продолжительность работ, цель работ, используемые
ресурсы, подпись;
-
журнал допуска, в котором отражались: ФИО пользователя, задачи, для решения
которых он допускается к работе в сети Internet, время проведения работ и
максимальная продолжительность, подпись руководителя.
Но
от этой практики впоследствии отказались. Сейчас все компьютеры корпоративной
сети имеют выход в Интернет.
Рост
спектра и объемов услуг, влекущие за собой потребность подразделений в информационном
обмене с внешними организациями, а также необходимость предоставления
удаленного доступа к информации через публичные каналы связи, значительно повышают
риски несанкционированного доступа, вирусной атаки и т.п.
3.5. Антивирусная защита
Учитываемые
факторы риска
Вирусы
могут проникать в машину различными путями (через глобальную сеть, через
зараженную дискету или флешку). Последствия их проникновения весьма неприятны:
от разрушения файла до нарушения работоспособности всего компьютера. Достаточно
всего лишь одного зараженного файла, чтобы заразить всю имеющуюся на компьютере
информацию, а далее заразить всю корпоративную сеть.
При
организации системы антивирусной защиты на предприятии учитывались следующие
факторы риска:
-
ограниченные возможности антивирусных программ
Возможность
создания новых вирусов с ориентацией на противодействие конкретным антивирусным
пакетам и механизмам защиты, использование уязвимостей системного и прикладного
ПО приводят к тому, что даже тотальное применение антивирусных средств с
актуальными антивирусными базами не дает гарантированной защиты от угрозы вирусного
заражения, поскольку возможно появление вируса, процедуры защиты от которого
еще не добавлены в новейшие антивирусные базы.
-
высокая интенсивность обнаружения критичных уязвимостей в системном ПО
Наличие
новых неустраненных критичных уязвимостей в системном ПО, создает каналы
массового распространения новых вирусов по локальным и глобальным сетям.
Включение в состав вирусов «троянских» модулей, обеспечивающих возможность
удаленного управления компьютером с максимальными привилегиями, создает не
только риски массового отказа в обслуживании, но и риски прямых хищений путем
несанкционированного доступа в автоматизированные банковские системы.
-
необходимость предварительного тестирования обновлений системного и антивирусного
ПО
Установка
обновлений без предварительного тестирования создает риски несовместимости
системного, прикладного и антивирусного ПО и может приводить к нарушениям в
работе. В то же время тестирование приводит к дополнительным задержкам в установке
обновлений и соответственно увеличивает риски вирусного заражения.
-
разнообразие и многоплатформенность используемых в автоматизированных системах
технических средств и программного обеспечения
Возможность
работы отдельных типов вирусов на различных платформах, способность вирусов к
размножению с использованием корпоративных почтовых систем или вычислительных
сетей, отсутствие антивирусных продуктов для некоторых конкретных платформ
делают в ряде случаев невозможным или неэффективным применение антивирусного
ПО.
-
широкая доступность современных мобильных средств связи, устройств хранения и
носителей информации большой емкости
Современные
мобильные средства связи позволяют недобросовестным сотрудникам произвести
несанкционированное подключение автоматизированного рабочего места к сети
Интернет, создав тем самым брешь в периметре безопасности корпоративной сети и
подвергнув ее информационные ресурсы риску массового заражения новым компьютерным
вирусом. Наличие доступных компактных устройств хранения и переноса больших
объемов информации создает условия для несанкционированного использования таких
устройств и носителей в личных, не производственных целях. Несанкционированное
копирование на компьютеры предприятия информации, полученной из непроверенных
источников, существенно увеличивает риски вирусного заражения.
-
необходимость квалифицированных действий по отражению вирусной атаки
Неквалифицированные
действия по отражению вирусной атаки могут приводить к усугублению последствий
заражения, частичной или полной утрате критичной информации, неполной
ликвидации вирусного заражения или даже расширению очага заражения.
-
необходимость планирования мероприятий по выявлению последствий вирусной атаки
и восстановлению пораженной информационной системы
В
случае непосредственного воздействия вируса на автоматизированную банковскую
систему, либо при проведении неквалифицированных лечебных мероприятий может
быть утрачена информация или искажено программное обеспечение.
