авторефераты диссертаций БЕСПЛАТНАЯ БИБЛИОТЕКА РОССИИ

КОНФЕРЕНЦИИ, КНИГИ, ПОСОБИЯ, НАУЧНЫЕ ИЗДАНИЯ

<< ГЛАВНАЯ
АГРОИНЖЕНЕРИЯ
АСТРОНОМИЯ
БЕЗОПАСНОСТЬ
БИОЛОГИЯ
ЗЕМЛЯ
ИНФОРМАТИКА
ИСКУССТВОВЕДЕНИЕ
ИСТОРИЯ
КУЛЬТУРОЛОГИЯ
МАШИНОСТРОЕНИЕ
МЕДИЦИНА
МЕТАЛЛУРГИЯ
МЕХАНИКА
ПЕДАГОГИКА
ПОЛИТИКА
ПРИБОРОСТРОЕНИЕ
ПРОДОВОЛЬСТВИЕ
ПСИХОЛОГИЯ
РАДИОТЕХНИКА
СЕЛЬСКОЕ ХОЗЯЙСТВО
СОЦИОЛОГИЯ
СТРОИТЕЛЬСТВО
ТЕХНИЧЕСКИЕ НАУКИ
ТРАНСПОРТ
ФАРМАЦЕВТИКА
ФИЗИКА
ФИЗИОЛОГИЯ
ФИЛОЛОГИЯ
ФИЛОСОФИЯ
ХИМИЯ
ЭКОНОМИКА
ЭЛЕКТРОТЕХНИКА
ЭНЕРГЕТИКА
ЮРИСПРУДЕНЦИЯ
ЯЗЫКОЗНАНИЕ
РАЗНОЕ
КОНТАКТЫ


Pages:     | 1 | 2 || 4 |

«П. П. Парамонов, А. Г. Коробейников, И. Б. Троников, И. О. Жаринов Методы и модели оценки инфраструктуры системы защиты информации в корпоративных сетях ...»

-- [ Страница 3 ] --

— создать специальное подразделение, обеспечивающее разработку пра вил эксплуатации АС, реализующее полномочия пользователей по доступу к ресурсам этой системы, осуществляющее административную поддержку техни ческих средств защиты информации (правильную настройку, контроль и опера тивное реагирование на поступающие сигналы о нарушениях установленных правил доступа, анализ журналов регистрации событии безопасности и т п.);

— разработать технологию обеспечения информационной безопасности, предусматривающую порядок взаимодействия подразделений организации по вопросам обеспечения безопасности при эксплуатации АС и модернизации ее программных и аппаратных средств;

— внедрить данную технологию путем разработки и утверждения необхо димых нормативно-методических и организационно-распорядительных доку ментов (концепций, положений, инструкций и т.п.).

Применение дополнительных средств защиты информации затрагивает ин тересы многих структурных подразделений организации. Не столько даже тех, в которых работают конечные пользователи АС, сколько подразделений, отве чающих за разработку, внедрение и сопровождение прикладных задач, за об служивание и эксплуатацию средств вычислительной техники. Поэтому разра батываемая технология обеспечения информационной безопасности предпри ятия должна обеспечивать:

— дифференцированный подход к защите различных автоматизированных рабочих мест (АРМ) и подсистем (уровень защищенности должен определяться с позиций разумной достаточности с учетом важности обрабатываемой инфор мации и решаемых задач);

— унификацию вариантов применения средств защиты информации на АРМ с типизированными требованиями к уровню защиты;

— реализацию разрешительной системы доступа к ресурсам АС;

— минимизацию, формализацию (в идеале автоматизацию) и согласован ность действий различных подразделений предприятия по реализации требова ний существующих положений и инструкций;

— учет динамики развития АС, регламентацию не только стационарного процесса эксплуатации защищенных подсистем, но и процессов их модерниза ции, связанных с многочисленными изменениями аппаратно-программной конфигурации АРМ;

— минимизацию необходимого числа специалистов отдела защиты ин формации.

Для внедрения технологии обеспечения информационной безопасности корпоративных бизнес-процессов необходимо разработать:

— концепцию обеспечения информационной безопасности. Данный доку мент определяет общую систему взглядов в организации на проблему защиты информации в АС и пути решения этой проблемы с учетом накопленного опыта и современных тенденций ее развития;

— положение о категорировании. Данный документ определяет порядок категорирования защищаемых ресурсов и требования по защите ресурсов раз личных категорий;

— план защиты АС. Данный документ определяет комплекс конкретных организационно-технических мер по защите информации, а также незаконного вмешательства в процесс функционирования конкретной АС. План защиты включает описание технологии обработки данных в защищаемой подсистеме, анализ угроз и оценку риска нанесения ущерба, правила эксплуатации системы, необходимый набор инструкций должностным лицам (инструкция пользовате лю АС, инструкция администратору безопасности АС и т.д.), определяет поря док взаимодействия подразделений и должностных лиц при внесении измене ний в списки пользователей и программно-аппаратную конфигурацию АРМ, а также определяет распределение обязанностей и порядок составления, ведения и использования формуляров защищаемых ресурсов (информации, АРМ, задач и программных средств) в процессе развития АС [75].

Для решения указанных задач необходимо определить информационную инфраструктуру системы зашиты, т.е. осуществить синтез данной системы, ос новываясь на общей инфраструктуре бизнес-процессов. Для примера реализа ции методологи защиты информации рассмотрена отечественная фирма (далее предприятие), специализирующая на поставке продуктов питания, пищевых добавок и оборудования для пищевой промышленности.

В результате анализа деятельности предприятия были выявлены шесть ба зовых технологий работы и четыре общих, а также выделены четыре перспек тивных технологии работы.

К базовым технологиям относятся:

— поставка оборудования;

— поставка пищевых добавок и продуктов питания импортного производ ства;

— поставка и внедрение упаковки;

— гарантийное и техническое обслуживание оборудования;

— выдача лицензий;

— разработка технических условий.

Общие технологии — это функциональные модули, описывающие закон ченный процесс, который повторятся не менее чем в двух базовых технологиях и существует только совместно с ними.

Общие технологии, являющиеся неотъемлемыми частями базовых, вклю чают:

— консультирование;

— растаможивание/затаможивание товаров;

— рекламу и маркетинг;

— сертификацию.

Текущий этап развития информационной системы предприятия преду сматривает автоматизацию консультирования, сертификации, а также рекламы и маркетинга.

Базовые технологии работы включают не менее одной общей технологии.

Технологии работы определяются характером деятельности предприятия и существуют независимо от ее организационно-штатной структуры. Каждая технология работы состоит из последовательно и параллельно выполняющихся функций, которые могут различным образом конфигурироваться под конкрет ного исполнителя и любое должностное лицо посредством механизма полно мочий. Полномочия регулируют доступ пользователей к прикладным задачам, к информации БД и к обобщенным данным, характеризующим состояние про цессов деятельности предприятия.

Прикладная задача представляет собой программный модуль, поддержи вающий некий логически законченный процесс, направленный на учет данных и облегчение выполнения пользователями их обязанностей в рамках техноло гии работы.

Любая технология работы предприятия включает несколько прикладных задач, логически увязанных между собой путем использования в каждой сле дующей прикладной задаче результатов задач предыдущих, хранящихся в кор поративной базе данных.

В качестве примера прикладных задач по базовой технологии поставки оборудования можно выделить:

— учет клиентов предприятия (поддержание справочника клиентов в акту альном состоянии);

— учет оборудования и его спецификации (поддержание справочника обо рудования в актуальном состоянии);

— подготовка прайс-листов на оборудование;

— учет заявок на закупку оборудования;

— подготовка коммерческих предложений;

— поддержка процесса согласования с клиентом предмета сделки;

— формирование, учет и контроль исполнения бизнес-плана на поставку оборудования;

— формирование, учет и контроль схемы оплаты за оборудование;

— формирование схемы технологических линий (перечень требуемого оборудования);

— формирование, учет и контроль состояний договоров (приложений) на поставку, производство, сертификацию, доставку и страхование оборудования;

— обеспечение расчетов с клиентами предприятия;

— учет информации и документов по этапам поставки оборудования (заказ оборудования, производство, сертификация, страхование, доставка, монтаж, наладка, сдача в эксплуатацию и обучение персонала заказчика выпуску на нем продукции);

— учет платежей клиентов компании;

— поддержка процесса гарантийного обслуживания;

— подготовка материалов, поддерживающих процесс обучения;

— поддержка документооборота между АРМ должностных лиц.

Информационная система предприятия представляет собой разветвленную сеть, объединяющую локальные и удаленные рабочие места пользователей. Ос новными элементами ИС являются:

— локальная вычислительная сеть (ЛВС) центрального офиса предпри ятия;

— ЛВС филиала;

— интегрированная база данных.

ЛВС центрального офиса предприятия и филиала реализуется на основе архитектуры «клиент-сервер», объединяющей автоматизированные рабочие места сотрудников служб и подразделений.

