Введение
В последнее время весьмаактуальной стала проблема обеспечения информационной безопасности. В даннойстатье мы рассмотрим основные информационные уязвимости корпоративных сетей, атакже методы защиты от распространенных угроз и атак на информационные системыпредприятия.
Согласно Федеральномузакону от 10.01.2002 N 1-ФЗ «Об электронной цифровой подписи» (далее- Закон об ЭЦП) корпоративная информационная система — информационная система,участниками которой может быть ограниченный круг лиц, определенный еевладельцем или соглашением участников этой информационной системы.
В соответствии со ст. 2Федерального закона от 20.02.1995 N 24-ФЗ «Об информации, информатизации изащите информации» (далее — Закон об информации) информационная система — это организационно упорядоченная совокупность документов (массивов документов)и информационных технологий, в том числе с использованием средстввычислительной техники и связи, реализующих информационные процессы.
Для построения системзащиты для корпоративных вычислительных сетей требуется использовать средствазащиты, соответствующие современным стандартам. Данные средства защиты должныбыть сертифицированы и лицензированы в соответствии с Законами РоссийскойФедерации от 10.06.1993 N 5151-1 «О сертификации продукции и услуг»,от 10.06.1993 N 5154-1 «О стандартизации», Федеральным законом от25.09.1998 N 158-ФЗ «О лицензировании отдельных видов деятельности».
Часто корпоративная сетьстроится путем объединения внутренних филиальных сетей в единое информационноепространство. Иногда принято подразделять сегменты сети на внутренние ивнешние. Внутренние сегменты — это сеть головного офиса: объединенныекомпьютеры в рамках единой охраняемой подконтрольной территории. Внешниесегменты корпоративных систем могут быть распределены по различным регионамстраны.
Связь между внешнимисегментами осуществляется с использованием общедоступных вычислительных сетей,например Интернета. Чаще всего предприятие имеет подключение к сети Интернетили корпоративная система строится поверх Всемирной сети. Интернет являетсяоткрытой информационной средой, предоставляющей широкие возможности длязлоумышленных действий его участников, а также благоприятной средойраспространения компьютерных вирусов и других вредоносных программ. Передаваемыепо таким сетям данные наиболее уязвимы к перехвату и подмене. Следовательно,подобные внешние сети требуют повышенного внимания в решении вопросовинформационной безопасности.
Многочисленные внутренниевычислительные сети филиалов и отделений предприятия в разное время строилисьпо различным методам для решения конкретных задач и обеспечения локальныхбизнес-процессов. Следует отметить, что в разных частях корпоративных системхранятся и обрабатываются данные разной степени важности и секретности. Необходимоиспользовать средства разделения сегментов различного уровня критичности вплане информационных рисков. Важно, чтобы наличие многочисленных сервисов непротиворечило простоте и удобству использования информационной системы. Впротивном случае, даже без попыток взлома извне или изнутри будет труднодобиться устойчивой работы системы.
Основные видыинформационных угроз
Угроза информационнойбезопасности — это фактор или совокупность факторов, создающих опасностьфункционированию и развитию информационной среды общества (ст. 3 ЗаконаРоссийской Федерации от 05.03.1992 N 2446-1 «О безопасности», далее — Закон о безопасности).
В рамках настоящей статьиугроза информационной безопасности рассматривается как фактор и/илисовокупность факторов, создающих опасность функционированию и развитиюконкретного информационного объекта (компьютера, локальной или глобальнойвычислительной сети).
Рассмотрим основныевредоносные программные средства.
Программа дляэлектронно-вычислительной машины — объективная форма представления совокупностиданных и команд, предназначенных для функционирования электронно-вычислительныхмашин и других компьютерных устройств с целью получения определенногорезультата, включая подготовительные материалы, полученные в ходе разработки программыдля электронно-вычислительной машины и порождаемые ею аудиовизуальныеотображения (ст. 2 Закона Российской Федерации от 09.07.1993 N 5351-1 «Обавторском праве и смежных правах», ст. 2 Закона Российской Федерации от23.09.1992 N 3523-1 «О правовой охране программ для электронныхвычислительных машин и баз данных»).
