Решение современных проблем информационной безопасности корпоративных вычислительных сетей

Введение

 

В последнее время весьма актуальной стала проблема обеспечения информационной безопасности. В данной статье мы рассмотрим основные информационные уязвимости корпоративных сетей, а также методы защиты от распространенных угроз и атак на информационные системы предприятия.

Согласно Федеральному закону от 10.01.2002 N 1-ФЗ "Об электронной цифровой подписи" (далее - Закон об ЭЦП) корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.

В соответствии со ст. 2 Федерального закона от 20.02.1995 N 24-ФЗ "Об информации, информатизации и защите информации" (далее - Закон об информации) информационная система - это организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.

Для построения систем защиты для корпоративных вычислительных сетей требуется использовать средства защиты, соответствующие современным стандартам. Данные средства защиты должны быть сертифицированы и лицензированы в соответствии с Законами Российской Федерации от 10.06.1993 N 5151-1 "О сертификации продукции и услуг", от 10.06.1993 N 5154-1 "О стандартизации", Федеральным законом от 25.09.1998 N 158-ФЗ "О лицензировании отдельных видов деятельности".

Часто корпоративная сеть строится путем объединения внутренних филиальных сетей в единое информационное пространство. Иногда принято подразделять сегменты сети на внутренние и внешние. Внутренние сегменты - это сеть головного офиса: объединенные компьютеры в рамках единой охраняемой подконтрольной территории. Внешние сегменты корпоративных систем могут быть распределены по различным регионам страны.

Связь между внешними сегментами осуществляется с использованием общедоступных вычислительных сетей, например Интернета. Чаще всего предприятие имеет подключение к сети Интернет или корпоративная система строится поверх Всемирной сети. Интернет является открытой информационной средой, предоставляющей широкие возможности для злоумышленных действий его участников, а также благоприятной средой распространения компьютерных вирусов и других вредоносных программ. Передаваемые по таким сетям данные наиболее уязвимы к перехвату и подмене. Следовательно, подобные внешние сети требуют повышенного внимания в решении вопросов информационной безопасности.

Многочисленные внутренние вычислительные сети филиалов и отделений предприятия в разное время строились по различным методам для решения конкретных задач и обеспечения локальных бизнес-процессов. Следует отметить, что в разных частях корпоративных систем хранятся и обрабатываются данные разной степени важности и секретности. Необходимо использовать средства разделения сегментов различного уровня критичности в плане информационных рисков. Важно, чтобы наличие многочисленных сервисов не противоречило простоте и удобству использования информационной системы. В противном случае, даже без попыток взлома извне или изнутри будет трудно добиться устойчивой работы системы.

Основные виды информационных угроз

Угроза информационной безопасности - это фактор или совокупность факторов, создающих опасность функционированию и развитию информационной среды общества (ст. 3 Закона Российской Федерации от 05.03.1992 N 2446-1 "О безопасности", далее - Закон о безопасности).

В рамках настоящей статьи угроза информационной безопасности рассматривается как фактор и/или совокупность факторов, создающих опасность функционированию и развитию конкретного информационного объекта (компьютера, локальной или глобальной вычислительной сети).

Рассмотрим основные вредоносные программные средства.

Программа для электронно-вычислительной машины - объективная форма представления совокупности данных и команд, предназначенных для функционирования электронно-вычислительных машин и других компьютерных устройств с целью получения определенного результата, включая подготовительные материалы, полученные в ходе разработки программы для электронно-вычислительной машины и порождаемые ею аудиовизуальные отображения (ст. 2 Закона Российской Федерации от 09.07.1993 N 5351-1 "Об авторском праве и смежных правах", ст. 2 Закона Российской Федерации от 23.09.1992 N 3523-1 "О правовой охране программ для электронных вычислительных машин и баз данных").

Компьютерный вирус - программа, способная создавать копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам (ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов).

Актуальность проблемы антивирусной защиты объясняется следующими причинами:

лавинообразный рост числа компьютерных вирусов, в настоящее время счет известных макровирусов идет на тысячи и продолжает интенсивно расти;

неудовлетворительное состояние антивирусной защиты в существующих корпоративных вычислительных сетях, которые находятся в постоянном развитии, однако вместе с этим постоянно растет и число точек проникновения вирусов в эти сети.