Группы АРМ выделяются по функциональному признаку, с учетом выпол нения выделенных базовых, общих и перспективных бизнес-процессов, пер спективной организационной структуры предприятия, и ориентируются на де рево функций перспективной деятельности предприятия.

Состав АРМ ИС предприятия имеет следующий вид:

— АРМ руководителя:

— АРМ директора;

— АРМ заместителей директора (начальников служб);

— АРМ коммерческой службы:

— АРМ группы оборудования;

— АРМ группы пищевых добавок;

— АРМ группы упаковки;

— АРМ отдела продуктов питания;

— АРМ группы ВЭС и растаможивания;

— АРМ технической службы:

— АРМ группы ТУ и патентов;

— АРМ группы сертификации;

— АРМ группы рекламы и маркетинга;

— АРМ финансовой службы:

— АРМ бухгалтера;

— АРМ финансового отдела;

— АРМ экономического отдела;

— АРМ службы обеспечения:

— АРМ юриста;

— АРМ специалиста по работе с персоналом;

— АРМ общего отдела;

— АРМ отдела безопасности;

— АРМ отдела информатизации;

— АРМ службы логистики:

— АРМ службы клиентов;

— АРМ транспортного отдела;

— АРМ склада;

— АРМ службы производства:

— АРМ службы технического обслуживания;

— АРМ группы строительства;

— АРМ производственного отдела;

— АРМ группы качества продукции.

В процессе выполненного объединения информационных потоков входя щих и исходящих документов сформированы четыре типовые группы докумен тов:

— договорные документы;

— первичные бухгалтерские документы;

— документы поддержки бизнес-процессов;

— отчетные документы.

Каждая группа документов в зависимости от технологии работы предпри ятия характеризуется уникальным, присущим только ей, перечнем документов.

Например, для технологии поставки оборудования входящими и исходящими документами будут следующие:

— договорные документы;

— первичные бухгалтерские документы;

— документы поддержки бизнес-процессов.

Процедуры документооборота предназначены для автоматизации процес сов разработки, согласования и исполнений документов между службами и должностными лицами предприятия. Каждая процедура документооборота оп ределяет схему взаимодействия АРМ по каждой группе входящих и исходящих документов, а также этапность и направленность действий исполнителей и должностных лиц.

4.4. Автоматизированная система мониторинга и пути совершенствования инфраструктуры защиты информации промышленного предприятия Мониторинг инфраструктуры системы защиты информации бизнес процессов представляет собой комплекс мер и мероприятий (организационных, технических и правовых), направленных на проведение наблюдений, оценки и прогноза изменений в информационной инфраструктуре и ее компонентах.

Необходимость использования мониторинга определяется тем, что стан дартные средства и механизмы защиты информации недостаточны, так как они обеспечивают только базовые функции, не позволяя контролировать их выпол нение и работоспособность информационной системы в целом. Так, практиче ски во всех информационных системах, как минимум, необходимо отслеживать попытки регистрации в системе, ошибки в ПО, факты доступа к ресурсам, не штатные ситуации, снижение уровня защищенности и многое другое.

Мониторинг предназначен для выполнения функций контроля функциони рования информационных систем, систем передачи данных, средств и меха низмов защиты. Эффективность мониторинга зависит от правильной его орга низации. Предварительное изучение, оперативный контроль, анализ и обеспе чение механизмов реагирования позволяет не только выявить факт компьютер ной атаки или нарушения работоспособности, но и сформировать комплекс мер и мероприятий по предупреждению, локализации и устранению последствий.

Основной задачей системы мониторинга является контроль правильной реализации политики безопасности, а также формирование параметров и оцен ка состояния информационной безопасности бизнес-процессов.

Понятие мониторинг включает в себя следующие базовые принципы:

— наблюдение за факторами воздействия и состоянием информационных систем;

— оценку фактического состояния ИС;

— прогноз состояния ИС и оценку прогнозируемого состояния;

— обеспечение реагирования.

Система мониторинга включает в себя следующий комплекс мероприятий:

— выбор технических средств и методов анализа;

— методы сбора, регистрации и протоколирования;

— анализ;

— реагирование;

— представление и распространение информации.

Для обеспечения мониторинга используются как технические (технологи ческие), так и организационные и правовые методы. К техническим методам относятся:

— анализ защищенности;

— обнаружение несанкционированной активности;

— контроль информационных потоков;

— протоколирование и регистрация.

Организационные мероприятия по обеспечению мониторинга безопасно сти включают:

— создание и эксплуатацию системы обеспечения реагирования и восста новления, обеспечивающей ограничение масштабов ущерба информационной инфраструктуре на объектах повышенного риска (потенциально-опасных объ ектах) и жизнеобеспечения населения;

— создание и эксплуатацию системы обмена информацией о фактах и ме тодах, компьютерных нападений и несанкционированных вторжений в СЗИ;

— разработку требований (профилей) по безопасности информации, учи тывающих особенности функционирования информационных систем на объек тах;

— разработку программы сотрудничества с международными профильны ми центрами (CIAC, CERT, FIRST и другие) в части обмена информацией о фактах и методах компьютерных нападений и несанкционированных вторже ний в СЗИ.

При этом должно быть обеспечено взаимодействие между экспертами, ра ботающими в области информационной безопасности, организована подготовка и аттестация специалистов, разработан комплекс методического обеспечения.

Координирующую роль при организации системы мониторинга должны выполнять центры компетенции, специализированные структуры, организован ные в единую систему. В систему центров компетенции должны входить:

— центры компетенции, организованные по отраслевым, либо технологи ческим признакам;

— система взаимодействия по вопросам реагирования на инциденты ком пьютерной безопасности, нормативной и руководящей деятельности;

— система взаимодействия с профильными организациями и ведомствами;

— нормативно-руководящая и консультационная деятельность;

— научная и образовательная деятельность.

При создании центра компетенции в его составе должны быть предусмот рены следующие направления:

— тестирования технических средств;

— реагирования на инциденты компьютерной безопасности;

— сертификации и аттестации по отраслевым нормативным документам;

— лицензирования;

— экспертирования.

В России на проблемы обеспечения мониторинга информационной безо пасности начали обращать внимание только в последнее время, однако за ру бежом уже накоплен определенный практический опыт. При этом работы в данном направлении ведутся как общественными, так и государственными ор ганизациями (например, Computer Incident Advisory Capability, U.S., Department of Energy (CIAC), Forum of Incident Response and Security Team (FIRST), Com puter Emergency Response Team (CERT) Coordination Center), а также коммерче скими организациями.

В качестве основных требований к системам, обеспечивающим монито ринг информационной безопасности предприятий, могут быть выдвинуты сле дующие:

— полнота обнаружения атак;

— высокая производительность и масштабируемость СЗИ;

— минимум вероятности ложных тревог;

— умение объяснять причину «тревоги»;

— интеграция с системой управления и другими сервисами безопасности;

— наличие технической возможности удаленного мониторинга информа ционной системы.

Полнота обнаружения атак представляет собой очевидное требование.

Требование высокой производительности обусловлено желанием и необходи мостью обеспечения условий, при которых система мониторинга сама не поро ждала бы отказ в обслуживании при возрастании потока событий безопасности, вызванного, в том числе, и увеличением объема (масштабируемость) контроли руемых программно-аппаратных средств. Высокая производительность компь ютеров и пропускная способность современных каналов связи даже при доста точно малой интенсивности ложных тревог, например 10-7, приводит к тому, что администратор безопасности должен реагировать на десятки атак в течение часа. Собственно эти условия порождают требование необходимости объясне ния причин атаки, как средства, помогающего администратору отличить «лож ную тревогу» от реальной атаки. При реализации функций управления и серви сов безопасности необходимо избежать дублирования собираемых данных и производимых над ними предварительных операций обработки, например, очи стки данных, вычисления средних значений, что требует интеграции этих ком понентов.

В системах мониторинга информационной безопасности используются две основные стратегии (направления) сбора данных:

— сбор данных о поведении аппаратно-программных средств;

— сбор данных о поведении приложений и пользователей.

В случае использования первой стратегии собираются данные, вырабаты ваемые компонентами СЗИ, такие как значения полей передаваемых пакетов, количество пакетов разных протоколов, последовательности системных вызо вов, интенсивности обращений к системным вызовам, поля записей в базах данных, поля в принятых пакетах, векторы прерываний и так далее. При этом из пакетов может выделяться содержимое разных сетевых уровней, произво диться дефрагментация пакетов для получения возможности анализа их полно го содержимого и выполняться реконструкция потоков пакетов для получения возможности учета информации о развитии атаки.

При использовании второй стратегии собираемые данные представляют собой последовательности команд, выдаваемых каждым пользователем или приложением, интенсивности выдачи команд и обращений к внешним устрой ствам для различных временных интервалов, а также другие данные, характе ризующие поведение пользователя или приложения.

К собираемым данным предъявляются следующие основные требования:

— полнота (обеспечение сбора всех значений требуемых данных, напри мер, всех системных вызовов без пропусков, возникающих из-за несовершенст ва применяемого метода и особенностей операционной системы);

— достоверность (обеспечение неискаженности данных, например, из-за отказов оборудования и действий злоумышленников);

— своевременность (возможность получения доступа к данным в реальном времени с целью выработки адекватной ответной реакции).

