1. Анализ проблем информационной безопасности в компьютерной сети организации, подключенной к сети Интрентет. Современные подходы к их решению.
1.1. Проблемы информационной безопасности современных компьютерных сетей организации
Существуют разные проблемы в сфере информационной безопасности, ведь нет такой защиты, которую невозможно было бы взломать, но все же, некоторые из них можно предотвратить или усложнить задачу злоумышленнику. Любому предприятию нужно знать и понимать какие проблемы из всех самые важные и насущные, а именно:
? Логично и ожидаемо, что технологии сетевой безопасности отстают в развитии по сравнению с развитием информационных технологий в целом, то есть тенденция роста отличается;
? Число производства ПК с каждым годом растет, это обосновано развитием цифровых технологий;
? Растет поколение, которое развивается в сфере компьютерных технологий;
? Любая компания с определенным опытом работы, за весь свой жизненный цикл собирает для нее важные данные, которые не требуют активной работы над ними, но которые ранее бы отнесли в стены архивного здания. Так как на дворе век технологии, то прямой смысл «архивировать» имеет место быть тому, что все данные копятся на flash-накопителях. Такая информация ценна для предприятия и не предназначена для всеобщего обозрения. Компании обычно хранят всю информацию на компьютерах и базах данных. Даже самые старые компании перенесли свои данные в цифровой формат, в среднем доля на бумажную версию составляет порядка 10-30%. А об остальном нужно заботиться и обеспечить информационную безопасность;
? Сырое программное обеспечение. В век технологий наблюдается производство программных продуктов командами разработчиков, которые гонятся за привлечением клиента широким спектром функционала. Из-за конкуренции и признание клиента в краткой перспективе, многие из компаний-разработчиков не беспокоятся о информационной части своего продукта. Это может быть и не умышленная проблема, а обусловливается недостатком в проработке технического задания, экономия на ресурсах программистов или же тестировщиков, которые могли бы заменить эту проблему перед релизом, дабы избежать проблем у компаний-пользователей. Вся эта ситуация играет на руку хакерам, которым намного легче найти «лазейки» в не доработанном продукте и добраться до ценной информации;
? Благодаря стремительному развитию Интернета, и рывок в сфере технологий повышается уровень риска для безопасности систем обработки информации каждого активного предприятия, которая подключена к внешней всемирной паутине. Такой расклад позволяет злоумышленникам проникать в корпоративные сеть удаленно, при этом используя только любое цифровое устройство;
? Автоматизированная обработка информации. Прогресс в развитии технологий помог огромному числу предприятий, использовать автоматизированную работу над многими задачами. В таких сферах деятельности как банковские структуры, которые предпочитают цифровым технологиям по накоплению, обработке или передачи информации. Это приводит к тому, что банковская сфера и другие, которые напрямую зависят от информационных систем, подвержены угрозам вторжения и перехвата данных.
Несанкционированные действия, направлены на защищенный объект, с целью обойти все виды защиты и завладеть ценной информацией компании это и есть угроза информационной безопасности. Зачастую такие действия приводят к крупным материальным убыткам и моральному ущербу владельцу полезной информации. При этом не всегда кража или обнародование информации может быть самой большой проблемой, многие сталкивались и с искажением всей существующей информации бывает намного вреднее.
Самое главное, при попытке защитить информацию не допустить несанкционированного проникновения, которое уже необратимо, поэтому могут быть такие последствия:
? нарушение конфиденциальности информации. Информация, что находится в компьютерной сети организации (КСО), может иметь большую ценность для ее владельца. Поэтому ее скрывают от широкого круга людей и в случае ее овладением другими лицами, может нанести непоправимый ущерб для интересов владельца;
? нарушение целостности информации. Потеря целостности информации (полная или частичная, дезинформация, компрометация) – тип угрозы, похож на ее раскрытие. Ценная информация может быть удалена или обесценена через несанкционированную модификацию. Ущерб возможен намного больше, чем при нарушении конфиденциальности;
? нарушение (частичное или полное) работоспособности КСО (повреждение доступности). Поскольку вся информация находится на цифровых носителях, очень легко ее вывести из строя или изменить привычные режимы работы компонентов КСО. Их перенастройка или подмена могут привести к получению неверных результатов, отказу КСО от привычного потока информации или отказам при обслуживании. Иногда даже руками владельца возможно удаление всего пакета данных из-за перенастроек злоумышленников. Отказ от потока информации означает непризнание одной из взаимодействующих сторон факта передачи или приема сообщений. В случае ценности таких сообщений, заказов, финансовых согласований и т.п., ущерб может быть весьма внушительным.
