Библиотека Интернет Индустрии I2R.ru |
|||
|
Защита от "ЭЛВИС+"Компания ЭЛВИС+ - системный
интегратор, специализирующийся в области систем информационной
безопасности, и разработчик серии программных продуктов
ЗАСТАВА для сетевой защиты. Имеет лицензию Гостехкомиссии при
Президенте РФ на деятельность в области защиты информации и
лицензию ФСБ на работу со сведениями, составляющими
государственную тайну, аккредитована ГТК для проведения
аттестации систем информационной безопасности. Торговая марка
Застава зарегистрирована в 1997 году. Все ПО Застава
сертифицировано ГТК, а VPN-продукты этой марки содержат
лицензированную технологию TrustWorks Systems
(www.trustworks.com), удостоенную награды как технология
нового тысячелетия (Technology Innovation for New Millennium
Award) на Всемирном экономическом форуме в Давосе в январе
2000 года. В ходе реализации проектов компания создала типовые решения по защите информационных ресурсов в распределенных сетях и выработала концепцию комплексного системного подхода к решению проблем информационной безопасности, которую в настоящее время применяет и продолжает развивать. Большое внимание она уделяет и вопросам правового обеспечения защиты информации. У ЭЛВИС+ много проектов для корпораций, имеющих либо
представительства в разных точках страны и даже земного шара,
либо сотрудников, перемещающихся по всему миру и отовсюду
подключающихся к корпоративной сети, либо и то и другое. Для
связи при этом используются публичные сети - интернет и
различные телефонные линии: стационарные, мобильные,
подключение из гостиниц. Так что описанная в задаче торговая
фирма, с точки зрения ЭЛВИС+, представляет собой довольно
типичный случай компании с распределенной сетью. Комплексное обследование Работу над системой защиты для нашей торговой фирмы специалисты ЭЛВИС+ рекомендуют начать с комплексного обследования фирмы и написания проекта. Стоимость обследования определяется исходя из объема трудозатрат; для нашей торговой фирмы он ориентировочно составит около трех человеко-месяцев. Продолжительность обследования будет зависеть от пожеланий заказчика, поскольку если это нужно сделать быстро, ЭЛВИС+ может сформировать несколько бригад сотрудников, которые будут параллельно обследовать все точки распределенной сети и т. д. Обследованию подлежат организационная структура, нормативно-распорядительная документация и сеть. По каждому из этих трех направлений ЭЛВИС+ подготавливает свои рекомендации. При обследовании организационной структуры предприятия представители ЭЛВИС+ изучают документы, определяющие его юридический статус, структуру подразделений, схему руководства и т. п. Рекомендации здесь могут касаться таких вопросов, как, например, разделение полномочий по защите между IT-отделом и службой безопасности (кстати, весьма болезненная проблема во многих фирмах). Вторым направлением обследования является анализ нормативно-распорядительной документации, относящейся к защите информации, - если, конечно, такие распоряжения издавались. Рекомендации представляют собой список документов, которые необходимо разработать. В дальнейшем ЭЛВИС+ может оказать заказчику и помощь в составлении этих документов. Наиболее важны приказы, констатирующие, что такая-то часть информации принадлежит фирме и является ее коммерческой, служебной или какой-то иной тайной, а также перечни составляющих тайну ресурсов. Ресурсы должны быть расклассифицированы по степени секретности - скажем, на особоважные, просто важные и т. д. Здесь возможны консультации со стороны ЭЛВИС+ по поводу статуса информации - целесообразно ли объявлять тот или иной ресурс составляющим тайну? Разумеется, компания всегда гарантирует сохранность информации клиента, и не было случая, чтобы она не выполнила своих обязательств. Обследование сети носит уже более технический характер. Оно начинается с построения информационной модели предприятия, отображающей структуру сети и процедуры, посредством которых создается, циркулирует, обрабатывается и хранится информация. Затем фиксируется состояние сети и определяются точки, где возможны атаки, попытки несанкционированного доступа и т. д. Если заказчик уже имеет технические средства защиты, ЭЛВИС+ может проверить их эффективность путем активного аудита, т. е. имитируя (естественно, в заранее оговоренных рамках) действия недоброжелателя. Почти весь нижеследующий материал посвящен рекомендациям,