Описание с помощью адекватной математической модели поведения одно го из параметров системы, группы параметров или всей системы в целом по зволяет аналитически или с помощью численного моделирования дать ответы на вопросы о реальных сроках эксплуатации системы, эффективности настрой ки ее параметров, надежности, защищенности и ряда других характеристик.

При этом характеристики СЗИ в значительной степени зависят от особенностей используемого оборудования.

Цифровые телекоммуникационные системы и распределенные вычисли тельные комплексы в отличие от технических средств предыдущих поколений по своей архитектуре и принципам функционирования могут со сравнительно небольшими дополнительными затратами предоставлять к анализу гигантские объемы информации о происходящих в них процессах. Уже на первых этапах изучения этой информации специалисты стали обращать внимание на то, что получаемые ими данные по своей природе заметно отличаются от тех, с кото рыми они сталкивались ранее при передаче сигналов, в теории массового об служивания, электротехнике и других практически значимых направлениях.

Работы по этой тематике стали появляться в печати с начала 90-х годов про шлого века. К основным особенностям данных, которые обычно отмечаются в предметной области защиты информации, относятся:

— стохастичность большинства изучаемых характеристик, обусловленная принципами работы систем, а не помехами и ошибками измерений;

— отсутствие стационарности многих процессов как в «широком смысле»

слова (изменяющееся среднее значение и ковариационная функция), так и в «узком» (изменение характера одномерных и многомерных распределений со временем);

— отсутствие распределения Гаусса для наблюдаемых значений и возмож ности описания распределения каким-либо из хорошо известных параметриче ских семейств распределения вероятностей;

— частое «загрязнение» данных нехарактерными значениями (выбросами);

— самоподобие данных, приводящее к фрактальным процессам.

Указанные особенности данных резко сокращают возможности примене ния к их анализу традиционных математических алгоритмов, ставят под сомне ние целесообразность применения так называемых эффективных алгоритмов и алгоритмов, рассчитанных на свойства распределения Гаусса.

Кратко основные требования к математическим методам и алгоритмам, необходимым для анализа данных мониторинга компьютерных телекоммуни кационных систем, можно сформулировать следующим образом:

— устойчивость (робастность) к различным возможным отклонениям дан ных от исходных предположений, допущений;

— независимость от, как правило, неизвестного распределения данных;

— более детальный учет на уровне модели возможной динамики измене ния процесса.

Осуществляя мониторинг различных телекоммуникационных и распреде ленных вычислительных систем, решая различные актуальные задачи анализа сетевого трафика на протяжении последних лет [36, 76–82], были разработаны и апробированы на практике новые математические методы и алгоритмы ана лиза данных, отвечающие указанным выше требованиям. В частности, были разработаны и реализованы на практике алгоритмы:

— робастной знаковой процедуры оценки и прогноза динамики роста за грузки магистральных каналов телекоммуникационных сетей [79–82];

— однофакторного знакового оценивания внутрисуточных колебаний ско рости передачи данных конечным пользователям [76];

— оценивания сетевой активности пользователей компьютерных сетей [78];

— выделения статистическими методами нехарактерной сетевой деятель ности в задачах активного аудита [82].

Практика использования различных методов анализа данных в системах мониторинга показывает, что ни один из существующих методов не дает сего дня приемлемых значений ошибок первого и второго рода. Причем метод, дающий наименьшую ошибку, разный для разных наборов данных. Это служит основанием для попытки построения многокомпонентной системы мониторин га, в которой используется совместная работа нескольких систем мониторинга, применяющих разные методы выявления атак. Идея состоит в том, чтобы ис пользовать для анализа данных именно ту систему мониторинга, которая наи лучшим образом подходит для анализа этих данных. Для комбинирования ре зультатов нескольких систем мониторинга в составе многокомпонентной сис темы мониторинга должен использоваться решатель.

Представляется, что нейросети могут использоваться не только как аппа рат для выявления атак, но и как средство построения решателей, создание ко торых является основной проблемой при развитии многокомпонентных систем мониторинга.

В своей работе система мониторинга использует данные штатных журна лов регистрации, событий операционных систем и систем управления базами данных типовых и специализированных приложений в составе АС, средств и подсистем обеспечения информационной безопасности, а также специализиро ванных средств сбора первичных данных мониторинга.

Сбор и анализ материалов выполняется таким образом, что на элементы контролируемой системы не оказывается никаких блокирующих воздействий.

С целью получения первичных данных мониторинга определен перечень ОС, СУБД, а также перечень типовых и специализированных приложений, функционирующих в составе АС промышленного предприятия, данные журна лов (протоколов) которых подлежат анализу системой мониторинга:

— ОС Novell NetWare 4.x;

— ОС Windows 9x/NT/2000;

— СУБД Оrас1е 8 и Оrас1е 9 Server;

— СЗИ Secret Net 3.x;

— СЗИ Secret Net 4.x;

— CЗИ Spectr-Z;

— журналы событий syslog;

— Microsoft Exchange Server 5.5 и др.

Иерархия системы мониторинга приведена на рис. 4.2.

Система мониторинга Подсистема Подсистема сбора и обработки Подсистема База данных фильтрации данных визуализации системы данных аудита аудита и отчетности мониторинга Рис. 4.2. Схема иерархии системы мониторинга состояния информационной безопасности промышленного предприятия Основной функцией, реализуемой системой мониторинга, является авто матизированный анализ первичных данных с целью оценки состояния инфор мационной безопасности контролируемой системы. В рамках реализации этой функции система мониторинга обеспечивает:

— автоматизированную настройку журналов регистрации событий под контрольных ОС/СУБД на фиксацию данных, необходимых для проведения мониторинга контролируемой системы;

— съем (регистрацию) первичных данных мониторинга с объектов наблю дения;

— первичную фильтрацию данных аудита;

— выделение параметров, характеризующих действия субъектов, и сохра нение их в базе данных системы мониторинга;

— анализ данных журналов регистрации событий в оперативном режиме;

— отображение текущего состояния (on-line) контролируемой системы;

— анализ деятельности субъектов в базисе используемых ими ресурсов, проецируемых на данные аудита;

— проведение детализированных «расследований» деятельности наблю даемых субъектов за период их работы;

— графическое представление результатов анализа данных аудита;

— формирование отчетных форм по результатам «расследования» дея тельности наблюдаемых субъектов;

— просмотр и распечатку всех формируемых отчетных форм.

4.5. Выводы 1. Разработана имитационная модель как инструментальный метод оценки и прогнозирования уровня защищенности информации на промышленном предприятии.

2. Проведен синтез инфраструктуры системы защиты информации про мышленного предприятия.

3. Предложена автоматизированная система мониторинга безопасности информационных активов, направленная на оценку и анализ текущего состоя ния показателей информационной безопасности, а также выработку необходи мых корректирующих воздействий на инфраструктуру системы защиты ин формации предприятия.

ГЛАВА БЕЗОПАСНОСТЬ КОРПОРАТИВНЫХ СЕТЕЙ ПРОМЫШЛЕННЫХ ПРЕДПРИЯТИЙ 5.1. Основные проблемы безопасности корпоративных сетей на промышленном предприятии По мере развития и усложнения средств, методов и форм автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых им информационных технологий. Актуальность и важность проблемы обеспечения информационной безопасности (ИБ) обуслов лена следующими факторами:

— современные уровни и темпы развития средств ИБ значительно отстают от уровней и темпов развития информационных технологий;

— высокие темпы роста парка персональных компьютеров, применяемых в разнообразных сферах человеческой деятельности;

— доступность средств вычислительной техники, и, прежде всего персо нальных ЭВМ, привела к распространению компьютерной грамотности в широ ких слоях населения. Это, в свою очередь, вызвало многочисленные попытки вмешательства в работу государственных и коммерческих систем, как со злым умыслом, так и из чисто «спортивного интереса»;

— значительное увеличение объемов информации, накапливаемой, храни мой и обрабатываемой с помощью компьютеров и других средств автоматиза ции. По оценкам специалистов в настоящее время около 70-90% интеллектуаль ного капитала компании хранится в цифровом виде (текстовых файлах, табли цах, базах данных);

— многочисленные уязвимости в программных и сетевых платформах;

Стремительное развитие информационных технологий открыло новые возмож ности для бизнеса, однако привело и к появлению новых угроз. Современные программные продукты из-за конкуренции попадают в продажу с ошибками и недоработками. Разработчики, включая в свои изделия всевозможные функции, не успевают выполнить качественную отладку создаваемых программных сис тем. Ошибки и недоработки, оставшиеся в этих системах, приводят к случай ным и преднамеренным нарушениям ИБ. Например, причинами большинства случайных потерь информации являются отказы в работе программно аппаратных средств, а большинство атак на компьютерные системы основаны на найденных ошибках и недоработках в программном обеспечении;

— бурное развитие глобальной сети Интернет, практически не препятст вующей нарушениям безопасности систем обработки информации во всем ми ре. Подобная глобализация позволяет злоумышленникам практически из любой точки земного шара, где есть Интернет, за тысячи километров, осуществлять на падение на корпоративную сеть промышленных предприятий;

— современные методы накопления, обработки и передачи информации способствовали появлению угроз, связанных с возможностью потери, искаже ния и раскрытия данных, адресованных или принадлежащих конечным пользо вателям.