Со временем большие компании поставили это направление по развитию информационных технологий и безопасности компьютерных систем и сетей ведущей в своей сфере, даже если спецификация их компании не занимается информационными технологиями в целом.
1.2. Цели несанкционированного доступа
Любая защита строится на предпочтениях злоумышленников, то есть подразумевается, что хакеры могут иметь свои мотивы, например:
? Целенаправленное нарушение конфиденциальности информации, которая хранится и обрабатывается в компьютерной сети компании, именно та, которая имеет большое значение для ее владельца. Злоумышленник знает, что она не предназначена для других лиц, поэтому желает нанести значительный ущерб интересам владельца;
? Нарушить целостность информации, дискредитировать и дезинформировать. В таком случае его деятельность направлена на нарушение целостности информации или ее скрыть, испортить, удалить или заменить после несанкционированного доступа. Злоумышленник желает нанести ущерба больше, чем бы смог при нарушении конфиденциальности;
? Нарушить работоспособность сети (частично или полностью). Может вывести из эксплуатации некорректную модификацию узлов сети, заменить их, чтоб владелец получал некорректный результат, или отказывала сеть. Злоумышленник знает, что все важные документы - отчеты, заказы на поставку, финансовые согласования - обрабатываются в сети, и желает нанести значительный ущерб.
Чтобы предотвратить такие исходы для компаний или владельцев ПК, которые подвержены атакам со стороны хакеров, направление безопасности компьютерных систем и сетей является одним из ведущих в мире.
1.3. Уровни сетевой безопасности компании
Как интерпретируется в законе об Электронно-цифровой подписи, что корпоративная информационная система (сеть) - это система, которая ограничивается доступом определенного круга уполномоченных лиц, которыми может быть сам владелец или участники, которые основываются на общее соглашение.
Исходя из терминологии понятие “компьютерные сети организации” относятся к распределенным компьютерным системам, деятельность которых направлена на автоматизированную обработку информации. Такая сеть является более всего уязвимой, поэтому обеспечить информационной безопасностью становиться ведущей проблемой для таких компьютерных систем. А это, в свою очередь, означает, что необходимо противодействовать каждому не регламентированному вторжению в процесс функционирования КСО, любые попытки модификации, хищения, вывода из строя или нарушения ее компонентов. Все это значит, что необходимо защитить все компоненты КСО - аппаратные средства, ПО, данных и персонала.
По данным исследований компании Gartner Group, которая мониторила состояние компаний согласно информационной безопасности в наше время. по итогу определила 4 уровня зрелости компании со стороны обеспечения информационной безопасности (ИБ):
? 0 уровень: Ситуация, когда в компании никто не занимается ИБ, управление компании не признают проблему ИБ. Финансирование отсутствует вообще. ИБ реализуется штатными средствами ОС, СУБД и приложений (защита паролем, разграничение доступа к ресурсам и сервисам). Это свойственно компаниям с небольшим штатом сотрудников, которая направлена, например, куплей/продажей товаров. Все технические вопросы сваливают на сетевого администратора, которым часто является не совсем компетентны во всех тех вопросах, для качественной работы над ИБ. Обычно руководство довольно, когда все работает, при этом качество этой работы не волнует;
? 1 уровень: ИБ принимается управлением как "техническая" проблема. Нету определенного плана (концепции, политики) развития системы обеспечения информационной безопасности (СОИБ) компании. Финансирование распределено на сферу ИТ – бюджета в общем. ИБ реализуется средствами нулевого уровня + средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN (в основном традиционными средствами защиты);
? 2 и 3 уровни: ИБ рассматривается управлением как комплекс организационных и технических мероприятий. Важность ИБ для производственных процессов на высоком уровне, есть утвержденная руководством программа развития СОИБ компании. Финансирование ведется в рамках отдельного бюджета. ИБ реализуется средствами первого уровня + средства усиленной аутентификации, средства анализа почтовых сообщений и web контента, IDS (системы обнаружения вторжений), средства анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, положения, процедуры, регламенты и руководства).
3 уровень отличается от 2-го следующим: ИБ является частью корпоративной культуры, назначен CISA (старший офицер по вопросам обеспечения ИБ). Финансирование ведется в рамках отдельно выделенного бюджета, который согласно результатам исследований аналитической компании Datamonitor в большинстве случаев составляет не более 5% ИТ бюджета. ИБ реализуется средствами второго уровня + системы управления ИБ, CSIRT (группа реагирования на инциденты нарушения ИБ), SLA (соглашение об уровне сервиса).