относящимся к сети. Межсетевые экраны Построение системы защиты для торговой фирмы можно начать с межсетевых экранов. Они позволят решить большинство проблем взаимодействия с внешними сетями и функционирования Web-сайта, а также контролировать доступ сотрудников к ресурсам интернета, которыми многие пользуются в, скажем так, неслужебных целях. Система межсетевого экранирования допускает построение из нескольких "эшелонов". В качестве самого первого допустимо использовать списки доступа на маршрутизаторах - уже они дадут некоторую минимальную защиту. Затем специалисты ЭЛВИС+ рекомендуют установить в центральном офисе мощный полнофункциональный межсетевой экран, позволяющий не только отделить внутреннюю сеть от внешней, но и выделить буферную зону для обмена информацией между этими сетями; в такой зоне - ее называют "демилитаризованной" - стандартно размещается Web-сайт. Благодаря ее наличию внешние пользователи не попадут в корпоративную сеть, а будут по заданным правилам безопасности направлены через межсетевой экран на Web-сервер и к другим сервисам. Межсетевой экран способен противодействовать очень многим типам хакерских атак. Даже самое простое действие - разрешить доступ к Web-серверу только по протоколу HTTP - предотвращает огромное число попыток несанкционированного доступа, а экран Firewall-1 компании CheckPoint позволяет отражать в том числе и DoS-атаки. ЭЛВИС+ выпускает и собственный экран серии ЗАСТАВА, но для данной задачи специалисты компании скорее рекомендовали бы все-таки Firewall-1 или брандмауэр производства Cisco, поскольку на их базе можно обеспечить расширенное протоколирование с контролем действий пользователей и анализом атак извне. Оно будет третьим эшелоном защиты. Компания ISS (Internet Security Systems), предлагающая полный спектр продуктов для анализа уязвимости и обнаружения вторжений, выпускает специальный модуль к Firewall-1, который устанавливается в центре управления информационной безопасностью (о нем еще будет речь впереди). Этот модуль взаимодействует с межсетевым экраном, получая от него статистику и формируя стандартные отчеты, позволяющие узнать о загрузке соединения с интернетом, о попытках атак, о том, насколько эффективно те или иные сотрудники фирмы используют интернет, и т. п. Он также может оперативно реагировать на атаки и периодически проверять защищенность, имитируя атаку. Что касается экрана ЗАСТАВА, то у него меньше функций, но
зато он сертифицирован Гостехкомиссией при Президенте РФ на
отсутствие недекларированных возможностей, что позволяет
использовать его в организациях с высокими требованиями к
безопасности, и ЭЛВИС+ поставляет его главным образом в
государственные учреждения. VPN Перейдем теперь к другим офисам, имеющим выход в интернет. ЭЛВИС+ рекомендует, чтобы все подразделения осуществляли доступ к интернету централизованно, через главный офис. Добиться этого позволит виртуальная частная сеть - VPN, и в данном случае ЭЛВИС+ рекомендует семейство VPN-продуктов ЗАСТАВА собственной разработки. Для организации VPN нужно установить программу "ЗАСТАВА-Сервер" на коммуникационных серверах удаленных офисов, через которые происходит обмен информацией. В центральном офисе на той же машине, что и Firewall-1, устанавливается "ЗАСТАВА-Офис". В результате мы получаем защищенный канал непосредственно до межсетевого экрана на выходе в интернет. Поскольку технология VPN основана на стандартном протоколе IPSec, VPN-продукты совместимы между собой: например, с продуктом "ЗАСТАВА-Сервер" для Windows NT вполне может работать клиентская программа IPSec 9000 производства Hewlett-Packard, предназначенная для ОС HP-UX. Последняя версия ЗАСТАВЫ - 3.3 - выпускается в вариантах для SUN Solaris 7 и 8, а также Windows 98, NT