Распространение вирусной инфекции можно предупредить, а также излечиться от нее с помощью существующих антивирусных пакетов, профилактических и организационных действий.

К сожалению, высшее руководство крупных предприятий, как правило, не придает большого значения решению вопросов об обеспечении антивирусной защиты корпоративных вычислительных сетей. При создании комплексных систем информационной безопасности предприятия вопросы антивирусной защиты в лучшем случае решаются разрозненно на локальном уровне.

Сегодня всем известен термин "хакеры". Не останавливаясь на его значении и существующем делении среди хакеров, выделим среди них один класс - компьютерные злоумышленники.

Хакеры организовываются в группы по интересам. Они объединяют доступные им вычислительные мощности для решения текущих задач. Взламывая компьютерные сети крупных организаций, научных и государственных центров, злоумышленники могут использовать "захваченные" ими мощности для собственных целей: подбор секретных ключей или паролей, использование чрезвычайно мощных суперкомпьютеров, которые могут себе позволить только военные или крупные учебные заведения в качестве плацдарма для последующих атак на другие системы.

Группы общаются между собой, обмениваются накопленной информацией, которая добывается всеми доступными способами. Украденные ценные данные могут стать достоянием всего сообщества злоумышленников. Любая уязвимость в распространенных компьютерных системах или программных продуктах, ставшая известной кому-то, сразу становится известной всем. Существуют даже центры обучения, где передача знаний осуществляется со скоростью передачи данных по вычислительными сетям. Скорость и эффективность обучения на порядки превосходят аналогичные показатели при обучении подобных компьютерных специалистов стандартными "академическими" методами. Существуют и методики привлечения и агитации широких масс - пользователей сети. Интригующие, завлекающие приемы хакерского искусства доступны любому, у кого есть персональный компьютер. Это позволяет злоумышленникам привлекать к своей деятельности новых членов, оказывая на них сильное психологическое воздействие.

Основные методы защиты корпоративных сетей

В Федеральном законе от 04.07.1996 N 85-ФЗ "Об участии в международном информационном обмене" (далее - Закон о международном обмене) под "информационной безопасностью" понимается состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

Под "информационной сферой" подразумевается сфера деятельности субъектов, связанная с созданием, преобразованием и потреблением информации.

В соответствии с руководящим документом Гостехкомиссии России (сейчас - ФСТЭК) "Защита от несанкционированного доступа к информации. Термины и определения" безопасность информации - состояние защищенности информации, обрабатываемой средствами вычислительной техники, от внутренних или внешних угроз.

На практике важнейшими являются три аспекта информационной безопасности:

целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);

конфиденциальность (защита от несанкционированного ознакомления);

доступность (возможность за разумное время получить требуемую информационную услугу).

Под конфиденциальной информацией в соответствии с Законом об информации и Законом о международном обмене понимается документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. Документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

Европейские согласованные критерии оценки безопасности (ITSEC: Information Technology Security Evaluation Criteria) информационных технологий раскрывают данные термины следующим образом:

конфиденциальность - защита от несанкционированного получения информации;

целостность - защита от несанкционированного изменения информации;

доступность - защита от несанкционированного удержания информации и ресурсов.

Дефиниция "несанкционированный доступ" к информации дана в Законе о безопасности - это доступ к информации, нарушающий установленные правила ее получения.

Формирование режима информационной безопасности - проблема комплексная. Меры по ее решению можно подразделить на пять уровней:

законодательный (законы, нормативные акты, стандарты и т.п.);

административный (действия общего характера, предпринимаемые руководством организации);

процедурно-социальный (конкретные меры безопасности, имеющие дело с людьми);

технологический;

программно-технический (конкретные технические меры, реализация определенных технологий).

Концепция безопасности и выработанная политика безопасности должны отвечать требованиям специализированных нормативных документов и стандартов, в частности: международных - ISO 17799, 9001, 15408 (CCIMB-99-031), BSI; российских - распоряжения и руководящие документы Гостехкомиссии России (сейчас - ФСТЭК) и ФАПСИ, ГОСТ 34.003, Р 51624, Р 51583 и др.

Первым шагом построения системы безопасности является обследование корпоративной сети. По его итогам разрабатывается комплект документов (концепция информационной безопасности и план защиты), на основе которых будут проводиться все работы по защите информации.