Компьютерный вирус — программа, способная создавать копии (необязательно совпадающие с оригиналом) ивнедрять их в файлы, системные области компьютера, компьютерных сетей, а такжеосуществлять иные деструктивные действия. При этом копии сохраняют способностьдальнейшего распространения. Компьютерный вирус относится к вредоноснымпрограммам (ГОСТ Р 51188-98. Защита информации. Испытания программных средствна наличие компьютерных вирусов).
Актуальность проблемыантивирусной защиты объясняется следующими причинами:
лавинообразный рост числакомпьютерных вирусов, в настоящее время счет известных макровирусов идет натысячи и продолжает интенсивно расти;
неудовлетворительноесостояние антивирусной защиты в существующих корпоративных вычислительныхсетях, которые находятся в постоянном развитии, однако вместе с этим постояннорастет и число точек проникновения вирусов в эти сети.
Распространение вируснойинфекции можно предупредить, а также излечиться от нее с помощью существующихантивирусных пакетов, профилактических и организационных действий.
К сожалению, высшееруководство крупных предприятий, как правило, не придает большого значениярешению вопросов об обеспечении антивирусной защиты корпоративныхвычислительных сетей. При создании комплексных систем информационнойбезопасности предприятия вопросы антивирусной защиты в лучшем случае решаютсяразрозненно на локальном уровне.
Сегодня всем известентермин «хакеры». Не останавливаясь на его значении и существующемделении среди хакеров, выделим среди них один класс — компьютерныезлоумышленники.
Хакеры организовываются вгруппы по интересам. Они объединяют доступные им вычислительные мощности длярешения текущих задач. Взламывая компьютерные сети крупных организаций, научныхи государственных центров, злоумышленники могут использовать«захваченные» ими мощности для собственных целей: подбор секретныхключей или паролей, использование чрезвычайно мощных суперкомпьютеров, которыемогут себе позволить только военные или крупные учебные заведения в качествеплацдарма для последующих атак на другие системы.
Группы общаются междусобой, обмениваются накопленной информацией, которая добывается всемидоступными способами. Украденные ценные данные могут стать достоянием всегосообщества злоумышленников. Любая уязвимость в распространенных компьютерныхсистемах или программных продуктах, ставшая известной кому-то, сразу становитсяизвестной всем. Существуют даже центры обучения, где передача знаний осуществляетсясо скоростью передачи данных по вычислительными сетям. Скорость и эффективностьобучения на порядки превосходят аналогичные показатели при обучении подобныхкомпьютерных специалистов стандартными «академическими» методами.Существуют и методики привлечения и агитации широких масс — пользователей сети.Интригующие, завлекающие приемы хакерского искусства доступны любому, у когоесть персональный компьютер. Это позволяет злоумышленникам привлекать к своейдеятельности новых членов, оказывая на них сильное психологическое воздействие.
Основные методы защитыкорпоративных сетей
В Федеральном законе от04.07.1996 N 85-ФЗ «Об участии в международном информационном обмене»(далее — Закон о международном обмене) под «информационнойбезопасностью» понимается состояние защищенности информационной средыобщества, обеспечивающее ее формирование, использование и развитие в интересахграждан, организаций, государства.
Под «информационнойсферой» подразумевается сфера деятельности субъектов, связанная ссозданием, преобразованием и потреблением информации.
В соответствии сруководящим документом Гостехкомиссии России (сейчас — ФСТЭК) «Защита отнесанкционированного доступа к информации. Термины и определения»безопасность информации — состояние защищенности информации, обрабатываемойсредствами вычислительной техники, от внутренних или внешних угроз.