Компании, который попали по результатам исследования на 2-й 3-й уровень имеют подход к вопросам обеспечения ИБ, тогда как на 1-м и частично 0-м уровне применяют так званный «фрагментарный» подход к обеспечению ИБ. Такой подход обеспечивает противодействие некоторым угрозам в сложившихся заданных условиях. То есть инструменты внедрения так званной ИБ реализуют через отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы и т.п.
Преимущества в таком подходе также существуют в том, что происходит высокая избирательность к конкретной угрозе. А среди недостатков можно найти проблему отсутствия единой защищенной среды обработки информации. Вывод сделаем такой, что допустимые фрагментарные меры по защите информации могут защитить отдельные объекты КС от конкретной угрозы. Такую защиту очень легко обойти, путем изменения вида угрозы.
В основном более крупные организации и компании, по исследованиям Gartner Group, занявшие 2-ой и 3-ий уровень зрелости, используют другой «комплексный» подход к обеспечению ИБ. При этом сфера деятельности не имеет значения, но, интересный факт в том, что профессионально занимающиеся защитой информации попали в эту категорию классификации.
Секрет и эффективность комплексного подхода заключается на решениях совокупности частных задач по единой программе. В наше время такой подход можно считать наиболее приемлемым и эффективным, поэтому выбирают его для создания защищенной среды обработки информации в корпоративных системах, которая может противодействовать различным видам угроз. При этом только техническим способом не ограничиваются все меры обеспечения информационной безопасности, а также и правовые, морально этические, организационные, программные приемы. В целом эта система действий позволяет объединять множество автономных систем при помощи слияния в интегрированные системы безопасности.
Уровень технологического обеспечения может напрямую влиять на методы решения обеспечения безопасностью, а также развития в сфере науки и техники. В наше время приобретает популярность и еще одна тенденция по развитию современных технологий это процесс тотальной интеграции. В области прямого воздействия попали области микроэлектроники и техники связи, сигналы и каналы, системы и сети. Доказательством этому служит сверхобъемные интегральные схемы, интегральные сети передачи данных, многофункциональные устройства связи ит. п.
После комплексного подхода, его более широкая интерпретация или максимальная форма проявляется в интегральном подходе, что подразумевает интеграцию различных подсистем обеспечения безопасности. И все подсистемы вместе взятые создают единую интегральную систему с общими техническими средствами, каналами связи, ПО и БД. Такой подход применяется с целью обеспечения интегральной безопасности. Главный смысл понятия интегральной безопасности, что его отличает от другого вида безопасности, заключается в том, что такое состояние положения деятельности корпорации, при котором она надежно защищена от всех возможных видов угроз в ходе всего непрерывного производственного процесса. Интегральная безопасность гарантирует обязательную непрерывность процесса обеспечения безопасности, как во времени, так и в пространстве (по всему технологическому циклу деятельности), учитывая все возможные виды угроз (несанкционированный доступ, съем информации, терроризм, пожар, стихийные бедствия и т. д.).
Всегда комплексный или интегральный подход направлен на решение одних и тех же задач, которые направлены на решение проблемы безопасности путем взаимосвязи применения общих технических средств, каналов связи, программного обеспечения. Такой подход можно реализовать на практике, когда существуют задачи по ограничению доступа к информации, технического и криптографического (зашифрована) закрытия информации, ограничения уровней паразитных излучений технических средств, охраны и тревожной сигнализации. Кроме прямого назначения таких систем, необходимо учитывать и другие задачи, к примеру, увольнение или отстранение людей, которые владели той или иной частью конфиденциальной информацией компании должно сопровождаться соответствующими мерами по обеспечению исключения вытока информации, согласно интересам владельца компании или организации. Кроме человеческих факторов, проблемы могут создать и другие стихийные бедствия, аварии, терроризм и т.п. Поэтому реально защитить и обеспечить тотальную безопасность данных способны только интегральные системы безопасности, которые обеспечивают необходимую защиту постоянно во времени и в пространстве. Такая безопасность особенно активна при полном процессе подготовки, обработки, передачи и хранения информации.
1.4. Проблемы информационной безопасности интернет–сервисов
1.4.1. Всемирная паутина World Wide Web
World Wide Web стала одной из основных причин взрывного расширения Интернет в последние годы. Ее признали и полюбили за то, что с ее помощью стал возможен интерактивный доступ к данным разных типов, таких как гипертекст, графика, аудио, видео и прочее. При этом такая паутина состоит из системы HTTP-серверов в сети Интернет.
