Требования с СОБ корпоративной сети
Для комплексного подхода к обеспечению безопасности сети основные функциональные требования заключаются в следующем.
1. Организация централизованной службы административного управления безопасностью сети, обеспечивающая высокий уровень защищенности ККС. Такая централизация соответствует характеру управления всей сетью: обычно в ККС имеется централизованная служба административного управления сети (ЦУС – центр управления сети), включающая службы управления эффективностью функционирования, конфигурацией и именами, учетными данными, данными об отказах и сбоях и др.
Основные функции выделенного центра управления безопасностью (ЦУБ) сети: сбор информации о зарегистрированных нарушениях, ее обработка и анализ с целью удаленного управления всеми программно-аппаратными средствами защиты информации. Функции ЦУБ и ЦУС не должны быть совмещены на одном рабочем месте администратора сети, хотя они и являются службами сетевого управления. Необходимо предусмотреть алгоритм взаимодействия между ними, с тем чтобы предотвратить принятие прямо противоположных решений со стороны администраторов для управления и защиты сети в процессе ее функционирования.
2. Многоуровневость СОБ, предусматривающая несколько рубежей (уровней) защиты, реализованных в разных местах сети.
3. Распределенность средств защиты по разным элементам и звеньям сети с обеспечением автономного управления каждым из этих средств.
4. Разнородность или разнотипность применяемых средств защиты. Должны использоваться программные, аппаратные и программно-аппаратные средства. Требование разнотипности относится и к использованию различных механизмов защиты: нельзя ограничиваться, например, одной криптографической защитой или построением сверхзащищенной технологии аутентификации, необходимо реализовать и другие механизмы защиты.
5. Уникальность защиты, являющаяся ее важнейшей составляющей. Степень защищенности сети зависит от сложности и, главное, оригинальности алгоритма защиты, количества реализаций такого алгоритма и времени его использования. Это означает, что с течением времени любой механизм защиты будет вскрыт, особенно если он многократно тиражирован, т.е. представлен для исследования большому количеству хакеров. Следовательно, предпочтение следует отдать собственному механизму защиты, уникальность которого снизит интерес со стороны хакеров, поскольку их в гораздо большей степени привлекают массовые, типовые решения (для них можно создать стандартные средства вскрытия, допускающие тиражирование).
6. Прозрачность и простота средств защиты. Это требование достаточно противоречиво, его трудно реализовать на практике. Для эксплуатации СОБ лучше иметь много простых и понятных средств, чем одно сложное и трудновоспринимаемое средство. Однако для защиты от хакеров предпочтительными могут оказаться сложные и «непрозрачные» решения.
7. Физическое разделение (подключение к различным связным ресурсам) серверов и рабочих станций, т.е. организация подсетей рабочих станций и серверов.
8. Распределение полномочий, в соответствии с которым ни один человек персонально не имеет доступа ко всем возможностям (ресурсам) сети. Такие возможности открываются только группе уполномоченных лиц. Один из аспектов этого требования заключается в том, что сменный дежурный администратор сети не может обладать теми же полномочиями по конфигурированию СОБ, которыми обладает администратор по управлению безопасностью сети.
9. Непрерывность развития СОБ, т.е. постоянное наращивание возможностей и модификация системы защиты с течением времени. Развитие должно быть заложено в самом механизме защиты. Разработка СОБ – это не одно разовое действие, а постоянный процесс.
10. Обеспечение предотвращения несанкционированного доступа к информационным ресурсам сети со стороны внутренних и внешних злоумышленников. Для этого могут быть предусмотрены такие мероприятия:
- снабжение ККС межсетевыми средствами защиты от несанкционированного доступа, которые должны обеспечить сокрытие структуры защищаемых объектов, в частности IP-адресов (шифрование этих адресов недопустимо при использовании средств коммутации ТСС общего пользования);
- обеспечение закрытия и несовместимости протоколов верхних уровней (5-го и 7-го уровней модели ВОС) с протоколами телекоммуникационных служб Internet при установлении соединения и открытия при обмене информацией;
-обеспечение защиты от возможной подмены алгоритма взаимодействия клиента с сервером при установлении соединения между ними;
- исключение сервера Internet (коммуникационного сервера доступа к Internet) из подсети функциональных серверов ККС; он должен иметь собственную группу рабочих станций, изолированных из подсети функциональных рабочих мест ККС.