и 2000. Вариант для Windows 95 не распространяется, однако существует и может быть предоставлен по запросу, так что с ЗАСТАВОЙ для складов (если там почему-либо обязательно нужно сохранить Windows 95) проблем не возникнет. Но ЭЛВИС+, конечно, рекомендует обновить операционную систему, заменив ее на более современную и безопасную. В ЗАСТАВЕ 3.3 появилось важное нововведение - центр управления средствами защиты, позволяющий одному-единственному системному администратору со своей консоли настраивать и конфигурировать средства защиты во всей распределенной VPN-сети. Соответствующий продукт произведен компанией TrustWorks Systems и называется Trusted Global Security Manager. Он способен управлять всеми агентами VPN-продуктов ЗАСТАВА (т. е. программами "ЗАСТАВА-Клиент", "ЗАСТАВА-Сервер" и "ЗАСТАВА-Офис") независимо от платформы. Trusted Global Security Manager устанавливается на отдельный компьютер с Windows 2000, который должен быть достаточно мощным и иметь средства обеспечения отказоустойчивости (запасной блок питания, UPS, второй жесткий диск и т. д.), чтобы центр управления был постоянно наготове. Еще одна интересная особенность версии 3.3 - наличие во всех агентах встроенного минимального набора функций межсетевого экрана. Поэтому если в каких-то точках окажется неудобно работать с интернетом через VPN и центральный офис, в них можно будет пользоваться прежним доступом, но уже в защищенном режиме. Впрочем, ЭЛВИС+ рекомендует такой вариант только как временный. Дополнительно в состав VPN-продуктов ЗАСТАВА могут входить
средства гарантированной идентификации пользователя. Для
идентификации можно использовать дискеты, смарт-карты,
USB-ключи, но самый надежный вариант - системы биометрического
распознавания. Разграничение доступа внутри сети При построении системы защиты необходимо разграничить права пользователей на доступ к информационным ресурсам. Наша торговая фирма, как считают специалисты ЭЛВИС+, могла бы здесь пойти двумя путями: либо сегментировать сеть, либо двигаться от применяемых технологий. По-видимому, фирме стоило бы модернизировать свои безнадежно устаревшие локальные сети, установить коммутаторы, поддерживающие VLAN, и сегментировать сеть на основе виртуальных локальных сетей. Однако можно разделить информационные потоки и с помощью технологии VPN (целесообразно ли это, выясняется при обследовании): на все рабочие станции устанавливается "ЗАСТАВА-Клиент", на серверы -"ЗАСТАВА-Сервер", и трафик каждого пользователя оказывается столь же недоступным для остальных, как и в случае применения коммутаторов. Проекты, где ЗАСТАВА установлена на каждой машине, действительно существуют; они разрабатывались для организаций с очень серьезными требованиями к безопасности. Возможен и смешанный вариант: в зоне сети, где циркулирует наиболее важная информация, используется VPN, в остальной сети - VLAN. Под движением "от технологии" имеется в виду следующее. Во многие прикладные программы встроены очень неплохие функции обеспечения безопасности, которыми, разумеется, нужно пользоваться. Для этого специалисты ЭЛВИС+ на этапе аудита оценивают, насколько хорошо встроенные функции используемых программных продуктов способны обеспечивать конфиденциальность, целостность, доступность, разграничение прав пользователей и т. п., и если соответствующие средства достаточно развиты, дают рекомендации по их применению. Например, СУБД Oracle имеет режим защищенного обмена информацией - естественно, это нужно использовать. Протоколирование, которое есть во многих СУБД, также должно быть использовано, чтобы случаи несанкционированного доступа хотя бы регистрировались - тогда по ним можно провести служебное расследование. Если же аудит показывает, что встроенных защитных функций недостаточно, их можно усилить с помощью специальных дополнительных средств. Для компьютеров с Windows 95/98 при невозможности переустановить на них ОС необходимы специальные средства защиты от несанкционированного доступа. Если же замена операционной системы допустима, ее лучше произвести. Требование о сохранении рабочего окружения пользователей