При появлении WWW также появились и новые проблемы, связанные с безопасностью, например одна из них, когда HTTP-клиенты увеличивались количеством. При этом web-серверы могли предоставлять доступ ко многим данным разного формата начиная с обычного текста, HTML-документов, графических файлов gif и jpeg и прочего, то, чтоб их отобразить или воспроизвести браузеры создают запросы внешним приложениям. Сразу приведем пример такой ситуации, когда нужно открыть файл формата Microsoft Word, то браузер вызовет программу Microsoft Office Word. Обычно, по умолчанию, браузеры спрашивают пользователя о том, что хотят перенаправить к внешней программе и просят подтвердить. Проблема в том, что многие пользователи не обращают внимания на такие запросы. Ситуация, когда существуют форматы данных, которые могут включать исполняемый код, как, например, макросы в документах Microsoft Word и Microsoft Excel. Когда пользователь только просматривает материал, с виду кажется простым, это может запустить произвольный код на ПК пользователя от его имени.
К сожалению, простого решения проблем безопасности в работе с активными компонентами и другим исполняемым кодом, загружаемым, из www попросту не существует. Хотя и возможно предотвратить некоторые из проблем путем обучения пользователей и разъяснения им проблем безопасности, которые связанны с загружаемым из сети исполняемым кодом. Такие рекомендации могут им помочь как отключение в клиентском ПО возможность исполнения загружаемых активных компонент, своевременное обновление клиентского ПО для исправления замеченных в нем ошибок и т.п.
1.4.2. Электронная почта
Электронная почта одна из популярных и часто используемых службой. По своей природе построения особо не опасна и не угрожает безопасности ПО пользователя, однако, стоит помнить, что хоть и не большой, но риск остается.
Рассмотрим главные проблемы, которые могут возникать при работе с электронной почтой:
? подделка электронной почты. Протокол SMTP, что используется для передачи электронной почты в Интернет не имеет средств аутентификации отправителя. Адрес отправителя письма может быть легко подделан. Подделка электронной почты может использоваться для атак типа "social engineering". Например, пользователь получает письмо якобы от системного администратора с просьбой сменить пароль на указанный в письме.
? передача исполняемого кода в почтовых сообщениях. Электронная почта позволяет передавать данные разных типов, в том числе программы, а также документы, содержащие макросы. Вместе с подделкой адреса отправителя это может использоваться для всевозможных атак. Приведу два примера. Студент-староста получает письмо от professor_name@sfedu.ru, в котором содержится информация по текущему семестру и приложен сам "документ", который можно открыть и ознакомиться подробнее. Невнимательный студент скачивает и запускает данную программу не подозревая, что данный файл заражен. Студент пересылает это всем своим коллегам. А файл, на самом деле, помимо этого инсталлирует программу удаленного управления, и сообщает о результате своему создателю.
Другой пример. Ситуация, когда системному администратору отправляют письмо от фирмы-производителя, используемого в компании ПО, с сообщением, что в этом ПО найдена опасная ошибка и с исправлением, которое следует срочно установить. Сценарий аналогичен первому примеру:
? перехват почтовых сообщений. Электронная почта передается через Интернет в незашифрованном виде и может быть перехвачена и прочитана.
Спам - это массовая рассылка сообщений рекламного характера. В отличие от обычной не угрожающей рекламы на телевидении или радио, оплачивает которую рекламодатель, оплата спама перекладывается на получателя. Зачастую спаммеры действуют по такой схеме: с подключения по коммутируемой линии устанавливается SMTP-соединение с хостом, на котором разрешена пересылка почты на любые хосты (open mail relay - открытый релей). На него посылается письмо со множеством адресатов и, как правило, с поддельным адресом отправителя. Хост, оказавшийся жертвой, пересылает полученное сообщение всем адресатам. В результате затраты на рассылку спама ложатся на получателей и хост, пересылающий почту. Интернет-сервис провайдеры отрицательно относятся к спаму, поскольку он создает весьма существенную нагрузку на их системы и неудобства их пользователям. Поэтому многие провайдеры включают в договор о предоставлении услуг пользователям пункт о недопустимости спама и отключают пользователей, замеченных в рассылке спама. Кроме того, многие провайдеры отключают прием почты с открытых релеев, замеченных в передаче спама. Системному администратору почтового сервера следует убедиться, что его система пересылает исключительно почту, адресованную ее пользователям или исходящую от ее пользователей, чтобы система не могла быть использована спаммерами.