На практике важнейшимиявляются три аспекта информационной безопасности:
целостность (актуальность инепротиворечивость информации, ее защищенность от разрушения и несанкционированногоизменения);
конфиденциальность (защитаот несанкционированного ознакомления);
доступность (возможность заразумное время получить требуемую информационную услугу).
Под конфиденциальнойинформацией в соответствии с Законом об информации и Законом о международномобмене понимается документированная информация, доступ к которой ограничиваетсяв соответствии с законодательством Российской Федерации. Документированнаяинформация (документ) — зафиксированная на материальном носителе информация среквизитами, позволяющими ее идентифицировать.
Европейские согласованныекритерии оценки безопасности (ITSEC: Information Technology Security EvaluationCriteria) информационных технологий раскрывают данные термины следующимобразом:
конфиденциальность — защитаот несанкционированного получения информации;
целостность — защита отнесанкционированного изменения информации;
доступность — защита отнесанкционированного удержания информации и ресурсов.
Дефиниция«несанкционированный доступ» к информации дана в Законе обезопасности — это доступ к информации, нарушающий установленные правила ееполучения.
Формирование режимаинформационной безопасности — проблема комплексная. Меры по ее решению можноподразделить на пять уровней:
законодательный (законы,нормативные акты, стандарты и т.п.);
административный (действияобщего характера, предпринимаемые руководством организации);
процедурно-социальный(конкретные меры безопасности, имеющие дело с людьми);
технологический;
программно-технический(конкретные технические меры, реализация определенных технологий).
Концепция безопасности ивыработанная политика безопасности должны отвечать требованиямспециализированных нормативных документов и стандартов, в частности:международных — ISO 17799, 9001, 15408 (CCIMB-99-031), BSI; российских — распоряжения и руководящие документы Гостехкомиссии России (сейчас — ФСТЭК) иФАПСИ, ГОСТ 34.003, Р 51624, Р 51583 и др.
Первым шагом построениясистемы безопасности является обследование корпоративной сети. По его итогамразрабатывается комплект документов (концепция информационной безопасности иплан защиты), на основе которых будут проводиться все работы по защитеинформации.
С учетом размеровсовременных корпораций, количества их филиалов и отделений вычислительныесистемы для них в основном строятся из значительно разнесенных территориальносегментов. Как правило, такие концерны и компании должны использовать длявнутренних нужд глобальные сети общего пользования. Следовательно, необходимообеспечить защиту потоков корпоративных данных, передаваемых по открытым сетям.
Для защиты от внешних атаксо стороны открытых информационных систем, например Интернета, применяетсязащищенное подключение к подобным сетям. Необходима защита от проникновения всеть и от утечки информации из сети, для этого осуществляется разграничение«доверенной» (защищаемой) сети от «недоверенной». Подобноезащищенное разграничение реализуется при помощи межсетевых экранов.
Требуется такжеразграничение потоков информации между сегментами сети, соответствующими разнымуровням секретности обрабатываемой в них информации.
В настоящее время длякрупного предприятия, имеющего сеть филиалов по стране или миру, для успешноговедения бизнеса важна четкая координация в действиях между всеми его филиалами.Для координации бизнес-процессов, протекающих в различных филиалах, необходимобмен информацией между ними. Кроме того, данные, поступающие из различныхофисов, аккумулируются для дальнейшей обработки, анализа и хранения в головномофисе. Накопленную централизованную информацию затем используют для решениясвоих бизнес-задач все филиалы предприятия.
Для организации безопасногообмена данными через открытую информационную среду между филиалами следуетсоздать защищенный канал передачи данных. Под открытой информационной средойподразумеваются вычислительные сети общего пользования.
По статистике 80%компьютерных преступлений совершается сотрудниками предприятия или при ихучастии. Реализация подобных угроз является внутренней атакой на сеть еелегальным пользователем. Внешняя защита не предназначена для отражениявнутренних атак.