С учетом размеров современных корпораций, количества их филиалов и отделений вычислительные системы для них в основном строятся из значительно разнесенных территориально сегментов. Как правило, такие концерны и компании должны использовать для внутренних нужд глобальные сети общего пользования. Следовательно, необходимо обеспечить защиту потоков корпоративных данных, передаваемых по открытым сетям.

Для защиты от внешних атак со стороны открытых информационных систем, например Интернета, применяется защищенное подключение к подобным сетям. Необходима защита от проникновения в сеть и от утечки информации из сети, для этого осуществляется разграничение "доверенной" (защищаемой) сети от "недоверенной". Подобное защищенное разграничение реализуется при помощи межсетевых экранов.

Требуется также разграничение потоков информации между сегментами сети, соответствующими разным уровням секретности обрабатываемой в них информации.

В настоящее время для крупного предприятия, имеющего сеть филиалов по стране или миру, для успешного ведения бизнеса важна четкая координация в действиях между всеми его филиалами. Для координации бизнес-процессов, протекающих в различных филиалах, необходим обмен информацией между ними. Кроме того, данные, поступающие из различных офисов, аккумулируются для дальнейшей обработки, анализа и хранения в головном офисе. Накопленную централизованную информацию затем используют для решения своих бизнес-задач все филиалы предприятия.

Для организации безопасного обмена данными через открытую информационную среду между филиалами следует создать защищенный канал передачи данных. Под открытой информационной средой подразумеваются вычислительные сети общего пользования.

По статистике 80% компьютерных преступлений совершается сотрудниками предприятия или при их участии. Реализация подобных угроз является внутренней атакой на сеть ее легальным пользователем. Внешняя защита не предназначена для отражения внутренних атак.

Системы обнаружения и отражения внутренних атак совсем недавно появились на рынке. Для осуществления надежной внутренней защиты сетей уровня предприятия рекомендуется использовать автоматизированные средства обнаружения компьютерных атак, сканирование вычислительных сетей в целях выявления информационных уязвимостей, а также организационные меры.

В первую очередь требуется защита наиболее критичных ресурсов сети от вмешательства в нормальный процесс функционирования. Далее по важности: защита важных рабочих мест и ресурсов от НСД. Необходимо выбирать систему защиты, обеспечивающую разграничение доступа в различных операционных системах.

К организационным мерам относятся поднятие общего уровня грамотности пользователей сети в вопросах информационной безопасности, четко оговоренная ответственность сотрудников, периодическое плановое обучение, профилактическая работа администраторов безопасности с пользователями и персоналом вычислительных сетей, выработка корпоративной психологии безопасного использования информационных ресурсов предприятия. Эти методы защиты призваны противостоять применению социальной инженерии: внедрение в доверие и манипулирование сознанием и действиями легальных пользователей сети с целью получить необходимый для злоумышленника результат.

При организации электронного документооборота необходимо обеспечить не только конфиденциальность, но и целостность сообщения (невозможность подменить, изменить сообщение или его авторство). Кроме того, нельзя допустить возможности отказа автора послания от факта отправления подписанного сообщения.

Если информацией обмениваются стороны, не доверяющие друг другу или заинтересованные в проведении действий, направленных друг против друга (банк и клиент, магазин и покупатель), необходимо применять асимметричные методы шифрования, а также электронную цифровую подпись (ЭЦП).

Для защиты от вредоносных программ следует использовать сетевые распределенные антивирусные системы, способные предоставить высокий уровень антивирусной безопасности на всех уровнях и узлах вычислительной системы.

Важно внимательно подходить к решению вопросов по выбору, приобретению, установке, настройке и эксплуатации систем защиты в соответствии с руководящими документами и рекомендациями, разработанными Гостехкомиссией России (ФСТЭК) и ФАПСИ.

Не менее важным является постоянное обучение администраторов безопасности работе с приобретенными средствами защиты. В процессе обучения администратор приобретает базовые знания о технологии обеспечения информационной безопасности, об имеющихся операционных системах, подсистемах безопасности и возможностях изучаемых систем защиты, о технологических приемах, используемых при их настройке и эксплуатации.

Для установленной системы защиты требуется информационное обслуживание по вопросам безопасности. Наличие своевременной информации об обнаруженных уязвимостях и о способах защиты от них, безусловно, поможет предпринять некоторые меры заблаговременно. Источников подобных сведений в настоящее время очень много - это книги, журналы, web-серверы, списки рассылки и т.п.