Реализация той или иной угрозы безопасности может преследовать сле дующие цели:

— нарушение конфиденциальности информации. Информация, хранимая и обрабатываемая в корпоративной сети, может иметь большую ценность для ее владельца. Использование конфиденциальной информации другими лицами наносит значительный ущерб интересам владельца;

— нарушение целостности информации. Потеря целостности информации (полная или частичная, компрометация, дезинформация) — угроза близкая к ее раскрытию. Ценная информация может быть утрачена или обесценена путем ее несанкционированного удаления или модификации. Ущерб от таких действий может быть много больше, чем при нарушении конфиденциальности;

— нарушение (частичное или полное) работоспособности корпоративной сети (нарушение доступности). Вывод из строя или некорректное изменение режимов работы компонентов корпоративной сети, их модификация или под мена могут привести к получению неверных результатов, отказу корпоративной сети от потока информации или отказам при обслуживании. Отказ от потока информации означает непризнание одной из взаимодействующих сторон факта передачи или приема сообщений. Имея в виду, что такие сообщения могут со держать важные донесения, заказы, финансовые согласования и т.п., ущерб в этом случае может быть весьма значительным.

Поэтому обеспечение ИБ корпоративных сетей является одним из ведущих направлений развития информационных технологий в промышленной сфере.

Корпоративная информационная система (сеть) — информационная сис тема, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы (из закона об Электронно-цифровой подписи).

Корпоративные сети (КС) относятся к распределенным компьютерным системам, осуществляющим автоматизированную обработку информации.

Проблема обеспечения ИБ является центральной для таких компьютерных сис тем. Обеспечение безопасности КС предполагает организацию противодейст вия любому несанкционированному вторжению в процесс функционирования КС, а также попыткам модификации, хищения, вывода из строя или разрушения ее компонентов, то есть защиту всех компонентов КС — аппаратных средств, программного обеспечения, данных и персонала.

Исследовательская компания Gartner Group выделяет 4 уровня зрелости компании с точки зрения обеспечения ИБ:

— 0 уровень:

— ИБ в компании никто не занимается, руководство компании не осознает важности проблем ИБ;

— финансирование работ по созданию СЗИ на предприятии отсут ствует;

— ИБ реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ре сурсам и сервисам). Наиболее типичным примером является компания с небольшим штатом сотрудников, занимающаяся, например, куп лей/продажей товаров. Все технические вопросы находятся в сфере от ветственности сетевого администратора, которым зачастую является студент высшего учебного заведения.

— 1 уровень:

— ИБ рассматривается руководством как чисто «техническая»

проблема, отсутствует единая программа (концепция, политика) разви тия системы обеспечения ИБ предприятия;

— финансирование ведется в рамках общего ИТ-бюджета;

— ИБ реализуется средствами нулевого уровня и средствами ре зервного копирования, используются антивирусные средства, межсете вые экраны, средства организации VPN (традиционные средства защи ты).

— 2 и 3 уровни:

— ИБ рассматривается руководством как комплекс организацион ных и технических мероприятий, существует понимание важности ИБ для производственных процессов, есть утвержденная руководством про грамма развития СОИБ компании;

— финансирование ведется в рамках отдельного бюджета;

— ИБ реализуется средствами первого уровня и средствами уси ленной аутентификации, используются средства анализа почтовых со общений и web-контента, IDS (системы обнаружения вторжений), средства анализа защищенности, SSO (средства однократной аутенти фикации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ риска, политика информа ционной безопасности, положения, процедуры, регламенты и руково дства).

Третий уровень отличается от второго следующим:

— ИБ является частью корпоративной культуры, назначен CISA (старший представитель по вопросам обеспечения ИБ);

— финансирование ведется в рамках отдельного бюджета, который со гласно результатам исследований аналитической компании Datamonitor в большинстве случаев составляет не более 5% ИТ-бюджета;

— ИБ реализуется средствами второго уровня и средствами системы управления ИБ, CSIRT (группа реагирования на инциденты нарушения ИБ), SLA (соглашение об уровне сервиса).

Таким образом, серьезный подход к вопросам обеспечения ИБ появляется только на 2-м и 3-м уровнях. На 1-м и частично 0-м уровне зрелости согласно данной классификации имеет место так называемый «фрагментарный» подход к обеспечению ИБ. «Фрагментарный» подход направлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать отдельные средства управления доступом, авто номные средства шифрования, специализированные антивирусные программы.

Достоинство этого подхода заключается в высокой избирательности к кон кретной угрозе. Существенным недостатком подхода является отсутствие еди ной защищенной среды обработки информации.

Фрагментарные меры защиты информации обеспечивают защиту конкрет ных объектов КС только от конкретной угрозы. Даже небольшое видоизмене ние угрозы ведет к потере эффективности защиты.

Более серьезные организации, соответствующие 2-му и 3-му уровням зре лости классификации Gartner, применяют «комплексный» подход к обеспече нию ИБ. Этот же подход предлагают и крупные компании, профессионально за нимающиеся защитой информации. Комплексный подход основывается на ре шении комплекса частных задач по единой программе. Этот подход в настоящее время является основным для создания защищенной среды обработки информа ции в КС, сводящей воедино разнородные меры противодействия угрозам. Сюда относятся правовые, морально-этические, организационные, программные и тех нические способы обеспечения ИБ. Комплексный подход позволяет объединить целый ряд автономных систем путем их интеграции в так называемые интегри рованные системы безопасности.

Методы решения задач обеспечения безопасности очень тесно связаны с уровнем развития науки и техники и, особенно, с уровнем технологического обеспечения промышленного предприятия. А характерной тенденцией развития современных технологий является процесс тотальной интеграции. Этой тен денцией охвачены микроэлектроника и техника связи, сигналы и каналы связи, системы и сети. В качестве примеров можно привести сверхбольшие интеграль ные схемы, интегральные сети передачи данных, многофункциональные устрой ства связи и т.п.

Дальнейшим развитием комплексного подхода или его максимальной формой является интегральный подход, основанный на объединении различных подсистем обеспечения безопасности, подсистем связи в единую интегральную систему с общими техническими средствами, каналами связи, программным обеспечением и базами данных. Интегральный подход направлен на достижение интегральной безопасности. Основной смысл понятия интегральной безопасно сти состоит в необходимости обеспечить такое состояние условий функциониро вания промышленного предприятия, при котором оно надежно защищено от всех возможных видов угроз в ходе всего непрерывного производственного процесса.

Понятие интегральной безопасности предполагает обязательную непрерывность процесса обеспечения безопасности как во времени, так и в пространстве (по всему технологическому циклу деятельности) с обязательным учетом всех воз можных видов угроз (несанкционированный доступ, съем информации, терро ризм, пожар, стихийные бедствия и т.д.).

В какой бы форме ни применялся комплексный или интегральный подход, он всегда направлен на решение ряда частных задач в их тесной взаимосвязи с использованием общих технических средств, каналов связи, программного обес печения и т.д. Например, применительно к информационной безопасности, наи более очевидными из них являются задачи:

— ограничения доступа к информации;

— технического и криптографического «закрытия» информации;

— ограничения уровней паразитных излучений технических средств защи ты;

— охраны и тревожной сигнализации.

Однако необходимо решение и других, не менее важных задач. Так, на пример, выведение из строя руководителей предприятия, членов их семей или ключевых работников должно поставить под сомнение само существование данного предприятия. Этому же могут способствовать стихийные бедствия, ава рии, терроризм и т.п. Поэтому объективно обеспечить полную безопасность ин формации могут лишь интегральные системы безопасности, индифферентные к угрозам безопасности и обеспечивающие требуемую защиту непрерывно, как во времени, так и в пространстве, в ходе всего процесса подготовки, обработки, пе редачи и хранения информации.

5.2. Классификационные признаки корпоративных сетей В соответствии с введенным определением корпоративной сети ее состав в общем случае образуют следующие функциональные элементы:

1. Рабочие места (абоненты) промышленного предприятия, которые могут быть:

— сосредоточенными (территориально располагаются в рамках одного зда ния);

— распределенными (рассредоточены на некоторой в общем случае неогра ниченно большой территории).

2. Информационные серверы промышленного предприятия, предназна ченные для хранения и обработки информационных массивов (баз данных) раз личного функционального назначения. Они также могут быть сосредоточенны ми, либо распределенными на большой территории предприятия.

3. Средства телекоммуникации, обеспечивающие взаимодействие рабо чих станций и обмен с информационным серверами. Средства телекоммуника ции в рамках промышленного предприятия могут быть:

— выделенными (арендованными), являющимися принадлежностью про мышленного предприятия;

— общего назначения (существующие вне промышленного предприятия сети связи, средства которых используются предприятием). Это, как правило, средства существующих инженерных сетей и коммуникаций общего пользова ния.