Системы обнаружения иотражения внутренних атак совсем недавно появились на рынке. Для осуществлениянадежной внутренней защиты сетей уровня предприятия рекомендуется использоватьавтоматизированные средства обнаружения компьютерных атак, сканированиевычислительных сетей в целях выявления информационных уязвимостей, а такжеорганизационные меры.
В первую очередь требуетсязащита наиболее критичных ресурсов сети от вмешательства в нормальный процессфункционирования. Далее по важности: защита важных рабочих мест и ресурсов отНСД. Необходимо выбирать систему защиты, обеспечивающую разграничение доступа вразличных операционных системах.
К организационным мерамотносятся поднятие общего уровня грамотности пользователей сети в вопросахинформационной безопасности, четко оговоренная ответственность сотрудников,периодическое плановое обучение, профилактическая работа администраторовбезопасности с пользователями и персоналом вычислительных сетей, выработкакорпоративной психологии безопасного использования информационных ресурсовпредприятия. Эти методы защиты призваны противостоять применению социальнойинженерии: внедрение в доверие и манипулирование сознанием и действиямилегальных пользователей сети с целью получить необходимый для злоумышленникарезультат.
При организацииэлектронного документооборота необходимо обеспечить не толькоконфиденциальность, но и целостность сообщения (невозможность подменить,изменить сообщение или его авторство). Кроме того, нельзя допустить возможностиотказа автора послания от факта отправления подписанного сообщения.
Если информациейобмениваются стороны, не доверяющие друг другу или заинтересованные впроведении действий, направленных друг против друга (банк и клиент, магазин и покупатель),необходимо применять асимметричные методы шифрования, а также электроннуюцифровую подпись (ЭЦП).
Для защиты от вредоносныхпрограмм следует использовать сетевые распределенные антивирусные системы,способные предоставить высокий уровень антивирусной безопасности на всехуровнях и узлах вычислительной системы.
Важно внимательно подходитьк решению вопросов по выбору, приобретению, установке, настройке и эксплуатациисистем защиты в соответствии с руководящими документами и рекомендациями,разработанными Гостехкомиссией России (ФСТЭК) и ФАПСИ.
Не менее важным являетсяпостоянное обучение администраторов безопасности работе с приобретеннымисредствами защиты. В процессе обучения администратор приобретает базовые знанияо технологии обеспечения информационной безопасности, об имеющихся операционныхсистемах, подсистемах безопасности и возможностях изучаемых систем защиты, отехнологических приемах, используемых при их настройке и эксплуатации.
Для установленной системызащиты требуется информационное обслуживание по вопросам безопасности. Наличиесвоевременной информации об обнаруженных уязвимостях и о способах защиты отних, безусловно, поможет предпринять некоторые меры заблаговременно. Источниковподобных сведений в настоящее время очень много — это книги, журналы,web-серверы, списки рассылки и т.п.
Корпоративная сеть, подобноживому организму, является постоянно изменяющейся структурой, поэтому необходимпериодический аудит системы информационной безопасности.
Нельзя упускать из видунадежность и безопасность программного обеспечения, используемого втелекоммуникационных комплексах, особенно в случаях, когда передаваемая по ниминформация составляет охраняемую законом тайну. Вместе с тем применяемые обычнометоды тестирования программных продуктов не обеспечивают соблюдения этоготребования в надлежащей степени.
Обнаружение атак. Впоследнее время активно развивается направление разработки программных иаппаратных комплексов, предназначенных для мониторинга работы вычислительнойсети в целях обнаружения в ней нелегальных, несанкционированных или иныхподозрительных действий пользователей и программ. Любое отклонение отнормального функционирования сетевых интерфейсов и каждый известный сценарийатаки тщательно анализируются этой системой, а также регистрируются вспециальных журналах для последующего ознакомления с развитиями событий сетевыхадминистраторов.
Подобные системы снабжаютсясредствами сигнализации и уведомления ответственных лиц о любых попыткахнарушения безопасного состояния информационной системы. Они локализуют местовозникновения угрозы, характеризуют уровень критичности реализации даннойугрозы и стадию, на которой находится развитие предполагаемой информационнойатаки.