В
условиях действия указанных факторов только принятие жестких комплексных мер
безопасности по всем возможным видам угроз позволит контролировать постоянно растущие
риски полной или частичной остановки бизнес процессов в результате вирусных заражений.
Пакет
Dr.Web
Для
антивирусной защиты был выбран пакет Dr.Web Enterprise Suite. Этот пакет обеспечивает
централизованную защиту корпоративной сети любого масштаба. Современное решение
на базе технологий Dr.Web для корпоративных сетей, представляет собой уникальный
технический комплекс со встроенной системой централизованного управления антивирусной
защитой в масштабе предприятия. Dr.Web Enterprise Suite позволяет администратору,
работающему как внутри сети, так и на удаленном компьютере (через сеть
Internet) осуществлять необходимые административные задачи по управлению
антивирусной защитой организации.
Основные
возможности:
Быстрое
и эффективное распространение сервером Dr.Web Enterprise Suite обновлений
вирусных баз и программных модулей на защищаемые рабочие станции.
Минимальный,
в сравнении с аналогичными решениями других производителей, сетевой трафик
построенных на основе протоколов IP, IPX и NetBIOS с возможностью применения
специальных алгоритмов сжатия.
Возможность
установки рабочего места администратора (консоли управления антивирусной
защитой) практически на любом компьютере под управлением любой операционной
системы.
Ключевой
файл клиентского ПО и сервера, по умолчанию, хранится на сервере.
Сканер
Dr.Web с графическим интерфейсом. Сканирует выбранные пользователем объекты на
дисках по требованию, обнаруживает и нейтрализует вирусы в памяти, проверяет
файлы автозагрузки и процессы.
Резидентный
сторож (монитор) SpIDer Guard. Контролирует в режиме реального времени все
обращения к файлам, выявляет и блокирует подозрительные действия программ.
Резидентный
почтовый фильтр SpIDer Mail. Контролирует в режиме реального времени все
почтовые сообщения, входящие по протоколу POP3 и исходящие по протоколу SMTP.
Кроме того, обеспечивает безопасную работу по протоколам IMAP4 и NNTP.
Консольный
сканер Dr.Web. Сканирует выбранные пользователем объекты на дисках по
требованию, обнаруживает и нейтрализует вирусы в памяти, проверяет файлы автозагрузки
и процессы.
Утилита
автоматического обновления. Загружает обновления вирусных баз и программных
модулей, а также осуществляет процедуру регистрации и доставки лицензионного
или демонстрационного ключевого файла.
Планировщик
заданий. Позволяет планировать регулярные действия, необходимые для обеспечения
антивирусной защиты, например, обновления вирусных баз, сканирование дисков
компьютера, проверку файлов автозагрузки.
Dr.Web
для Windows 5.0 обеспечивает возможность лечения активного заражения, включает
технологии обработки процессов в памяти и отличается вирусоустойчивостью. В
частности, Dr.Web способен обезвреживать сложные вирусы, такие как MaosBoot,
Rustock.C, Sector. Как отмечается, технологии, позволяющие Dr.Web эффективно
бороться с активными вирусами, а не просто детектировать лабораторные
коллекции, получили в новой версии свое дальнейшее развитие.
В
модуле самозащиты Dr.Web SelfProtect ведется полноценный контроль доступа и
изменения файлов, процессов, окон и ключей реестра приложения. Сам модуль
самозащиты устанавливается в систему в качестве драйвера, выгрузка и
несанкционированная остановка работы которого невозможны до перезагрузки
системы.
В
версии 5.0 реализована новая технология универсальной распаковки Fly-code, которая
позволяет детектировать вирусы, скрытые под неизвестными Dr.Web упаковщиками,
базируясь на специальных записях в вирусной базе Dr.Web и эвристических
предположениях поискового модуля Dr.Web о возможно содержащемся в упакованном
архиве вредоносном объекте.
Противостоять
неизвестным угрозам Dr.Web также помогает и технология несигнатурного поиска
Origins Tracing, получившая в новой версии свое дальнейшее развитие. Как
утверждают разработчики, Origins Tracing дополняет традиционные сигнатурный
поиск и эвристический анализатор Dr.Web и повышает уровень детектирования ранее
неизвестных вредоносных программ.