Ориентация на эти требования и их реализация обеспечивают безопасность информации в ККС, т.е. создают такие условия ввода-вывода, хранения, обработки и передачи, при которых гарантируется достаточная степень защиты от утечки, модификации и утраты, а также свободный доступ к данным только их владельца и его доверенных лиц. Удовлетворение перечисленных требований позволяет формировать надежную систему обеспечения безопасности ККС как совокупность правил, методов и программно-аппаратных средств, создаваемых при ее проектировании, непрерывно совершенствуемых и поддерживаемых в процессе эксплуатации для предупреждения нарушений нормального функционирования при появлении негативных случайных факторов или умышленных действий, когда возможно нанесение ущерба пользователям путем отказа в обслуживании, раскрытия или модификации защищаемых процессов, данных или технических средств.
Количественная оценка прочности защиты (вероятности ее преодоления) может осуществляться с помощью временного фактора. Если время контроля и передачи сообщения в ЦУБ о несанкционированном доступе меньше ожидаемого времени, затрачиваемого нарушителем на преодоление средств защиты и блокировки доступа к информации, то вероятность преодоления этих средств приближается к единице, в противном случае прочность защиты выше. Средства защиты обеспечивают приемлемую прочность, если ожидаемые затраты времени на их преодоление будут больше времени жизни информации, подлежащей защите.
2.3. Классификациясредствзащиты и способы из разработки
В зависимости от способа реализации методы и средства защиты разделяются на следующие группы.
1. Организационные методы. Они представляют собой набор инструкций, определяющий обязательные для всех пользователей порядок и правила использования компьютеров сети, а также ограничения по правилам доступа в компьютерные помещения.
2. Технологические методы. Они рассматриваются как основа защиты любой системы. Любое технологическое решение реализуется организационно, аппаратно или программно. Примеры технологических решений: фильтрация пакетов, мониторинг и аудит сети, автоматическое ведение журналов регистрации, система «обратного дозвона» (по запросу удаленного пользователя соединение не устанавливается, а лишь регистрируется запрос на соединение, после чего система сама производит обратный вызов абонента по указанному им адресу).
3. Аппаратные средства защиты (АСЗ). Они обеспечивают наиболее надежную защиту, с их помощью могут быть реализованы практически любые концепции защиты, но стоимость реализации оказывается на порядок выше по сравнению с аналогичными по назначению программным средствами. Аппаратные средства исключают любое вмешательство в их работу непосредственно из сети, изучение их работы возможно только при наличии непосредственного физического доступа к ним. Кроме того, они отличаются большей производительностью по сравнению с программными средствами (особенно если они используются в устройствах криптографической защиты).
4. Программные средства защиты (ПСЗ). Это наиболее распространенные средства, с их помощью реализуются все идеи и методы защиты, причем стоимость реализации сравнительно невысока. Основной недостаток программных средств – доступность для хакеров, особенно это касается широко распространенных на рынке средств защиты. Поэтому желательна разработка собственных оригинальных программных средств защиты.
5. Программно-аппаратные (гибридные) средства защиты. Они основаны на использовании технологических устройств, допускающих некоторую настройку параметров их работы программными методами, и представляют собой компромисс между предыдущими двумя способами, совмещая высокую производительность аппаратно реализованных систем и гибкость настройки программных. К числу таких гибридных средств относятся аппаратно реализованные маршрутизаторы фирмы Cisco, допускающие их настройку для работы в качестве пакетных фильтров.
Для СОБ корпоративной сети существуют различные варианты разработки и приобретения средств защиты. Приведем краткую характеристику этих вариантов.
Коммерческая реализация средств защиты – это доступное и полнофункциональное решение по комплектации СОБ аппаратными и программными средствами защиты. Используя такое решение, необходимо обращать внимание на сертификацию этих средств и приобретать только лицензионные версии. Общим и очевидным недостатком является неопределенность степени защиты по отношению к возможностям фирмы производителя. В связи с этим там, где это возможно, следует воспринимать общие рекомендации, но не всегда использовать конкретные рекомендуемые решения.