Электронная цифроваяподпись. Основной целью принятия Закона об ЭЦП являлось обеспечение правовыхусловий для использования ЭЦП в электронных документах, при соблюдении которыхона признается в электронном документе равнозначной собственноручной подписи вдокументе на бумажном носителе (п. 1 ст. 1). На отношения, возникающие прииспользовании иных аналогов собственноручной подписи, Закон об ЭЦП нераспространяется (п. 2 ст. 1). Данный нормативный акт значительно укрепилправовой статус ЭЦП и регулирует такие аспекты, как организация электронногодокументооборота, распределение открытых и закрытых ключей, построение центровсертификации. Положения Закона об ЭЦП помогли разрешить многие спорные вопросыо применении ЭЦП. Однако остались некоторые недочеты и пробелы в вопросахреализации систем электронного документооборота.
Электронная цифроваяподпись — реквизит электронного документа, предназначенный для защиты данногоэлектронного документа от подделки, полученный в результате криптографическогопреобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицироватьвладельца сертификата ключа подписи, а также установить отсутствие искаженияинформации в электронном документе (ст. 3 Закона об ЭЦП).
Электронная подписьдокумента позволяет установить его подлинность. Кроме того, криптографическиесредства обеспечивают защиту от следующих злоумышленных деяний, наносящихзначительный ущерб субъектам бизнеса во всем мире:
отказ (ренегатство) — абонент А заявляет, что не посылал сообщения Б, хотя на самом деле посылал;
модификация (переделка) — абонент Б изменяет документ и утверждает, что данный документ (измененный)получил от абонента А;
подмена — абонент Бформирует документ (новый) и заявляет, что получил его от абонента А;
активный перехват — нарушитель (подключившийся к сети) перехватывает документы (файлы) и изменяетих;
«маскарад» — абонент В посылает документ от имени абонента А;
повтор — абонент Вповторяет ранее переданный документ, который абонент А послал абоненту Б.
Системы антивируснойзащиты. В последнее время значение антивирусной защиты в комплексной системебезопасности корпоративных систем резко возросло. Это объясняется, с однойстороны, увеличением числа и разновидностей компьютерных вирусов, а с другой — уязвимостью сетей в результате проникновения в них вредоносных программ извнешних систем: Интернет и по каналам электронной почты. Кроме того,сохраняется возможность проникновения вирусов с зараженных переносных носителейинформации, используемых сотрудниками компании (дискеты, CD-диски и т.п.).
Удовлетворительноесостояние антивирусной защиты сети предприятия не может обеспечиватьсяисключительно путем установки и запуска антивирусного программного обеспеченияна рабочих станциях и серверах компании. Эффективная корпоративная системаантивирусной защиты — это гибкая динамичная система с обратными связями,реализованная по технологии «клиент-сервер», улавливающая любоеподозрительное действие в сети. Такая система тесно интегрирована с другимирешениями в области безопасности компьютерных сетей.
Для крупных предприятийвопрос об обеспечении антивирусной защиты вычислительных сетей с учетомнеопределенности сроков его полного решения вырастает в сложную проблему,причем не только техническую, но и финансовую. Обычно проблема борьбы свирусами в локальной вычислительной сети предприятия решается следующимобразом:
установкаоднопользовательских локальных версий антивирусного программного обеспечения нарабочие станции и серверы сети;
на особо важных машинахзапускают антивирусные мониторы, а также применяется ночное сканированиежестких дисков ВМ сети;
в случае явных проявленийсимптомов деятельности вируса производится сканирование зараженного(подозрительного) компьютера;
иногда сканированиеосуществляется на всех компьютерах, объединенных в сеть, но оно редкозатрагивает резервные или архивные данные.