Корпоративная сеть, подобно живому организму, является постоянно изменяющейся структурой, поэтому необходим периодический аудит системы информационной безопасности.

Нельзя упускать из виду надежность и безопасность программного обеспечения, используемого в телекоммуникационных комплексах, особенно в случаях, когда передаваемая по ним информация составляет охраняемую законом тайну. Вместе с тем применяемые обычно методы тестирования программных продуктов не обеспечивают соблюдения этого требования в надлежащей степени.

Обнаружение атак. В последнее время активно развивается направление разработки программных и аппаратных комплексов, предназначенных для мониторинга работы вычислительной сети в целях обнаружения в ней нелегальных, несанкционированных или иных подозрительных действий пользователей и программ. Любое отклонение от нормального функционирования сетевых интерфейсов и каждый известный сценарий атаки тщательно анализируются этой системой, а также регистрируются в специальных журналах для последующего ознакомления с развитиями событий сетевых администраторов.

Подобные системы снабжаются средствами сигнализации и уведомления ответственных лиц о любых попытках нарушения безопасного состояния информационной системы. Они локализуют место возникновения угрозы, характеризуют уровень критичности реализации данной угрозы и стадию, на которой находится развитие предполагаемой информационной атаки.

Электронная цифровая подпись. Основной целью принятия Закона об ЭЦП являлось обеспечение правовых условий для использования ЭЦП в электронных документах, при соблюдении которых она признается в электронном документе равнозначной собственноручной подписи в документе на бумажном носителе (п. 1 ст. 1). На отношения, возникающие при использовании иных аналогов собственноручной подписи, Закон об ЭЦП не распространяется (п. 2 ст. 1). Данный нормативный акт значительно укрепил правовой статус ЭЦП и регулирует такие аспекты, как организация электронного документооборота, распределение открытых и закрытых ключей, построение центров сертификации. Положения Закона об ЭЦП помогли разрешить многие спорные вопросы о применении ЭЦП. Однако остались некоторые недочеты и пробелы в вопросах реализации систем электронного документооборота.

Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе (ст. 3 Закона об ЭЦП).

Электронная подпись документа позволяет установить его подлинность. Кроме того, криптографические средства обеспечивают защиту от следующих злоумышленных деяний, наносящих значительный ущерб субъектам бизнеса во всем мире:

отказ (ренегатство) - абонент А заявляет, что не посылал сообщения Б, хотя на самом деле посылал;

модификация (переделка) - абонент Б изменяет документ и утверждает, что данный документ (измененный) получил от абонента А;

подмена - абонент Б формирует документ (новый) и заявляет, что получил его от абонента А;

активный перехват - нарушитель (подключившийся к сети) перехватывает документы (файлы) и изменяет их;

"маскарад" - абонент В посылает документ от имени абонента А;

повтор - абонент В повторяет ранее переданный документ, который абонент А послал абоненту Б.

Системы антивирусной защиты. В последнее время значение антивирусной защиты в комплексной системе безопасности корпоративных систем резко возросло. Это объясняется, с одной стороны, увеличением числа и разновидностей компьютерных вирусов, а с другой - уязвимостью сетей в результате проникновения в них вредоносных программ из внешних систем: Интернет и по каналам электронной почты. Кроме того, сохраняется возможность проникновения вирусов с зараженных переносных носителей информации, используемых сотрудниками компании (дискеты, CD-диски и т.п.).

Удовлетворительное состояние антивирусной защиты сети предприятия не может обеспечиваться исключительно путем установки и запуска антивирусного программного обеспечения на рабочих станциях и серверах компании. Эффективная корпоративная система антивирусной защиты - это гибкая динамичная система с обратными связями, реализованная по технологии "клиент-сервер", улавливающая любое подозрительное действие в сети. Такая система тесно интегрирована с другими решениями в области безопасности компьютерных сетей.