Самостоятельная разработка средств защиты – во всех случаях это наиболее предпочтительный вариант, особенно если речь идет о технологических и организационных методах защиты. При самостоятельной разработке АСЗ и ПСЗ достигается более высокая надежность защиты ККС, однако серьезным недостатком такого решения является трудность сертификации конечного продукта. Рациональным представляется такой вариант, когда осуществляется самостоятельная разработка только тех дополнений средств защиты, которые необходимы, но отсутствуют в готовом продукте. В этом случае получается дополнительный рубеж защиты, в том числе и от фирмы-производителя данного продукта.
Индивидуальный заказ средств защиты крупным производителям – такое решение могло бы стать идеальным, но в настоящее время трудно найти организацию, готовую реализовать такой заказ в полном объеме. Кроме того, этот вариант связан с немалыми финансовыми и временными затратами.
Смешанный подход к реализации средств защиты основан на том, что следует, не полагаясь на опыт поставщика, самостоятельно разобраться во всех возможностях настройки предлагаемого изделия и произвести ее, хотя это и связано с существенными трудозатратами. Такой подход почти всегда реален и реализуем.
2.4. Традиционные методы исредства обеспечения безопасности ККС
Рассматриваемые ниже конкретные методы и средства защиты, используемые в ККС, разделены на традиционные и специфические сетевые. Традиционные методы и средства зарождались и применялись еще до появления ТКС как в отдельных компьютерах, так и в многопользовательских средствах, построенных на одном компьютере. Сетевые методы и средства появились только с развитием сетевых технологий. Они не заменяют, а дополняют традиционные методы.
Традиционные методы и средства. К ним относятся следующие.
1. Криптографические методы защиты. Они необходимы во всех случаях обеспечения безопасности (независимо от того, применяются они в сети или вне ее) и основаны на шифровании информации и программ. Шифрование программ гарантирует невозможность внесения в них изменений. Криптографическая защита данных осуществляется как при их хранении, так и при передаче по сети. В настоящее время доступны как программная, так и высокопроизводительная аппаратная реализация средств криптографии.
Различают два способа шифрования: канальное и оконечное (абонентское).
Канальное шифрование реализуется с помощью протокола канального уровня, при этом защищается вся передаваемая по каналу связи информация, включая служебную. Особенности канального шифрования:
- обеспечивается надежная защита всей передаваемой информации, причем вскрытие ключа шифрования для одного канала не приводит к компрометации информации в других каналах;
- на промежуточных узлах (ретрансляторах, шлюзах и т.д.) вся информация оказывается открытой;
- для каждой пары узлов необходим свой ключ;
- алгоритм шифрования должен обеспечивать скорость шифрования на уровне пропускной способности канала, что нередко приводит к необходимости его реализации аппаратными средствами, а это увеличивает расходы на создание и обслуживание системы защиты.
Абонентское шифрование реализуется с помощью протокола прикладного или в некоторых случаях представительного уровня. Оно обеспечивает конфиденциальность данных между двумя прикладными объектами (отправитель зашифровывает данные, получатель – расшифровывает). Особенности абонентского шифрования:
- защищается только содержание сообщения, служебная информация остается открытой;
- при стойком алгоритме шифрования никто, кроме отправителя и получателя, не может восстановить информацию;
- маршрут передачи не имеет значения – в любом канале информация остается защищенной;
- для каждой пары пользователей требуется уникальный ключ;
- пользователи принимают участие в выполняемых операциях и должны знать процедуры шифрования и распределения ключей.
Выбор способа шифрования зависит от результатов анализа риска, от выяснения того, что более, уязвимо – непосредственно отдельный канал связи или содержание сообщения, передаваемого по различным каналам. Для канального шифрования затрачивается меньше времени, оно более прозрачно для пользователя и требует меньше ключей. Абонентское шифрование более гибко, может использоваться выборочно, но требует участия пользователей.
2. Парольная защита. Основана на использовании некоторой комбинации символов (пароля), открывающей доступ к запрашиваемому ресурсу сети. С помощью паролей защищаются файлы, личные или фирменные архивы, программы или отдельные компьютеры (пароль на его включение). В сетях пароли используются как самостоятельно, так и в качестве основы для различных методов аутентификации.