4. Телеслужбы. В рамках промышленного предприятия информационное воздействие может быть реализовано в рамках одной (телефония, телетекст, видеотекст, телефакс), либо нескольких служб (интеграция служб), что должно обеспечиваться соответствующими средствами телекоммуникации и абонент скими окончаниями.

5. Система управления эффективностью функционирования корпора тивной сети. В зависимости от реализуемого набора служб в КС должны ис пользоваться свои средства управления сетью, в частности средства маршрути зации и коммутации;

средства администрирования, реализуемые с целью эф фективного использования сетевых ресурсов.

По возможности управления функциональными элементами КС подразде ляются на:

— управляемые в рамках промышленного предприятия функциональные элементы (собственные или дополнительно вводимые в рамках КС средства);

— не управляемые в рамках промышленного предприятия функциональ ные элементы (в частности, маршрутизаторы и коммутаторы), являющиеся принадлежностью используемых предприятием инженерных подсетей общего пользования.

6. Система управления безопасностью функционирования корпора тивной сети. В КС должны быть реализованы необходимые сетевые службы безопасности, в которых используются средства безопасности.

7. Система обеспечения надежности корпоративной сети. В КС пред приятия должны быть предусмотрены средства обеспечения работоспособности всей сети или ее фрагментов при отказах отдельных элементов сети.

8. Система диагностики и контроля. В рамках КС должны быть преду смотрены:

— подсистема контроля работоспособности отдельных функциональных элементов КС;

— подсистема сбора информации об отказах и сбоях в КС;

— подсистема предоставления элементам КС информации об отказах для обеспечения живучести КС;

— подсистема управления эффективностью функционирования КС;

— подсистема управления безопасностью эксплуатации КС.

Для КС должны быть разработаны средства диагностики, реализуемые как в процессе функционирования сети, так и профилактически.

9. Система эксплуатации. Помимо перечисленных функциональных эле ментов, КС должны иметь программу процесса собственного развития, в значи тельной мере определяющую закладываемые в нее функциональные возможно сти (в частности, на уровне протоколов взаимодействия сетевых компонентов и возможности их интеграции).

Таким образом, классификация КС осуществляется по следующей системе признаков:

— по набору функциональных элементов, входящих в состав КС;

— по иерархии управления, принятой в КС;

— по набору (типу и количеству) объединяемых в рамках КС подсетей общего пользования;

— по набору (типу и количеству) реализуемых в рамках корпоративной сети телеслужб.

5.3. Система управления безопасностью корпоративной сети Система обеспечения безопасности КС должна иметь многоуровневую структуру и включать следующие уровни:

— уровень защиты автоматизированных рабочих мест (АРМ);

— уровень защиты локальных сетей и сетевых серверов;

— уровень защиты КС.

На уровне защиты АРМ должна осуществляться идентификация и аутен тификация пользователей операционной системы. Должно осуществляться управление доступом: предоставление доступа субъектов к объектам в соответ ствии с матрицей доступа, выполнение регистрации и учета всех действий субъекта доступа в журналах регистрации. Должна быть обеспечена целост ность программной среды, периодическое тестирование средств защиты ин формации. Рекомендуется обеспечение защиты КС сертифицированными сред ствами защиты от несанкционированного доступа. Такие средства защиты должны обладать возможностью удаленного администрирования и настройки.

Уровень защиты локальных сетей и сетевых серверов должен обеспе чивать:

— идентификацию пользователей и установление подлинности доступа в систему, к компонентам;

— защиту аутентификационных данных;

— установление подлинности при доступе к серверам;

— пропуск аутентификационной информации от одного компонента до другого без переустановки подлинности доступа.

Механизмы защиты должны быть способны создавать, обслуживать (под держивать) и защищать от модификации или неправомочного доступа аутенти фикационную информацию и матрицу доступа к объектам.

Должна также осуществляться регистрация следующих событий:

— использование идентификационных и аутентификационных механиз мов;

— действия пользователей с критическими объектами;

— уничтожения объектов;

— действия, предпринятые операторами и администраторами системы и/или диспетчерами системы безопасности;

— другие случаи обеспечения безопасности.

Параметры регистрации:

— дата и время события;

— пользователь;

— тип случая в соответствии с таблицей классификации событий;

— успешная или неуспешная транзакция.

Для идентификации/аутентификации дополнительно отслеживается про исхождение запроса (например, локальная или сетевая аутентификация).

Для случаев уничтожения объектов и доставки информации в место адреса пользователя — название объекта.

Администратор системы должен быть способен выборочно контролиро вать действия любого пользователя или группы пользователей на основании индивидуальной идентичности.

Средства защиты информации должны иметь модульную структуру, а ка ждый модуль должен поддерживать область памяти для собственного выпол нения. Для каждого модуля СЗИ, каждого компонента СЗИ, разделенного в КС, должна обеспечиваться изоляция ресурсов, нуждающихся в защите так, чтобы они подчинялись контролю доступа и требованиям ревизии. Должно осуществ ляться также периодическое тестирование правильности функционирования аппаратных средств, микропрограммных элементов СЗИ, программного обес печения СЗИ.

При разделении СЗИ должна обеспечиваться возможность сообщения ад министративному персоналу КС об отказах, ошибках, попытках несанкциони рованного доступа, обнаруженных в разделенных компонентах СЗИ. Протоко лы, осуществленные в пределах СЗИ, должны быть разработаны так, чтобы обеспечивалось правильное функционирование СЗИ в случае отказов (сбоев) КС или ее индивидуальных компонентов.

Механизмы безопасности должны быть проверены и функционировать в соответствии с требованиями технической документации.

Уровень защиты КС должен гарантировать:

— целостность передачи информации от ее источников до адресата:

— аутентификацию;

— целостность коммуникационного поля;

— невозможность отказа партнеров по связи от факта передачи или приема сообщений;

— безотказность в предоставлении услуг:

— непрерывность функционирования;

— устойчивость к атакам типа «отказ в обслуживании»;

— защищенность протокола передачи данных;

— защиту от несанкционированного раскрытия информации:

— сохранение конфиденциальности данных с помощью механиз мов шифрования;

— выбор маршрута передачи.

Средства защиты должны обеспечивать:

— конфиденциальность содержания (отправитель должен быть уверен, что никто не прочитает сообщения, кроме определенного получателя);

— целостность содержания (получатель должен быть уверен, что содержа ние сообщения не модифицировано);

— целостность последовательности сообщений (получатель должен быть уверен, что последовательность сообщений не изменена);

— аутентификацию источника сообщений (отправитель должен иметь возможность аутентифицироваться у получателя как источник сообщения, а также у любого устройства передачи сообщений, через который они проходят);

— подтверждение доставки (отправитель может убедиться в том, что со общение доставлено неискаженным нужному получателю);

— подтверждение подачи (отправитель может убедиться в идентичности устройства передачи сообщения, на которое оно передано);

— безотказность источника (позволяет отправителю подтвердить получа телю, что переданное сообщение принадлежит ему);

— безотказность поступления (позволяет отправителю сообщения полу чить от устройства передачи сообщения, на которое оно поступило, подтвер ждение того, что сообщение поступило на это устройство для доставки опреде ленному получателю);

— безотказность доставки (позволяет отправителю получить от получате ля подтверждение получения им сообщения);

— управление контролем доступа (позволяет двум компонентам системы обработки сообщений установить безопасное соединение);

— защиту от попыток расширения своих законных полномочий (на доступ, формирование, распределение и т.п.), а также изменения полномочий других пользователей;

— защиту от модификации программного обеспечения путем добавления новых функций.

5.4. Современные технологии защиты корпоративных сетей В настоящее время одним из основных средств защиты КС на промышлен ном предприятии являются межсетевые экраны (МЭ).

МЭ называют локальное или функционально распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за ин формацией, поступающей в КС и/или выходящей из КС.

МЭ — основное название, но также встречаются общепринятые названия брандмауэр и firewall (англ. огненная стена). В строительной сфере брандмау эром (нем. brand – пожар, mauer – стена) называется огнеупорный барьер, раз деляющий отдельные блоки в многоквартирном доме и препятствующий рас пространению пожара. МЭ выполняет подобную функцию для КС.

По определению МЭ служит контрольным пунктом на границе двух ком пьютерных сетей. В самом распространенном случае эта граница лежит между внутренней сетью промышленного предприятия организации и внешней сетью, обычно сетью Интернет. Однако в общем случае, МЭ могут применяться для разграничения внутренних подсетей КС промышленного предприятия.


Задачами МЭ являются:

— контроль всего трафика, входящего во внутреннюю КС.

— контроль всего трафика, исходящего из внутренней КС.

Контроль информационных потоков состоит в их фильтрации и преобразо вании в соответствии с заданным набором правил. Поскольку в современных МЭ фильтрация может осуществляться на разных уровнях эталонной модели взаимодействия открытых систем (ЭМВОС, OSI), МЭ удобно представить в ви де системы фильтров. Каждый фильтр на основе анализа проходящих через не го данных, принимает решение — пропустить «дальше» (перебросить за экран), блокировать или преобразовать данные.