К сожалению, такаялокализация данной проблемы не способна решить проблему эффективнойантивирусной защиты и является минимальной мерой, не гарантирующей устойчивогофункционирования корпоративной системы в течение продолжительного времени. Вместес тем ее достаточно эффективное решение достигается путем разумного сочетаниякомплекса организационных мер и программно-технических методов, сопряженных позадачам, месту и времени применения.
В настоящее времяразработаны следующие принципы построения систем антивирусной защитыкорпоративных сетей:
реализация единойтехнической политики при обосновании выбора и использовании антивирусныхпродуктов для всех сегментов корпоративной сети;
полнота охвата системойантивирусной защиты всей корпоративной сети предприятия;
непрерывность контроля засостоянием корпоративной сети для своевременного обнаружения вирусов;
централизованное управлениесистемой антивирусной защиты.
Эффективная корпоративнаясистема антивирусной защиты обязана предупреждать и останавливатьраспространение вирусов в рамках внутренней структуры корпоративной сети. Онаобнаруживает и нейтрализует различные вирусные атаки как известные, такнеизвестные на самой ранней стадии их развития.
Антивирусная система должнаотражать проникновение вредоносных программ как извне (подключение к Интернету,электронная почта), так и изнутри (открытие зараженного документа с дискеты,флэш-карты). Перед специалистами компьютерной безопасности встает сложнаязадача проектирования и реализации подобных систем антивирусной защитыкорпоративного уровня.
Сегодня известныотечественные и западные системы антивирусной защиты «ЛабораторииКасперского», «Диалог-Наука», Trend Micro, McAfee, Symantec,Computer Associates, Panda Software, позволяющие блокировать все возможные путипроникновения вирусов и других вредоносных программ в корпоративную сеть.Существенными особенностями данных систем являются:
устойчивость кнеблагоприятным условиям внешней среды;
сочетание централизованногои децентрализованного подходов к управлению антивирусной защитой корпоративнойсети;
активное использованиемеханизмов обратных связей для своевременного обнаружения и устранения какизвестных, так и неизвестных ранее вирусов и других вредоносных программ;
использование различныханализаторов, позволяющих осуществлять как синтаксическую, так и семантическуюверификацию потоков данных, циркулирующих через входные и выходные шлюзыкорпоративной сети.
Руководство службинформационной безопасности российских компаний уже не сомневается в необходимостиантивирусной защиты. Проблема эффективного построения подобной системы внастоящее время очень актуальна. Установка антивирусных пакетов на серверах иперсональных компьютерах сети позволяет значительно снизить риск вирусногозаражения, но не исключает его полностью в силу ряда случайных факторов: ошибокпользователей, неправильных настроек, несвоевременности обновления антивирусныхбаз пакета и т.д.
Нельзя пассивно наблюдатьза ходом вирусных атак и других вредоносных программ. Необходимо эффективно управлятьзащитой корпоративной сети с помощью специальных средств централизованногоуправления антивирусной защитой и обеспечивать устойчивое функционированиевычислительных сетей.
Заключение
Представим единый списокзащитных сервисов и мероприятий, необходимых для обеспечения информационнойбезопасности корпоративных вычислительных систем:
разработка концепцииинформационной безопасности и политики безопасности;
проверка соответствиявыработанной политики и концепции безопасности общепринятым стандартам;
обследование корпоративнойсистемы и анализ информационных рисков;
разработкаорганизационно-распорядительных документов;
организация защищенногоподключения к Интернету вычислительных сетей филиалов организации;
создание безопасного каналапередачи данных между объектами распределенной системы;
организация управленияраспределенными информационными ресурсами;
обеспечение безопасностираспределенной программной среды;
организация безопасногосетевого взаимодействия;
сертификация построеннойсистемы обеспечения информационной безопасности;
лицензирование программныхпродуктов, входящих в систему информационной защиты.
Конечно, не существуетстандартных решений, одинаково применяемых в разных условиях, но реализациякомплекса перечисленных мероприятий с учетом этих дополнений позволяетобеспечить достаточный уровень защищенности информации в корпоративной сетиконкретной компании.