В практике использования паролей выработан ряд требований:
- длина пароля не может быть менее 8 символов (короткие пароли обладают слабой защищенностью, так как на современных компьютерах раскрываются простым перебором);
- в качестве пароля не может использоваться слово из какого бы то ни было языка;
- один и тот же пароль не может быть использован для доступа к разным объектам;
- старый пароль не должен использоваться повторно;
- пароль должен меняться как можно чаще.
3. Идентификация пользователей. Это развитие системы парольной защиты на более современном техническом уровне. Для идентификации пользователей применяются специальные электронные карты, содержащие идентифицирующую конкретного пользователя информацию. Реализация системы идентификации пользователей осуществляется аппаратно, поэтому она является более надежной, чем парольная защита.
4. Аутентификация пользователей. Это процедура проверки пользователей, аппаратуры или программы для получения доступа к определенному ресурсу. В сущности это также развитие системы парольной защиты для использования в сетях. По отношению к пользователю система аутентификации обычно требует указания имени и предъявления пароля или электронной карты. Частая смена паролей, а тем более электронных карт неудобна, поэтому многие переходят к использованию одноразового динамического пароля, который генерируется аппаратными или программными средствами.
5. Привязка программ и данных к конкретному компьютеру. Основная идея этого метода состоит в том, что в данные или программу включаются конкретные параметры (характеристики) конкретного компьютера, что делает невозможным чтение данных или исполнение программ на другом компьютере. Применительно к сети различные модификации такого метода могут требовать либо выполнения всех операций на конкретном компьютере, либо наличия активного соединения сети с конкретным компьютером.
6. Разграничение прав доступа пользователей к ресурсам сети. В основу метода положено использование таблиц или наборов таблиц, определяющих права пользователей и построенных по правилам «разрешено все, кроме» или «разрешено только». Таблицы по идентификатору или паролю пользователя определяют его права доступа к ресурсам сети – дискам, конкретным файлам, операциям записи, чтения или копирования, системному принтеру и т.д. Возможность такого разграничения определяется, как правило, возможностями используемой операционной системы, которые заложены именно в ней. Большинство современных ОС предусматривают разграничение доступа, но в каждой из них эти возможности реализованы разными способами и в разном объеме.
7. Использование заложенных в ОС возможностей защиты. Это превратилось в обязательное правило, однако большинство используемых ОС имеют недостаточную защиту или предоставляют возможности ее реализации дополнительными средствами. Например, операционная система Windows NT сертифицирована на класс защиты, предусматривающий: защиту объектов от повторного использования другими процессами, возможность владельца ресурса (например, файла) контролировать доступ к нему, идентификацию пользователей с помощью уникальных имен и паролей, возможность аудита связанных с безопасностью событий, защиту ОС самой себя от изменений.
2.5. Специфические методы исредства
Введем сначала понятие промежуточной сети, которая представляет собой совокупность оборудования (включая межсетевые экраны, маршрутизаторы, концентраторы, мосты и т.д.), расположенного между двумя объединенными сетями. Основными типами устройств защиты промежуточной сети являются пакетные фильтры, прокси-системы, системы контроля текущего состояния, которые обычно реализуются в межсетевых экранах.
1. Межсетевые экраны (брандмауэры) – механизмы защиты сети от внешнего мира, они служат барьером, ограничивающим распространение информации из одной сети в другую. Межсетевые экраны (МЭ) реализуются программными, аппаратными или программно-аппаратными средствами. Они могут быть: открытыми (функционируют на основе открытых протоколов Internet и служат для подключения к ККС открытых серверов Internet) и корпоративными (служат для обеспечения в ККС защищенного взаимодействия «клиент-сервер» с закрытыми серверами корпоративной сети, в том числе по виртуальным каналам сетей общего пользования), внешними (работают на виртуальном канале парами – входной и выходной МЭ, предназначены для разграничения прав доступа к виртуальному каналу связи и согласования параметров его защищенности при взаимодействии «клиент-сервер») и внутренними (обеспечивают разграничение прав доступа к ресурсам информационного сервера).