Неотъемлемой функцией МЭ является протоколирование информационно го обмена. Ведение журналов регистрации позволяет администратору выявить подозрительные действия, ошибки в конфигурации МЭ и принять решение об изменении правил МЭ.

В настоящее время обычно выделяют следующую классификацию МЭ в соответствие с их функционированием на разных уровнях МВОС (OSI):

— мостиковые экраны (2-ой уровень OSI);

— фильтрующие маршрутизаторы (3-ий и 4-ый уровни OSI);

— шлюзы сеансового уровня (5-ый уровень OSI);

— шлюзы прикладного уровня (7-ой уровень OSI);

— комплексные экраны (3-7-ой уровни OSI).

5.5. Внутренние злоумышленники в корпоративных сетях Вопреки распространенному мнению о том, что основную опасность для промышленного предприятия представляют внешние нарушители, действую щие из сети Интернет, реальная угроза современному предприятию исходит от внутренних нарушителей. По многочисленным исследованиям около 70-80% всех нарушений в корпоративной среде приходится на долю внутренних нару шителей.

Нарушителем в общем смысле является лицо, по ошибке, незнанию или осознанно предпринявшее попытку выполнения запрещенных операций и ис пользующее для этого различные возможности, методы и средства. Внутренний нарушитель представляет собой легитимного сотрудника организации, имею щего определенный доступ к ее информационным ресурсам. Причем, причина ми нарушений внутри организации могут быть как ошибки персонала, так и умышленные действия с их стороны. Таким образом, согласно общемировой статистике на долю внутренних нарушителей, умышленно совершающих про тивоправные действия, приходится около 20% всех инцидентов в организации, в то время как внешние нарушители виноваты только в 5% подобных случаев.

В отечественной и зарубежной компьютерной литературе применяется различная терминология в отношении компьютерных преступников. Отсутст вие единой классификации часто приводит к путанице. Так, «хакером» (hacker) чаще всего называют именно компьютерных злоумышленников, а иногда — высококвалифицированных компьютерных специалистов. Последних иногда называют «белыми шляпами» (white-hats), в отличие от «черных шляп», целью которых является нанесение вреда системе. Также часто используются понятия кракер (cracker), kid-hacker, spy и т.д. Наиболее полная классификация приве дена в [83]. Во избежание путаницы здесь и далее применяются термины «на рушитель» и «злоумышленник» (intruder), для обобщенного обозначения лиц, умышленно совершающих нарушения в КС.

Таким образом, нарушители могут быть разбиты на две категории:

— outsiders (англ. чужой, посторонний) — это нарушители из сети Интер нет, которые атакуют внутренние ресурсы КС (удаление информации на корпо ративном web-сервере, пересылка спама через почтовый сервер и т.д.) и кото рые обходят МЭ и СЗИ для того, чтобы проникнуть во внутреннюю КС. Зло умышленники могут атаковать из Интернет, через модемные линии, через фи зическое подключение к каналам связи или из сети партнеров (поставщиков, заказчиков, дилеров и т.д.);

— insiders (англ. свой, хорошо осведомленный человек) — это лица, кото рые находятся внутри КС, и имеют определенный доступ к корпоративным серверам и рабочим станциям. Они включают пользователей, неправильно ис пользующих свои привилегии, или исполняющих роль привилегированного пользователя (например, с привилегированного терминала). Эти люди изна чально находятся в преимущественном положении, чем outsiders, поскольку они уже владеют конфиденциальной информацией о предприятии, недос тупной для внешних нарушителей. В отличие от внешних нарушителей, для которых в общем случае атакуемая КС изначально представляет «чер ный ящик», внутренние нарушители — это люди, которые знают как рабо тает промышленное предприятие, и понимают как использовать «слабости» в инфраструктуре системы безопасности предприятия.

Таким образом, проблема защита от внутренних нарушителей является наиболее актуальной и менее исследованной. Если в обеспечении защиты от внешних нарушителей уже давно выработаны устоявшиеся подходы (хотя раз витие происходит и в этом направлении), то методы противодействия внутрен ним нарушителям в настоящее время имеют много нерассмотренных аспектов.

В частности, отсутствует четкая классификация методов и средств, используе мых внутренними нарушителями.

Кроме того, по причине недостаточного серьезного отношения руково дства предприятий к ИБ, недобросовестным сотрудникам предоставляются ши рокие возможности несанкционированного доступа к информации, составляю щей коммерческую тайну и имеющей реальную или потенциальную экономи ческую ценность.

Для эффективного функционирования промышленного предприятия необ ходимо, чтобы на предприятии имелась общая стратегия развития СЗИ и четкие должностные инструкции каждому сотруднику.

Следующим организационным документом должна быть политика безо пасности промышленного предприятия, в котором изложены принципы орга низации и конкретные меры по обеспечению информационной безопасности предприятия.

Классификационный раздел политики безопасности описывает имеющиеся на предприятии материальные и информационные ресурсы и необходимый уровень их защиты. В штатном разделе приводятся описания должностей с точ ки зрения ИБ.

Раздел, описывающий правила разграничения доступа к корпоративной информации, является ключевым для определения полномочий сотрудников предприятия.

Любое нарушение легальным сотрудником политики безопасности органи зации автоматически переводит его в разряд внутреннего нарушителя. Подоб ные действия можно квалифицировать как умышленные и неумышленные.

Неумышленные действия вызваны недостатком квалификации пользовате лей и не рассматриваются, т.к. квалификация персонала находятся в области профессиональной компетентности сотрудников предприятия и определяется требованиями при их приеме на работу.

Умышленные действия различаются по целям: направленные на получение конфиденциальной информации вне рамок основной деятельности и связанные с нарушением распорядка работы. Однако исследование, проведенное компа нией Gartner Group, показало [84], что 85% современных компаний не имеют ни концепции, ни политики безопасности.

Таким образом, для большинства промышленных предприятий внутренне го нарушителя нельзя определить как лицо, нарушающее политику безопасно сти, так как последняя на предприятии просто отсутствует. Поэтому в подоб ном случае внутренним нарушителем, действующим умышленно, следует счи тать сотрудника организации, предпринимающего направленные попытки по лучения, изменения или уничтожения конфиденциальных данных предприятия вне рамок основной своей деятельности на предприятии. Примерами таких дей ствий могут быть:

— несанкционированный доступ к данным о клиентах и сотрудниках ор ганизации вне рамок основной деятельности сотрудника предприятия;

— попытки изменения статуса пользователя на предприятии;

— попытки подбора паролей в защищенные приложения, области дисково го пространства;

— умышленные действия, связанные с попытками изменения информаци онного наполнения СЗИ;

— умышленные действия, направленные на деструкцию системы защиты информации;

— внедрение аппаратных и программных «закладок и вирусов», позво ляющих преодолевать систему защиты предприятия, скрытно и незаконно осу ществлять доступ к системным ресурсам корпоративной сети.

Наиболее часто на предприятии имеют место случаи, когда нарушитель по уровню возможностей в СЗИ относится к 3-му уровню. Третий уровень опреде ляется возможностью управления функционированием автоматизированных систем, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования. Четвертому, и самому высокому, уровню соответствует системный администратор или администратор безопас ности, чьи возможности в системе максимальны. По образному выражению од ного из экспертов по информационной безопасности компании ISS, сетевой ад министратор — это «серый кардинал» компании, которому доступна практиче ски вся информация в организации.

Необходимо отметить, что на своем пользовательском уровне нарушитель является специалистом высшей квалификации, знает все о КС и, в частности, о средствах ее защиты. Данное предположение позволяет более адекватно оцени вать возможные угрозы. Например, в компаниях, занимающихся предоставле нием услуг информационной безопасности, большинство сотрудников являют ся квалифицированными техническими специалистами.

При создании модели нарушителя и оценке риска потерь от действий пер сонала необходимо дифференцировать всех сотрудников по их возможностям доступа к системе и, следовательно, по потенциальному ущербу от каждой ка тегории пользователей. Например, программист может нанести несравненно больший ущерб, чем обычный пользователь (секретарь).

Ниже приводится примерный список персонала типичной корпоративной сети предприятия и соответствующая оценка риска от несанкционированных действий каждого из них [85]:

1. Наибольший риск:

— сетевой администратор;

— администратор безопасности.

2. Повышенный риск:

— оператор системы;

— оператор ввода и подготовки данных;

— менеджер обработки;


— системный программист.

3. Средний риск:

— инженер системы;

— менеджер программного обеспечения.

4. Ограниченный риск:

— прикладной программист;

— инженер или оператор по связи;

— администратор баз данных;

— инженер по оборудованию;

— оператор периферийного оборудования;

— библиотекарь системных носителей;

— пользователь-программист;

— пользователь-операционист.

5. Низкий риск:

— инженер по периферийному оборудованию;

— библиотекарь магнитных пользователей;

— пользователь сети.