1.4.3. FTP - протокол передачи файлов
Протокол FTP используется для передачи файлов. Большинство web-браузеров прозрачно поддерживают FTP. Возможно применение и специальных FTP-клиентов.
Основной проблемой, как и в случае www являются программы, выкачиваемые и устанавливаемые пользователями, которые могут носить вредоносный характер.
1.5. Методы защиты компьютерной сети организации от НСД из сети Интернет. Применение межсетевых экранов
Существует несколько подходов к решению проблемы защиты КСО, подключенной к сети Интернет от НСД. Первый подход состоит в усилении защиты всех имеющихся систем, открытых к доступу из Интернет. Этот подход называется "безопасность на уровне хоста". Он может включать в себя обучение пользователей и администраторов систем работе в более недружелюбной среде, ужесточение политики парольной защиты (введение или ужесточение ограничений на минимальную длину, символьный состав и срок действия пароля) или введение не парольных методов аутентификации, ужесточение правил доступа к системам, ужесточение требований к используемому программному обеспечению, в том числе операционным системам, и регулярная проверка выполнения всех введенных требований.
У этого подхода есть несколько недостатков:
? для пользователей усложняются процедуры работы в системе, и возможно, некоторые действия к которым они привыкли, вообще запрещены. Это может привести к снижению производительности пользователей, а также к их недовольству.
? на администраторов системы ложится очень существенная дополнительная нагрузка по поддержке системы. Даже для сравнительно небольших систем, содержащих несколько десятков машин, задача поддержания заданного уровня безопасности может потребовать непропорционально больших усилий.
? требования защиты могут, противоречить требованиям использования системы и одним из них придется отдать предпочтение в ущерб другим. Как правило, требованиям к функциональности системы отдается предпочтение в ущерб требования защиты.
Достоинством этого подхода является то, что помимо проблемы защиты от "внешнего врага" он также решает проблему внутренней безопасности системы. Поскольку значительная часть инцидентов (по некоторым данным до 80%), связанных с безопасностью, исходит от сотрудников или бывших сотрудников компаний, этот подход может весьма эффективно повысить общую безопасность системы.
Второй подход является наиболее радикальным. В нем рабочая сеть компании физически не соединена с Интернет. Для взаимодействия с Интернет используется одна или несколько специально выделенных машин, не содержащих никакой конфиденциальной информации. Достоинства этого подхода очевидны: поскольку рабочая сеть не соединена с Интернет, угроза НСД из сети Интернет для нее отсутствует в принципе. В то же время этот подход имеет определенные ограничения и недостатки. Ограничением, во определенных случаях приемлемым, является отсутствие доступа к Интернет с рабочих мест сотрудников. Недостатки этого подхода проистекают из наличия незащищенных систем, подключенных к Интернет, которые могут подвергаться атакам типа "отказ в обслуживании", и краже услуг (в том числе могут быть использованы для взлома других систем). Вариацией этого подхода является разграничение по протоколам. Например, для доступа к информационным ресурсам компании используется стек протоколов IPX/SPX, а для доступа в Интернет - TCP/IP. При этом, например, серверы Novell Netware, будут невидимы для взломщика и не могут быть атакованы напрямую из Интернет. Этот подход также имеет определенные ограничения. Например, он неприемлем для сети, в которой необходимо использование TCP/IP для доступа к внутренним ресурсам. Вторым его недостатком является то, что пользовательские системы видимы и доступны из Интернет и могут быть использованы как плацдарм для последующей атаки на серверы.
Третий подход, называемый "безопасность на уровне сети", состоит в введении средств ограничения доступа в точке соединения сетей. Этот подход позволяет сконцентрировать средства защиты и контроля в точках соединения двух и более сетей, например в точке соединения КСО с Интернет. В этой точке находится специально выделенная система - межсетевой экран - которая и осуществляет контроль за информационным обменом между двумя сетями и фильтрует информацию в соответствии с заданными правилами, определяемыми политикой безопасности компании. Весь обмен данными, происходящий между сети Интернет и внутренней сетью, проходит через межсетевой экран. Организация может получить значительный выигрыш от такой модели безопасности. Единственная система, выполняющая роль межсетевого экрана, может защитить от несанкционированного доступа десятки и сотни систем, скрытых за ней, без наложения на них дополнительных требований к безопасности.