Основные функции МЭ корпоративной сети:
- физическое разделение рабочих станций и серверов ККС от каналов связи общего назначения (деление на подсети);
- разграничение прав доступа пользователей ККС к серверам по нескольким признакам;
- регистрация всех событий, связанных с доступом к серверам ККС;
- обеспечение многоэтапной идентификации и аутентификации всех сетевых элементов;
- контроль за целостностью программ и данных, а также отслеживание прерывания такого контроля во время сеанса обмена данными;
- сокрытие IP-адресов информационных серверов;
- согласование качества обслуживания между межсетевыми средствами защиты глобальной сети при установлении соединения.
Кроме того, межсетевой экран ККС на уровне взаимодействия «клиент-сервер» должен использовать средства защиты, реализующие функции таких служб безопасности: засекречивания соединения, выборочных полей и потока данных, контроля за целостностью соединения и выборочных полей, защиты от отказов с подтверждением отправления и доставки.
Используются несколько типов МЭ, отличающихся назначением и принципами построения. Основные из них – пакетные фильтры, прокси-системы, устройства контроля текущего состояния.
Пакетные фильтры – аппаратные или программные механизмы, предназначенные для ограничения входящего и исходящего трафиков между взаимодействующими абонентами сети, реализующие при этом определенный набор задаваемых при настройке правил. Примером аппаратного фильтра может служить фильтрующий маршрутизатор, в который встроены функции ограничения трафика на входе и выходе. Он отличается высокой пропускной способностью. Программный фильтр обычно устанавливается на сетевом сервере, выполняющем роль маршрутизирующего шлюза. Его пропускная способность ниже, чем у аппаратного фильтра, зато его система настройки является более гибкой и удобной.
Прокси-система – это шлюз прикладного уровня, реализующий идею прокси-сервера (сервера-посредника), который выступает в роли посредника между внешней и внутренней сетями (при использовании прокси-сервера ККС и Internet физически не соединены). Основные преимущества прокси-сервера: сохранение инкогнито компьютера конечного пользователя (сокрытие IP-адреса этого компьютера от хакера) и экономия адресного пространства, так как для внутренней сети может использоваться любая схема адресации, включая использование официально не зарегистрированных IP-адресов. Его основной недостаток – поддержка только тех протоколов, для которых он разработан.
Устройства контроля текущего состояния обеспечивают отслеживание соединения по его установлению. В отличие от фильтров они не просто ориентируются на заголовок IP-пакета, но и проверяют информацию о приложении, чтобы убедиться, что это действительно тот пакет, который объявлен в заголовке. Кроме того, такие устройства значительно производительнее прокси-систем.
2. Средства усиления защиты сети – это некоторые устройства промежуточной сети и отдельные технологические решения.
К ним относятся:
- шлюзы уровня виртуального канала, позволяющие пользователям соединяться и обмениваться пакетами с сервером. При этом каждый пакет в отдельности не проверяется, а после проверки адресных данных принимаются сразу несколько пакетов. Такие шлюзы могут использоваться для полного запрета прямых контактов компьютеров внутренней сети с внешней сетью;
- переключаемые мосты на концентраторе, контролирующие направление трафика в сети и реализующие дополнительную фильтрацию пакетов, создавая таким образом еще один барьер для хакеров;
- создание виртуальной части сети, если предусматривается подключение удаленных пользователей к ККС. Применение такой технологии основано на аутентификации удаленных пользователей и шифровании всего сетевого трафика;
- изоляция протоколов путем использования протокола TCP/IP только для связи с Internet. Во внутренней сети используются другие протоколы, несовместимые с TCP/IP, а доступ к Internet осуществляется через шлюз прикладного уровня;
- реализация межсетевого экрана на внутреннем сервере. Такой экран располагается после выделенного сетевого экрана и является последним рубежом защиты.
3. Архитектурные методы защиты – это решения, принимаемые на уровне топологии и архитектуры сети с целью повышения ее защищенности. Такие решения могут приниматься на уровне внутренней сети (корпоративной, локальной) или на уровне промежуточной сети, которая связывает внутреннюю сеть с внешней (например, с сетью Internet).