Каждый из перечисленных пользователей в соответствии со своей катего рией риска может нанести больший или меньший ущерб СЗИ предприятия.

Данная классификация не учитывает мотивацию сотрудников, побуждаю щую их совершать противоправные действия. Однако следует заметить, что чаще всего причинами нарушений являются: работа на компанию-конкурента, любопытство, «месть» руководству организации.

5.6. Защита корпоративных сетей от внутренних злоумышленников 5.6.1. Противодействие пассивным методам воздействия Данная угроза осуществима в компьютерных сетях, построенных как на основе концентраторов информации, так и на основе коммутаторов. Однако в каждом случае реализация угрозы имеет свои особенности.

Для прослушивания сетевого трафика в сети предприятия, построенной на основе концентраторов злоумышленнику достаточно запустить на своем ком пьютере программу-сниффер и анализировать проходящие пакеты информа ции. Поскольку данная атака носит пассивный характер (нет непосредственного воздействия на СЗИ), то обнаружить ее достаточно тяжело. В общем случае за дача обнаружения пассивной атаки трудноосуществима, поскольку программы снифферы только собирают пакеты, и не передают (не внедряют) никакой ин формации. Однако в ряде практических случаев это возможно. Существуют ме тоды определения наличия запущенной программы-сниффера в локальной сети, в частности, метод Пинга, метод ARP, метод DNS и метод ловушки [86].

Наконец, самым радикальным решением задачи обеспечения информаци онной безопасности предприятия является использование специальных средств, когда перехват сетевого трафика бессмыслен. Для этого необходимо применить механизмы шифрования. Но замена всех небезопасных протоколов не всегда возможна. Более практичным является шифрование всего трафика на 3-м уров не модели OSI, используя протокол IPSec. При этом окажутся защищенными и все протоколы прикладного уровня — POP3, SMTP, FTP и т.д. В частности, поддержка этого протокола в ОС семейства Windows реализована начиная с версии Windows 2000. Таким образом, клиенты с Windows NT4/9x/ME использо вать данный протокол не могут. Однако существуют средства шифрования аль тернативных разработчиков. Их применение может повысить защиту сети предприятия на должный уровень.

5.6.2. Противодействие активным методам воздействия Противодействовать активным воздействиям злоумышленников, как внут ренних, так и внешних, призваны межсетевые экраны и системы обнаружения атак (СОА). Поскольку применение МЭ и СОА рассматривается в контексте противодействия внутренним нарушителям, интерес представляют персональ ные МЭ и СОА уровня сети и хоста.

Обнаружение сканирования. Само по себе сканирование сети не является чем-то незаконным. С мнениями отечественных экспертов по данному вопросу можно ознакомиться в работе [87]. Однако, если сканирование со стороны внешней, по отношению к КС, как показывает практика — обыкновенное явле ние, то сканирование компьютеров из внутренней сети — безусловно, инцидент безопасности, требующий незамедлительной реакции со стороны сетевого ад министратора или администратора безопасности. Обнаружить следы сканиро вания можно, изучая журналы регистрации МЭ. Однако такой подход не позво ляет своевременно реагировать на подобные инциденты. Поэтому современные МЭ имеют модули (plug-in), позволяющие обнаружить атаки и сканирование в режиме реального времени, также как это сделано в СОА. Некоторые сканеры уязвимостей используют оригинальные методы, позволяющие производить сканирование максимально скрытно. Например, в одном из лучших сетевых сканеров Nmap существуют возможности, позволяющие значительно затруд нить обнаружение сканирования для СОА:

— возможность задавать временные параметры сканирования (интервалы между пакетами). Для выявления такого сканирования необходимо проанали зировать пакеты за значительный промежуток времени;

— возможность задавать группу ложных хостов, с которых якобы произ водится сканирование, для сокрытия реального IP-адреса злоумышленника.

Данная функция особенно опасна, т.к. в качестве ложных хостов могут быть указаны хосты легальных сотрудников, что значительно затруднит обнаруже ние настоящего нарушителя.

Решением, парирующим подобные методы сканирования, может быть ис пользование сетевых СОА, либо периодическое изучение журналов регистра ции МЭ.

Противодействие эксплойтам. Как показали эксперименты, МЭ и СОА, установленные на атакуемой системе, в ряде случаев не в состоянии отразить действие эксплойтов. Для успешного отражения атак эксплойтов средства за щиты необходимо периодически обновлять, поскольку механизм обнаружения вторжений основан на распознавании сигнатур уже известных атак. В настоя щее время существуют проекты, способные по заверениям разработчиков, от ражать неизвестные атаки. Практика показывает, что они чаще всего не эффек тивны.

Противодействие троянским программам, сетевым червям и вирусам.

Эффективным методом противодействия трем данным видам угроз является использование антивирусных средств, работающих в режиме реального време ни (мониторов). Для выявления троянских программ существует специализиро ванное ПО (например, Tauscan от Agnitum), однако, как показывает практика, современные антивирусы успешно обнаруживают и всевозможные троянские программы.

Дополнительным препятствием для троянских программ является персо нальный МЭ. При попытке программы — троянского коня осуществить выход в сеть, МЭ в соответствии с настроенными правилами его работы, либо блоки рует данное обращение, либо выведет уведомление для текущего пользователя.

Виртуальные ловушки. Интересным подходом к выявлению внутренних нарушителей является использование «виртуальных ловушек». «Виртуальные ловушки» — honeypots («горшочек меда»), появились сравнительно недавно.

Основная цель таких ловушек: стать приманкой для злоумышленника, принять атаку, сканирование и быть «взломанной» им.

Популярные виртуальные ловушки KFSensor и NFR Back Officer Friendly (BOF) способны эмулировать работу различных сервисов. Например, возможна эмуляция FTP-сервера, POP3-сервера, SMTP-сервера, TELNET-сервера, HTTP сервера, SQL-сервера и многих других, в том числе серверной части троянской программы BackOrifice.

При любой попытке доступа к данной службе выдается оповещение для администратора и протоколирование всей активности. Имеется также возмож ность извещения администратора через электронную почту.

KFSensor также предлагает разную степень эмуляции служб — от простой до максимально правдоподобной.

В качестве виртуальной ловушки можно использовать эмуляцию полно ценного компьютера со своей ОС. Такая эмуляция осуществляется с использо ванием специального ПО — виртуальной машины. Наиболее известными про дуктами из данной категории являются VMWare Workstation и Microsoft Virtual PC. Данные программы позволяют запускать на одном физическом компьютере множество ОС, полностью эмулируя их работу.

Осуществляется поддержка разных версий Windows и Linux. Таким обра зом, механизм подготовки виртуальной ловушки заключается в установке ОС, выделении ей IP-адреса из диапазона адресов корпоративной сети и присвоение имени. Имя можно подобрать так, чтобы в первую очередь привлечь внимание потенциального нарушителя, например, mailserver или domain. Возможно эму лирование некоторых сервисных служб на виртуальной ловушке. Причем для эмуляции можно воспользоваться KFSensor или BOF. Эмулируемую систему можно намеренно оставить уязвимой для применения эксплойтов с целью про никновения злоумышленника.

Анализ действия злоумышленника позволит определить что это — простое любопытство пользователя или направленная атака, а также точно установить его вину и объекты его интересов. Таким образом, применение виртуальных ловушек для защиты КС от внутренних нарушителей рекомендуется осуществ лять следующим образом:

1. Разместить ловушки, эмулирующие сервисы, на рабочих машинах адми нистраторов и начальников вместе с рабочими сервисами.

2. Создать специальные сервера, полностью имитирующие уязвимые для атаки компьютеры.

3. Определить данные о «польстившихся на легкую добычу» в сети. Часто менять имитацию уязвимых мест в сервисах.

Рекомендации по усилению защиты корпоративных сетей от внутренних нарушителей. На основании рассмотренных угроз и методов защиты можно сформулировать рекомендации, цель которых — снизить вероятность угроз, исходящих от внутренних нарушителей:

1. Рекомендуется заменить все имеющиеся в сети концентраторы на ком мутаторы. Это позволит усложнить несанкционированное «прослушивание»

трафика. Если позволяют финансовые возможности, установить «интеллекту альные» управляемые коммутаторы, обладающие расширенными возможно стями в плане безопасности, например, функцией port-security.

2. При использовании корпоративной почты рекомендуется задействовать механизмы шифрования, например, S/MIME или POP3S. Рекомендуется огра ничить пользователям доступ к бесплатным электронным ящикам в Интернет.

3. Администраторам рекомендуется постоянно держать запущенными две программы: утилиту обнаружения атаки ARP-spoofing и программу-сниффер, например, Cain, запущенные на маршрутизаторе или МЭ. Использование про граммы-сниффера позволит увидеть компьютерную сеть глазами потенциаль ного нарушителя, выявить нарушителей политики безопасности.

4. Рекомендуется периодически анализировать защищенность КС, исполь зуя сканеры уязвимостей.

5. Рекомендуется использовать шифрование сетевого трафика на приклад ном, а лучше на сетевом уровне. Рекомендуется использовать протокол IPSec.

