Построение многоуровневой системы обеспечения информационной безопасности
Современные автоматизированные системы корпоративного уровня относятся к распределенным системам, построенным в архитектуре «клиент-сервер» и осуществляющим автоматизированную обработку информации на различных уровнях. В частности, в их работе широко используются публичные вычислительные сети (INTERNET) и сети связи, применяемые для обеспечения взаимодействия входящих в состав АС локальных(LAN) и кампусных сетей(CAN). Безопасность таких коммуникаций, как и безопасность АС в целом, должна быть безусловно обеспечена входящей в состав АС системой (подсистемой) обеспечения информационной безопасности (СОИБ).
Функции СОИБ состоят прежде всего в реализации принятой в организации политики безопасности. Для ее построения целесообразно использовать многоуровневый иерархический подход, который мы постоянно применяем и в других дисциплинах.
Собственно обработка информации осуществляется на отдельных компьютерах пользователей АС. Средства обеспечения их безопасности и образуют первый (нижний) уровень СОИБ — уровень рабочих станций. Средства этого уровня включают в себя:
· штатные средства защиты операционных систем;
· штатные средства защиты прикладного локального ПО;
· антивирусные пакеты;
· дополнительные устройства и средства аутентификации пользователя;
· дополнительные устройства и средства защиты рабочих станций от несанкционированного доступа;
· криптографические средства шифрования прикладного уровня.
Далее, при создании АС мы объединяем отдельные рабочие станции в локальные вычислительные сети (ЛВС). Устанавливаем и конфигурируем сервера, обеспечивающие работу АС в рамках данного сегмента сети. Устанавливаем и конфигурируем сетевое оборудование (прежде всего коммутаторы), обеспечивающее работу этого сегмента. При необходимости — устанавливаем и конфигурируем специализированные сетевые средства обеспечения безопасности.
Все эти средства образуют второй уровень СОИБ — уровень локальной сети. Он включает в себя:
· средства обеспечения безопасности сетевых ОС;
· средства разграничения доступа к разделяемым информационным ресурсам сетевых ОС;
· сетевые средства аутентификации субъектов АС;
· межсетевые экраны (МЭ) различных уровней;
· средства организации и обслуживания VLAN
· средства обнаружения атак и уязвимостей в рамках локальной сети.
При дальнейшем построении корпоративных АС мы объединяем отдельные ЛВС в единую ячеистую корпоративную сеть. Для этого, как правило, используют внешнюю сетевую инфраструктуру (сети провайдеров), а для обеспечения безопасности — межсетевые экраны и криптографические средства. Тем самым образуется виртуальная защищенная сеть (VPN), состоящая из ЛВС, объединенных проходящими через внешнюю публичную сеть защищенными виртуальными каналами, обеспечивающими туннелирование через них корпоративного трафика. Таким образом, получаем третий уровень СОИБ — уровень корпоративной сети. Он включает в себя прежде всего средства организации VPN (в том числе аппаратные шлюзы):
· межсетевые экраны;
· средства защищенного туннелирования сетевого (на основе стека протоколов IPsec) и канального уровней;
· инфраструктуру обмена ключевой информацией (на основе стека протоколов IKE).
Кроме того, и на этом уровне могут действовать системы обнаружения атак и реагирования на них, позволяющие построить адаптивную СОИБ.
Каждая корпоративная сеть принадлежит одной организации и обеспечивает ее функционирование. Но она обязательно взаимодействует с другими организациями и, возможно, частными лицами — поставщиками сырья и комплектующих изделий, субподрядчиками, потребителями продукции организации. Для достижения максимальной эффективности деятельности этих организаций (производства, торговли, финансовых операций и т. д.) их АС должны взаимодействовать. При этом экономится время на подготовку, согласование и исполнение договоров между организациями. Главная проблема, которая при этом возникает — защита (включая взаимную аутентификацию) каналов обмена конфиденциальной информацией между АС разных организаций. Для этого необходима внешняя инфраструктура обмена ключевой информацией (которой доверяют обе стороны) — либо государственная, либо, по соглашению сторон, частная. Как правило, используется аутентификация на основе ассиметричных криптографических алгоритмов по рекомендациям X.509, и искомая инфраструктура представляет собой инфраструктуру открытых ключей (PKI). Типичный пример ее использования — известные системы электронной торговли и системы проведения банковских операций (интернет-магазины и интернет-банки). Для защиты электронных документов от изменения и для аутентификации автора документа используется электронная цифровая подпись (ЭЦП). Технология ЭЦП в настоящее время поддержана законодательно, и документ с такой подписью имеет юридическую силу.
Средства защиты каналов взаимодействия различных АС образуют высший, четвертый уровень СОИБ — уровень межкорпоративного обмена.
Построение СОИБ далеко не всегда является сугубо технической задачей. Гораздо чаще оно представляет собой задачу организационно-техническую, в которой от решения организационной составляющей во многом зависит состав и сложность реализации составляющей технической.