Кроме
того, по данным «Доктор Веб», Dr.Web для Windows способен не только детектировать,
но и эффективно нейтрализовать вирусы, использующие руткит-технологии. В версии
5.0 реализована принципиально новая версия драйвера Dr.Web Shield, которая позволяет
бороться даже с руткит-технологиями будущего поколения. В то же время, Dr.Web
способен полностью проверять архивы любого уровня вложенности. Помимо работы с
архивами, в Dr.Web для Windows версии 5.0 добавлена поддержка десятков новых
упаковщиков и проведен ряд улучшений при работе с упакованными файлами, в том
числе файлами, упакованными многократно и даже разными упаковщиками.
За
счет включения новых и оптимизации существующих технологий Dr.Web для Windows
разработчикам удалось ускорить процесс сканирования. Благодаря возросшему
быстродействию антивирусного ядра, сканер Dr.Web на 30% быстрее предыдущей
версии проверяет оперативную память, загрузочные секторы, содержимое жестких
дисков и сменных носителей, утверждают в компании.
Среди
новинок можно отметить HTTP-монитор SpIDer Gate. HTTP-монитор SpIDer Gate
проверяет весь входящий и исходящий HTTP-трафик, при этом совместим со всеми
известными браузерами, и его работа практически не сказывается на
производительности ПК, скорости работы в интернете и количестве передаваемых
данных. Фильтруются все данные, поступающие из интернета - файлы, аплеты,
скрипты, что позволяет скачивать на компьютер только проверенный контент.
Тестирование
пакета Dr.Web
Чтобы
удостовериться, что выбранный в качестве корпоративного антивирусного пакета
Dr.Web является действительно надежным средством, я изучил несколько обзоров
антивирусных программ и ознакомился с несколькими результатами тестов.
Результаты
теста по вероятностной методике (сайт antivirus.ru) отдают Dr.Web первое место
(Приложение Г).
По
результатам февральского тестирования антивирусных программ, проведенного
журналом Virus Bulletin, отечественный полифаг Dr. Web занял 8-е место среди
лучших антивирусов в мире. Программа Dr. Web показала абсолютный результат 100%
в важной и престижной (технологической) категории - по степени обнаружения
сложных полиморфных вирусов. Следует особо отметить, что в тестах журнала Virus
Bulletin 100%-го результата по обнаружению полиморфных вирусов программа Dr.
Web стабильно добивается (январь 2007, июль-август 2007 и январь 2008) уже
третий раз подряд. Такой стабильностью по этой категории не может похвастаться
ни один другой антивирусный сканер.
Высочайший
уровень в 100% достигнут программой Dr. Web также и в очень актуальной
категории - по обнаружению макро-вирусов.
Заключение
Прогресс
подарил человечеству великое множество достижений, но тот же прогресс породил и
массу проблем. Человеческий разум, разрешая одни проблемы, непременно
сталкивается при этом с другими, новыми. Вечная проблема - защита информации.
На различных этапах своего развития человечество решало эту проблему с присущей
для данной эпохи характерностью. Изобретение компьютера и дальнейшее бурное
развитие информационных технологий во второй половине 20 века сделали проблему
защиты информации настолько актуальной и острой, насколько актуальна сегодня
информатизация для всего общества. Главная тенденция, характеризующая развитие
современных информационных технологий - рост числа компьютерных преступлений и
связанных с ними хищений конфиденциальной и иной информации, а также материальных
потерь.
Сегодня,
наверное, никто не сможет с уверенностью назвать точную цифру суммарных потерь
от компьютерных преступлений, связанных с несанкционированных доступом к
информации. Это объясняется, прежде всего, нежеланием пострадавших компаний обнародовать
информацию о своих потерях, а также тем, что не всегда потери от хищения информации
можно точно оценить в денежном эквиваленте.
Причин
активизации компьютерных преступлений и связанных с ними финансовых потерь
достаточно много, существенными из них являются:
-
переход от традиционной "бумажной" технологии хранения и передачи
сведений на электронную и недостаточное при этом развитие технологии защиты
информации в таких технологиях;
-
объединение вычислительных систем, создание глобальных сетей и расширение
доступа к информационным ресурсам;
-
увеличение сложности программных средств и связанное с этим уменьшение их надежности
и увеличением числа уязвимостей.