Для крупных предприятий вопрос об обеспечении антивирусной защиты вычислительных сетей с учетом неопределенности сроков его полного решения вырастает в сложную проблему, причем не только техническую, но и финансовую. Обычно проблема борьбы с вирусами в локальной вычислительной сети предприятия решается следующим образом:

установка однопользовательских локальных версий антивирусного программного обеспечения на рабочие станции и серверы сети;

на особо важных машинах запускают антивирусные мониторы, а также применяется ночное сканирование жестких дисков ВМ сети;

в случае явных проявлений симптомов деятельности вируса производится сканирование зараженного (подозрительного) компьютера;

иногда сканирование осуществляется на всех компьютерах, объединенных в сеть, но оно редко затрагивает резервные или архивные данные.

К сожалению, такая локализация данной проблемы не способна решить проблему эффективной антивирусной защиты и является минимальной мерой, не гарантирующей устойчивого функционирования корпоративной системы в течение продолжительного времени. Вместе с тем ее достаточно эффективное решение достигается путем разумного сочетания комплекса организационных мер и программно-технических методов, сопряженных по задачам, месту и времени применения.

В настоящее время разработаны следующие принципы построения систем антивирусной защиты корпоративных сетей:

реализация единой технической политики при обосновании выбора и использовании антивирусных продуктов для всех сегментов корпоративной сети;

полнота охвата системой антивирусной защиты всей корпоративной сети предприятия;

непрерывность контроля за состоянием корпоративной сети для своевременного обнаружения вирусов;

централизованное управление системой антивирусной защиты.

Эффективная корпоративная система антивирусной защиты обязана предупреждать и останавливать распространение вирусов в рамках внутренней структуры корпоративной сети. Она обнаруживает и нейтрализует различные вирусные атаки как известные, так неизвестные на самой ранней стадии их развития.

Антивирусная система должна отражать проникновение вредоносных программ как извне (подключение к Интернету, электронная почта), так и изнутри (открытие зараженного документа с дискеты, флэш-карты). Перед специалистами компьютерной безопасности встает сложная задача проектирования и реализации подобных систем антивирусной защиты корпоративного уровня.

Сегодня известны отечественные и западные системы антивирусной защиты "Лаборатории Касперского", "Диалог-Наука", Trend Micro, McAfee, Symantec, Computer Associates, Panda Software, позволяющие блокировать все возможные пути проникновения вирусов и других вредоносных программ в корпоративную сеть. Существенными особенностями данных систем являются:

устойчивость к неблагоприятным условиям внешней среды;

сочетание централизованного и децентрализованного подходов к управлению антивирусной защитой корпоративной сети;

активное использование механизмов обратных связей для своевременного обнаружения и устранения как известных, так и неизвестных ранее вирусов и других вредоносных программ;

использование различных анализаторов, позволяющих осуществлять как синтаксическую, так и семантическую верификацию потоков данных, циркулирующих через входные и выходные шлюзы корпоративной сети.

Руководство служб информационной безопасности российских компаний уже не сомневается в необходимости антивирусной защиты. Проблема эффективного построения подобной системы в настоящее время очень актуальна. Установка антивирусных пакетов на серверах и персональных компьютерах сети позволяет значительно снизить риск вирусного заражения, но не исключает его полностью в силу ряда случайных факторов: ошибок пользователей, неправильных настроек, несвоевременности обновления антивирусных баз пакета и т.д.

Нельзя пассивно наблюдать за ходом вирусных атак и других вредоносных программ. Необходимо эффективно управлять защитой корпоративной сети с помощью специальных средств централизованного управления антивирусной защитой и обеспечивать устойчивое функционирование вычислительных сетей.

Заключение

Представим единый список защитных сервисов и мероприятий, необходимых для обеспечения информационной безопасности корпоративных вычислительных систем:

разработка концепции информационной безопасности и политики безопасности;

проверка соответствия выработанной политики и концепции безопасности общепринятым стандартам;

обследование корпоративной системы и анализ информационных рисков;

разработка организационно-распорядительных документов;

организация защищенного подключения к Интернету вычислительных сетей филиалов организации;

создание безопасного канала передачи данных между объектами распределенной системы;

организация управления распределенными информационными ресурсами;

обеспечение безопасности распределенной программной среды;

организация безопасного сетевого взаимодействия;

сертификация построенной системы обеспечения информационной безопасности;

лицензирование программных продуктов, входящих в систему информационной защиты.

Конечно, не существует стандартных решений, одинаково применяемых в разных условиях, но реализация комплекса перечисленных мероприятий с учетом этих дополнений позволяет обеспечить достаточный уровень защищенности информации в корпоративной сети конкретной компании.