6. Рекомендуется установить ПО, препятствующее запуску других про грамм, кроме назначенных администратором исходя из принципа: «Любому лицу предоставляются привилегии, необходимые для выполнения конкретных задач, но не более». Все неиспользуемые порты ввода-вывода компьютера должны быть аппаратно или программно дезактивированы. Это позволит зна чительно снизить вероятность угроз, осуществимых с рабочих станций пользо вателей (большинству программ-снифферов для работы необходимо устано вить специальный драйвер).

7. Для уменьшения риска угрозы расшифрования паролей рекомендуется:

— активизация опции политики безопасности Windows «Password must meet complexity requirements»;

— установка минимальной длины пароля в Windows 20 символов;

— периодическая смена паролей;

— обучение пользователей надежно хранить пароли.

8. Рекомендуется установить всем пользователям на их рабочих станциях пользовательские права.

9. Рекомендуется своевременное обновление всего ПО — для ОС, СОА, МЭ, антивирусного ПО, что значительно снижает риск использования эксплой тов, проникновения троянских программ, сетевых червей, вирусов.

10. Рекомендуется использование на рабочих местах (и на серверах) ком плекта средств защиты — МЭ, СОА, антивирусное ПО. Лучше и удобнее, когда все составляющие ПО будут от одного производителя программного обеспече ния, например, Symantec или Kaspersky. Если для предприятия такое обновле ние и приобретение оказывается неоправданным, можно обратится к ПО с от крытыми исходными кодами — например, Snort. Есть также и бесплатные ан тивирусные программы.

11. Важным элементом снижения возможного ущерба является процедура регулярного резервного копирования важной информации (backup).

12. Рекомендуется разработка стратегии безопасности КС, контроля, архи тектуры, политики, стандартов, процедур и руководящих указаний, определяе мых и внедряемых с учетом возможности атак умного, рационального недоб рожелателя, имеющего намерение навредить данной компании.

13. Рекомендуется установить ответственность и привилегии таким обра зом, чтобы не допустить частных лиц или группу вступивших в сговор частных лиц к неправомерному управлению процессами по методу составных ключей, что может привести к серьезному ущербу и потерям.

14. Все незанятые слоты (порты, разъемы) компьютеров рекомендуется опечатать, отключить физически и программно. Это позволит снизить вероят ность угрозы использования личных съемных носителей информации, таких как флэш-память и USB-винчестеры, а также предотвратит несанкционирован ное подключение модема.

5.7. Выводы Согласно результатам исследования компании Ibas, проведенного в январе 2004 года, 70% сотрудников воруют конфиденциальную информацию с рабо чих мест. Больше всего с работы уносят такие вещи, как книги электронных ад ресов, базы данных клиентов, а также коммерческие предложения и презента ции. И, более того, 72% опрошенных «не страдают этическими проблемами», считая, что имеют законные права на нематериальное имущество компании. С другой стороны, согласно существующей статистике, в коллективах людей, за нятых той или иной деятельностью, как правило, только около 85% являются вполне лояльными (честными) сотрудниками, а остальные 15% подразделяются примерно так: 5% — могут совершить что-нибудь противоправное, если, по их представлениям, вероятность заслуженного наказания мала;

5% — готовы ри скнуть на противоправные действия, даже если шансы быть уличенным и нака занным складываются 50% на 50%;

5% — готовы пойти на противозаконный поступок, даже если они почти уверены в том, что будут уличены и наказаны.

Такая статистика в той или иной мере может быть применима к коллективам, участвующим в разработке и эксплуатации информационно-технических со ставляющих компьютерных систем. Таким образом, можно предположить, что не менее 5% персонала, участвующего в разработке и эксплуатации программ ных комплексов, способны осуществить действия криминального характера из корыстных побуждений, либо под влиянием каких-нибудь иных обстоятельств.

И только в последнее время компании, специализирующиеся на разработке средств защиты, осознали необходимость в разработке средств защиты от внут ренних нарушителей. Одну из первых систем подобного рода выпустила отече ственная компания «Праймтек» в конце 2003 года. Система предназначена для контроля политики безопасности организации.

Ярким примером актуальности проблемы защиты от внутренних наруши телей являются конфиденциальные базы данных по владельцам недвижимости, движимого имущества, телефонам, сводкам по криминалу и антикриминалу и многие другие, распространяемые нелегально на специализированных рынках в Москве и Санкт-Петербурге и др. городах, а также через Интернет. Эти базы похищаются недобросовестными сотрудниками, бороться с которыми власти пытаются организационными мерами. Важно, что во многих организациях не дооценивают опасность, исходящую от внутренних нарушителей. Как показало исследование, проведенное журналом eWeek, 57% респондентов и не полагали, что угрозы изнутри организации гораздо более реальны, чем извне. 22% иссле дуемых вообще не задумывались о такой угрозе. А в 43% организаций учетные записи уволенных сотрудников не удаляются вовсе.

Важным выводом является тот факт, что для совершения высокотехноло гичного преступления злоумышленнику необязательно быть специалистом по информационным технологиям. Это означает, что практически любой сотруд ник организации потенциально в состоянии нанести серьезный ущерб компа нии с использованием программных средств. Конкретные примеры иллюстри руют, что в сети Интернет можно найти огромное число обучающих материа лов и готовых программных продуктов для реализации несанкционированного доступа к компьютерам в локальных вычислительных сетях. Многие статьи на писаны доступным языком и снабжены подробными инструкциями по спосо бам реализации атак. Однако проблема конечно не в наличие таких материалов, а в слабости современных технологий защиты компьютерных сетей.

ЗАКЛЮЧЕНИЕ 1. Определены основные тенденции развития и структурные особенности информационных активов промышленного предприятия во взаимосвязи с его бизнес-процессами.

2. Уточнено понятие информационных активов промышленного предпри ятия с целью определения направлений реализации наиболее вероятных ин формационных угроз.

3. Обоснованы принципы организации инфраструктуры защиты информа ции, ориентированной на поддержку бизнес-процессов промышленного пред приятия.

4. Предложена концептуальная модель инфраструктуры защиты информа ции на промышленном предприятии, позволяющая разработать систему мате матических моделей оценки и оптимизации этой инфраструктуры.

5. Выполнен анализ состава затрат на создание инфраструктуры защиты информации промышленного предприятия.

6. Разработана система показателей информационной безопасности бизнес процессов, обеспечивающая оценку инфраструктуры защиты информации, как по отдельным ее свойствам, так и в целом.

7. Разработана система математических моделей оценки и оптимизации инфраструктуры защиты информации, включающая в себя:

— модель оценки защищенности от несанкционированного доступа к ин формации;

— модель оценки защищенности от перехвата при передаче информации;

— модель оценки защищенности информации от случайных помех и сбоев;

— модель оценки защищенности от вмешательства в бизнес-процесс;

— модель формирования комплексного показателя защищенности;

— модель оптимизации показателей защищенности;

— модель выбора варианта инфраструктуры защиты информации.

8. Разработана имитационная модель как инструментальный метод оценки и прогнозирования уровня защищенности информации на промышленном предприятии.

9. Предложена система мониторинга безопасности информационных акти вов, направленная на оценку и анализ текущего состояния показателей инфор мационной безопасности, а также выработку необходимых корректирующих воздействий на инфраструктуру защиты информации.

10. Предложенные в монографии положения организации инфраструктуры системы защиты информации обеспечивают необходимые условия для предот вращения информационных угроз, сокращение затрат на информационную безопасность и повышение экономической эффективности производственно хозяйственной деятельности промышленного предприятия.

СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ ЛИТЕРАТУРЫ 1. Троников И.Б., Коробейников А.Г., Нестерова Н.А. и др. Процессный подход при управлении качеством продукции на предприятиях, осуществляю щих выпуск электронного приборного оборудования // Датчики и системы, №6, 2008, с. 31-34.

2. Баутов A.Н. Экономический взгляд на проблемы информационной безо пасности // Открытые системы, 2002, № 2, с. 28-33.

3. Ивлев В.А., Попова Т.В. Процессная организация деятельности: методы и средства. (Консалтинговая компания «ВИЛ Анатех»): [Электронный ресурс]:

http://www.optim.ru/comp/2001/3/anatech/anatech.asp, 12.01.2005.

4. Ойхман Е.Г., Попов Э.В. Реинжиниринг бизнеса: реинжиниринг органи зационной и информационной технологии. М.: Финансы и статистика, 1997, 336 с.

5. Троников И.Б., Видин Б.В., Кузьмин Д.В. Информационные технологии в обеспечении технологической подготовки производства бортовой авиационной аппаратуры / В кн. «Труды международных научно-технических конференций «Интеллектуальные системы (IEEE AIS’05)» и «Интеллектуальные САПР (CAD-2005)». Научное издание в 3-х томах. М.: Изд-во Физико-математической литературы, 2005, Т.2, с. 102-106.



Pages:     | 1 | 2 || 4 |
 





 
© 2013 www.libed.ru - «Бесплатная библиотека научно-практических конференций»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.