Компьютерные
сети, в силу своей специфики, просто не смогут нормально функционировать и развиваться,
игнорируя проблемы защиты информации.
В
первой главе моей квалификационной работы были рассмотрены различные виды угроз
и рисков. Угрозы безопасности делятся не естественные и искусственные, а искусственные
в свою очередь делятся на непреднамеренные и преднамеренные.
К
самым распространенным угрозам относятся ошибки пользователей компьютерной
сети, внутренние отказы сети или поддерживающей ее инфраструктуры, программные
атаки и вредоносное программное обеспечение.
Меры
обеспечения безопасности компьютерных сетей подразделяются на: правовые
(законодательные), морально-этические, организационные (административные),
физические, технические (аппаратно-программные).
Во
второй главе ВКР мы подробно рассмотрели некоторые из физических, аппаратных и
программных способов защиты. К современным программным средствам защиты
информации относятся криптографические методы, шифрование дисков, идентификация
и аутентификация пользователя. Для защиты локальной или корпоративной сети от
атак из глобальной сети применяют специализированные программные средства:
брэндмауэры или прокси-серверы. Брэндмауэры – это специальные промежуточные
серверы, которые инспектируют и фильтруют весь проходящий через них трафик
сетевого/ транспортного уровней. Прокси-сервер – это сервер-посредник, все
обращения из локальной сети в глобальную происходят через него.
Организация
надежной и эффективной системы архивации данных также является одной из
важнейших задач по обеспечению сохранности информации в сети. Для обеспечения
восстановления данных при сбоях магнитных дисков в последнее время чаще всего
применяются системы дисковых массивов - группы дисков, работающих как единое устройство,
соответствующих стандарту RAID.
Для
выявления уязвимых мест с целью их оперативной ликвидации предназначен сервис
анализа защищенности. Системы анализа защищенности (называемые также сканерами
защищенности), как и рассмотренные выше средства активного аудита, основаны на
накоплении и использовании знаний. В данном случае имеются в виду знания о
пробелах в защите: о том, как их искать, насколько они серьезны и как их
устранять.
В
третьей главе ВКР мною рассмотрены методы и средства защиты информации в
телекоммуникационных сетях предприятия Вестел. Кратко описав предприятие и его
корпоративную сеть, я остановился на организационно-правовом обеспечении
защиты, подробно рассмотрел защитные возможности операционной системы Windows
2003 Server, используемой на предприятии. Очень важно защитить корпоративную
сеть от несанкционированного доступа. Для этого на предприятии используются
электронные ключи, организована попечительская защита данных, установлены
пароли, осуществляется контроль доступа в Интернет.
Чтобы
исключить заражение корпоративной сети компьютерными вирусами, Вестел
использует пакет антивирусных программ Dr.Web Enterprise Suite. Преимуществами
этого пакета являются:
Масштабируемость;
Единый
центр управления;
Низкозатратное
администрирование;
Экономия
трафика локальной сети;
Широкий
спектр поддержки протоколов.
К
этому следует добавить привлекательность цены.
Чтобы
удостовериться, что выбранный в качестве корпоративного антивирусного пакета
Dr.Web является лучшим решением, я изучил несколько обзоров антивирусных программ
и ознакомился с результатами нескольких тестов. Результаты теста по вероятностной
методике (сайт antivirus.ru) отдают Dr.Web первое место, а журнал Virus
Bulletin ставит Dr. Web на 8-е место среди лучших антивирусов в мире.
Проанализировав
доступную мне информацию об организации защиты корпоративной сети Вестела, я
сделал следующий вывод:
Вестел
это крупное предприятие со своей четко организованной системой безопасности.
Специалисты предприятия создали грамотную и надежно работающую систему защиты.
Мне сложно что-либо предлагать для усовершенствования ее технологий. Разумеется,
можно выделить наиболее действенные меры защиты информации в сетях это:
-
разграничение полномочий;
-
использование лицензионного ПО;
-
идентификация и аутентификация пользователей;
-
резервное копирование;
-
хорошее антивирусное программное обеспечение;
-
регулярное обновление антивирусной базы.