На уровне топологии и архитектуры внутренней сети могут приниматься такие решения:
- физическая изоляция закрытого сегмента внутренней сети, содержащего конфиденциальную информацию, от внешней сети, связь с которой поддерживается через открытый сегмент внутренней сети;
- кратковременное (сеансовое) подключение внутренней сети к сегменту сети, подключенному к Internet, с помощью коммутатора и/или переключаемого моста (такое подключение более безопасно, чем постоянное соединение);
- функциональное разделение внутренней сети на подсети, при котором в каждой подсети работают пользователи (сотрудники компании), объединенные по профессиональным интересам.
Меры обеспечения безопасности на уровне архитектуры промежуточной сети нередко связаны с реализацией компонентов многоуровневой защиты. Если промежуточная сеть включает маршрутизатор, компьютер, выделенный для межсетевого экрана, и концентратор, соединенный непосредственно с сервером внутренней сети, то средства защиты могут быть реализованы на каждом из этих устройств. Например, на маршрутизаторе – фильтрация пакетов, на компьютере – межсетевой экран, на концентраторе – переключаемый мост и виртуальная ЛКС, на сервере внутренней сети – еще один межсетевой экран.
Обязательным дополнением к рассмотренным сетевым методам и средствам защиты является мониторинг и аудит сети, составляющие основу обеспечения ее безопасности. Мониторинг (контроль текущего состояния и параметров работы сети) и аудит (регулярный анализ журналов регистрации для выявления происходящих в сети процессов и активности пользователей) входят в обязанности сетевого администратора. Проведение этой работы обеспечивается сетевыми ОС, которые имеют соответствующие встроенные или дополнительно поставляемые программы. Для этой же цели могут использоваться дополнительные средства: аппаратные или программные перехватчики пакетов (анализирующие собранные пакеты на наличие в них информации, которой может воспользоваться злоумышленник), аппаратно реализованные анализаторы сети (измеряющие и контролирующие трафик в сети) и др.
В заключение еще раз следует подчеркнуть, что при построении СОБ корпоративной сети предпочтительнее использовать аппаратные или аппаратно-программные средства, так как чисто программные средства не обеспечивают такой же надежной защиты.
Поскольку система обеспечения безопасности строится применительно к конкретной сети, она должна учитывать ее особенности, т.е. представлять собой индивидуальную систему защиты. К числу основных особенностей защищаемой сети относятся: класс сети (локальная или территориальная, централизованная или распределенная), топология, используемое аппаратное и программное обеспечение, набор протоколов (хотя они должны выбираться с учетом требований безопасности), состав и количество пользователей, протяженность линий связи, режимы работы, назначение и функции сети.
В организации и обеспечении процессов функционирования системы защиты ККС важную роль играет анализ риска. Риск – это стоимостное выражение вероятностного события, ведущего к потерям. Для оценки степени риска при том или ином варианте действия используются различные методики, получившие название «анализ риска».
Анализ риска – эти процесс получения количественной или качественной оценки ущерба, который может иметь место в случае реализации угрозы безопасности сети. Он необходим для выявления наиболее опасных и реальных угроз ККС и выбора целесообразных способов защиты от них.
При проведении анализа риска выполняются следующие операции:
- описание компонентов сети и технологии приема, хранения, обработки и выдачи информации в ней. В результате этого этапа фиксируется состояние сети;
- определение уязвимых мест ККС;
- оценка вероятностей проявления угроз безопасности сети, т.е. определение частости проявления этих угроз;
- оценка ожидаемых размеров потерь. Такая оценка достаточно сложна, однако даже приближенная, но реалистичная оценка потенциального ущерба может послужить основой для совершенствования СОБ сети;
- обзор возможных методов защиты и оценка их стоимости;
- оценка выгоды от применения предполагаемых мер. Сущность этой операции заключается в анализе различных вариантов построения СОБ и выборе оптимального из них по определенному критерию, например по наилучшему соотношению «эффективность/стоимость».
Для оценки надежности средств защиты разработаны критерии оценки безопасности. Введена иерархия функциональных классов безопасности средств защиты, каждому классу безопасности соответствует определенная совокупность обязательных функций по обеспечению безопасности. Это облегчает задачу выбора средств защиты при создании СОБ сети.