независимо от их местонахождения можно выполнить просто с
помощью встроенных средств Windows NT/2000/XP. Для Windows
95/98 понадобятся дополнительные средства авторизации. Защита от вредоносных программ Для защиты от вирусов, "троянских коней" и т. п. необходимо в первую очередь ввести меры предосторожности при работе с интернетом и электронной почтой: именно они на настоящий момент являются главными каналами распространения вредоносных программ. Следует отключить Java-апплеты и приложения ActiveX в браузерах, автоматическую распаковку вложений в почтовых программах и т. д., о чем руководство должно издать соответствующее распоряжение. Конечно, это будет ограничение, но оно избавит фирму от многих неприятностей. Если к административным мерам прибегать не хочется, то рекомендованный выше пакет Firewall-1 может сопрягаться со специализированным антивирусным шлюзом. Эта программа устанавливается на отдельную машину и фильтрует как почтовый трафик (SMTP), так и другие интернет-трафики (протоколы HTTP и FTP). Но антивирусное ПО, разумеется, тоже нужно, поскольку кроме
двух названных главных каналов - интернета и электронной почты
- вирусы могут распространияться и по другим. С точки зрения
функциональности имеющиеся на рынке антивирусы практически
эквивалентны, так что выбор зависит от того, какой пакет лучше
подходит к данной информационной системе: не вызывает
значительного замедления работы сети, не конфликтует с
имеющимися программами и т. д. Желательно использовать
продукт, допускающий централизованное администрирование;
пользователи не должны иметь возможности менять настройку
антивирусной программы на своей машине. Надежность защиты Каким образом обеспечивать надежность работы системы безопасности? Это зависит от степени критичности сервисов, предоставляемых фирмой. В обычном случае специалисты ЭЛВИС+ считают, что для центра управления защитой достаточно просто качественной аппаратной платформы со стандартным набором средств повышения отказоустойчивости, а если требования очень высокие, рекомендуют использовать резервный сервер в "холодном" или "горячем" режиме. Желательно также, чтобы этот центр находился в отдельном помещении, в котором целесообразно поместить также межсетевой экран и другие средства защиты информации и управления информационной безопасностью; туда будет иметь доступ администратор по безопасности. Следует предусмотреть систему резервирования важной
информации, относящейся к защите, скажем паролей, чтобы ее
легко было восстановить в случае утраты. Очень серьезным
организациям, возможно, следует рассмотреть вопрос о режимном
помещении для серверов защиты. Жизнь в безопасности Проекты систем безопасности, подготовленные ЭЛВИС+, всегда разбиваются на этапы в зависимости от срочности, так что заказчик может решить сначала самые неотложные проблемы защиты, а затем постепенно усовершенствовать защиту по мере того, как у него будет появляться возможность. Каждый этап сдается отдельно, при этом проводятся приемосдаточные испытания по согласованной методике. Затем внедренные на данном этапе средства защиты поступают в опытную эксплуатацию, а через положенное время переводятся в промышленную. Главная цель опытной эксплуатации - помочь сотрудникам фирмы или организации адаптироваться к новым условиям работы. ЭЛВИС+ организует обучение специалистов заказчика, но его обычно недостаточно - необходима практика. По наблюдениям специалистов ЭЛВИС+, рядовые сотрудники поначалу обычно скорее недовольны внедрением системы безопасности - просто потому, что они не любят никаких изменений. И чтобы это внедрение было успешным, необходима очень высокая активность руководства. Собственно, инициатива также всегда исходит в первую очередь именно от него. После того как люди освоятся с защитой, их отрицательная реакция исчезает. И нельзя не признать, что, узнав о возможности мониторинга путешествий по интернету, многие начинают проводить меньше времени на посторонних сайтах и больше заниматься своим делом. |
|
2000-2008 г. Все авторские права соблюдены. |
|