В
этом случае степень защиты информации значительно возрастет.
Глоссарий
|
№
|
Понятие
|
Содержание
|
|
1
|
Абонент сети
|
лицо, являющееся сотрудником
учреждения (предприятия), имеющее соответствующим образом оформленное
разрешение и технические возможности на подключение и взаимодействие с
Сетями.
|
|
2
|
Блокирование компьютерной информации
|
физическое воздействие на компьютерную
информацию, ее машинный носитель и (или) программно-технические средства ее
обработки и защиты, результатом которого явилась временная или постоянная
невозможность осуществлять какие-либо операции над компьютерной информацией.
|
|
3
|
Вредоносная программа для ЭВМ
|
программа для ЭВМ, приводящая к несанкционированному
уничтожению, блокированию, модификации либо копированию информации, нарушению
работы ЭВМ, системы ЭВМ или их сети без предварительного предупреждения пользователя
о характере действия программы и не запрашивающая его разрешения на
реализацию программой своего назначения.
|
|
4
|
Достоверность передачи информации
|
соответствие принятого сообщения
переданному. Определяет степень вероятности отсутствия ошибок в полученном
сообщении.
|
|
5
|
Зашифрованный диск
|
файл-контейнер, внутри которого могут
находиться любые другие файлы или программы (они могут быть установлены и запущены
прямо из этого зашифрованного файла)
|
|
6
|
Категорирование защищаемой информации
(объекта защиты)
|
установление градаций важности защиты
защищаемой информации (объекта защиты).
|
|
7
|
Компьютерный вирус
|
фрагмент исполняемого кода, который
копирует себя в другую программу (главную программу), модифицируя ее при
этом. Дублируя себя, вирус заражает другие программы. Вирус выполняется
только при запуске главной программы и вызывает ее непредсказуемое поведение,
приводящее к уничтожению и искажению данных и программ
|
|
8
|
Криптография
|
специальная система изменения
открытого письма с целью сделать текст понятным лишь для тех лиц, которые
знают эту систему; тайнопись (от греч. "криптос" - скрытый и
"графо" - пишу).
|
|
9
|
Криптографический протокол
|
совокупностью действий (инструкций, команд,
вычислений, алгоритмов), выполняемых в заданной последовательности двумя или
более объектами (субъектами) криптографической системы для достижения следующих
целей: обмена ключевой информацией с последующей установкой засекреченного режима
передачи и приема сообщений; аутентификации; авторизации. Субъекты криптографической
системы - это люди (пользователи), а объекты - автоматы (технические устройства).
|
|
10
|
Межсетевой экран (МЭ)
|
это локальное (однокомпонентное) или
функционально-распределенное программное (программно-аппаратное) средство (комплекс),
реализующее контроль за информацией, поступающей в КС и/или выходящей из КС.
МЭ обеспечивает защиту КС посредством фильтрации информации, т.е. ее анализа
по совокупности критериев и принятия решения о ее распространении в/из КС на
основе заданных правил, проводя таким образом разграничение доступа субъектов
из одной КС к объектам другой КС.
|
|
11
|
Нарушение безопасности информации
|
событие, при котором компрометируется
один или несколько аспектов безопасности информации (доступность,
конфиденциальность, целостность и достоверность)
|
|
12
|
Пароль
|
секретная строка символов,
предъявляемая пользователем компьютерной системе для получения доступа к
данным и программам. Пароль является средством защиты данных от несанкционированного
доступа
|
|
13
|
Правило доступа к информации
|
правило доступа: совокупность правил,
регламентирующих порядок и условия доступа субъекта к информации и ее
носителям.
|
|
14
|
Технический канал утечки информации
|
совокупность объекта технической
разведки, физической среды распространения информативного сигнала и средств,
которыми добывается защищаемая информация.
|
|
15
|
Файловый вирус
|
компьютерный вирус, прикрепляющий себя
к файлу или программе, и активизирующийся при каждом использовании файла
|
|
16
|
Электронное сообщение
|
информация, переданная или полученная
пользователем информационно-телекоммуникационной сети.
|
Список использованных источников
1.
Андреев Б. В. Защита прав и
свобод человека и гражданина в информационной сфере // Системы безопасности, №
1, 2002. C. 10–13
2.
Байбурин В.Б., Бровкова М.Б.,
Пластун И.Л., Мантуров А.О., Данилова Т.В., Макарцова Е.А. Введение в защиту
информации. Учебное пособие (Серия "Профессиональное образование"),
(ГРИФ). - М.:"Инфра-М", 2004. - 128 с.
3.
Балдин В.К., Уткин В.Б.
Информатика: Учеб. для вузов. - М.: Проект, 2003. - 304 с.
4.
Бармен С. Разработка правил
информационной безопасности. - М.: Издательский дом "Вильямс", 2002.
- 208 с.
5.
Бачило И. Л., Лопатин В. Н.,
Федотов М. А. Информационное право.– Спб.: Изд-во «Юридический центр Пресс»,
2001.
6.
Биячуев Т.А. Безопасность
корпоративных сетей. Учебное пособие / под ред. Л.Г.Осовецкого - СПб.: СПбГУ
ИТМО, 2004. - 161 с.
7.
Блэк У. Интернет: протоколы
безопасности. Учебный курс. - СПб.: Питер, 2001. - 288 с.: ил.
8.
Бождай А.С., Финогеев А.Г.
Сетевые технологии. Часть 1: Учебное пособие. - Пенза: Изд-во ПГУ, 2005. - 107
с.
9.
Бэнкс М. Информационная защита
ПК (с CD-ROM). - Киев: "Век", 2001. - 272 с.
10.
Василенко О.Н.
Теоретико-числовые алгоритмы в криптографии. - М.: Московский центр
непрерывного математического образования, 2003. - 328 с.
11.
Вихорев С. В., Кобцев Р. Ю.
Как узнать – откуда напасть или откуда исходит угроза безопасности информации
// Защита информации. Конфидент, № 2, 2002.
12.
Вычислительные системы, сети и
телекоммуникации: Учебник. - 2-е изд., перераб. и доп. / Под ред. А.П.
Пятибратова. - М.: Финансы и статистика, 2003.
13.
Галатенко В.А. Стандарты
информационной безопасности. - М.: Изд-во "Интернет-университет
информационных технологий - ИНТУИТ.ру", 2004. - 328 c.: ил.
14.
Гошко С.В. Энциклопедия по
защите от вирусов. - М.: Изд-во "СОЛОН-Пресс", 2004. - 301 с.
15.
Денисов А., Белов А., Вихарев
И. Интернет. Самоучитель. - СПб.: Питер, 2000. - 464 с.: ил.
16.
Журнал «Компьютерра» №2 (766)
январь 2009г.
17.
Зима В., Молдовян А., Молдовян
Н. Безопасность глобальных сетевых технологий. Серия "Мастер". -
СПб.: БХВ-Петербург, 2001. - 320 с.: ил.
18.
Зубов А.Ю. Совершенные шифры.
- М.: Гелиос АРВ, 2003. - 160 с., ил.
19.
Касперски К. Записки
исследователя компьютерных вирусов. - СПб.: Питер, 2004. - 320 с.: ил.
20.
Козлов Д.А. Энциклопедия
компьютерных вирусов. - М.: Изд-во "СОЛОН-Пресс", 2001. - 457 с.
21.
Коул Э. Руководство по защите
от хакеров. - М.: Издательский дом "Вильямс", 2002. - 640 с.
22.
Лапонина О.Р.
Криптографические основы безопасности. - М.: Изд-во "Интернет-университет
информационных технологий - ИНТУИТ.ру", 2004. - 320 c.: ил.
23.
Лапонина О.Р. Основы сетевой
безопасности: криптографические алгоритмы и протоколы взаимодействия. - М.:
Изд-во "Интернет-университет информационных технологий - ИНТУИТ.ру",
2005. - 608 c.: ил.
24.
Мак-Клар С., Скембрей Дж.,
Курц Дж. Секреты хакеров. Безопасность сетей - готовые решения. 2-е издание. -
М.: Издательский дом "Вильямс", 2001. - 656 с.
25.
Мамаев М., Петренко С.
Технологии защиты информации в Интернете. Специальный справочник. - СПб.:
Питер, 2001. - 848 с.: ил.
26.
Медведовский И.Д. Атака из
Internet. - М.: Изд-во "СОЛОН-Пресс", 2002. - 368 с.
27.
Микляев А.П., Настольная книга
пользователя IBM PC 3-издание М.:, "Солон-Р", 2000, 720 с.
28.
Норткат С., Новак Дж.
Обнаружение нарушений безопасности в сетях. 3-е изд. - М.: Издательский дом
"Вильямс", 2003. - 448 с.
29.
Оглрти Т. Firewalls.
Практическое применение межсетевых экранов – М.: ДМК, 2003. – 401 с.
30.
Олифер В., Олифер Н.
Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 2-е изд.
- СПб.: Питер, 2002. - 864 с.: ил.
31.
Партыка Т.Л., Попов И.И.
Информационная безопасность. - М.:"Инфра-М", 2002. - 368 с.
32.
Пархоменко П. Н., Яковлев С.
А., Пархоменко Н. Г. Правовые аспекты проблем обеспечения информационной
безопасности.– В сб. Материалы V Международной научно-практической конференции
«Информационная безопасность».– Таганрог: ТРТУ, 2003.
33.
Персональный компьютер: диалог
и программные средства. Учебное пособие. Под ред. В.М. Матюшка - М.: Изд-во
УДН, 2001.
34.
Пятибpатов А. П. Вычислительные
системы, сети и телекоммуникации:Учебник; Под pед. А. П. Пятибpатова. - 2-е
изд., пеpеpаб. и доп. - М.:Финансы и статистика,2003. - 512 с.:ил. - Библиогp.:
с. 495.
35.
Расторгуев С. П. Философия
информационной войны.– М.: Вузовская книга, 2001.– 468 с.
36.
Симонис Д. и др. Check Point
NG. Руководство по администрированию. - М.: ДМК Пресс, 2004. - 544 с.
37.
Симонович С.В., Евсеев Г.А.,
Мураховский В.И. Вы купили компьютер: Полное руководство для начинающих в
вопросах и ответах. - М.: АСТ-ПРЕСС КНИГА; Инфорком-Пресс, 2001,- 544 с.: ил.
38.
Столлингс В. Криптография и
защита сетей: принципы и практика. 2-е издание. - М.: Издательский дом
"Вильямс", 2001. - 672 с.
39.
Цвики Э., Купер С., Чапмен Б.
Создание защиты в Интернете (2 издание). - СПб.: Символ-Плюс, 2002. - 928 с.
40.
Ярочкин В.И. Информационная
безопасность. - М.: Изд-во "Академический проект", 2004. - 640 с.
41.
Коул Э. Руководство по защите
от хакеров. - М.: Издательский дом "Вильямс", 2002.
42.
Казарин О.В. Безопасность
программного обеспечения компьютерных систем. – М: МГУЛ, 2003.
43.
Костров А.В. Уроки
информационного менеджмента. Практикум. - М.: Финансы и статистика, 2005.
Список сокращений
СЭБ
- Служба экономической безопасности
АИБ
- Администратор информационной безопасности
АИС
- Автоматизированная информационная система
АРМ
- Автоматизированное рабочее место
АСУ
- Автоматизированная система управления
ГТ
- Государственная тайна
ДСП
- Для служебного пользования
ЗИ
- Защита информации
ИБ
- Информационная безопасность
ИР
- Информационный ресурс
ИТ
- Информационные технологии
КТ
- Коммерческая тайна
ЛВС
- Локальная вычислительная сеть
МЭ
- Межсетевой экран
НСД
- Несанкционированный доступ
ОИ
- Объект информатизации
ОС
- Операционная система
ПЭВМ
- Персональная электронная вычислительная машина
ПО
- Программное обеспечение
ПТС
- Программно-технические средства
СБП
- Служба безопасности предприятия
СВТ
- Средства вычислительной техники
СЗИ
- Система защиты информации
СКЗИ
- Средства криптозащиты информации
СОИ
- Система обработки информации
ТСОИ
- Техническое средство обработки информации
ЭЦП
- Электронная цифровая подпись
Приложение А
Классификация
угроз безопасности