УДК 007 ББК 32.81
Рецензенты: Лазарев И.А., доктор технических наук, профессор, академик МАН ИПТ, заслуженный деятель науки и техники РФ; Саблин В.Н., доктор технических наук, профессор, академик МАН ИПТ, заслуженный деятель науки и техники РФ. Садерд инов А. А., Трайнѐв В . А., Федулов А. А. Информациионная безопасность пред приятия: Учебное пособие.-2-е изд.—М., Издательско-торговая корпорация «Дашков и К°», 2005. 336 с. ISBN 5-94798-558-6
В книге изложен системный подход к построению ком плексной защиты информационной системы предприятия. Рассмотрены принципы и предпосылки обеспечения инфор мационной безопасности предприятия; характеристики угроз и анализ уязвимостей системы; требования к системе защиты. Впервые отечественными авторами описывается по дход к построению комплексной защиты интегрированной информационной системы предприятия с применением отечествен ных средств защиты, криптографических средств в составе за рубежных ERPсистем. Книга предназначена в первую очередь специалистам, про ектирующим информационные системы и средства их защи ты, она также может широко использоваться в качестве учеб ного пособия для сту дентов высших и других учебных заведе ний, в частности, образовательного стандарта №030100 ББК 32.81
ISBN 5 -94798-558-6
© Садердинов А. А., Трайнѐв В. А., Феду лов А. А., 2004
«Любая система, зависящая от человеческой надежности, ненадежна» Второй закон Джилба
Введение [^] Информационная безопасность предприятия — это защищенность информации, которой располагает предприятие (производит, передает или получает) от несанкционированно го доступа, разрушения, модификации, раскрытия и задержек при поступлении. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью комплексной информационной безопасности явля ется сохранение информационной системы предприятия в це лости и сохранности, защита и гарантирование полно ты и точ ности выдаваемой ею информации, минимизация разрушений и мо дификация информации, если таковые случаются. Компьютеризация, развитие телекоммуникаций предостав ляют сегодня широкие возможности для автоматизированного доступа к различным конфиденциальным, персональным и др угим важным, критическим данным в обществе (его граждан, организаций и т. д.). Естественно, лю ди осознаю т появле ние такого ряда новых рисков и начинают беспокоиться об обеспечении необхо димой безопасности подобной информации. Так, фирмы, долгое время специализир овавшиеся на о хране людей и объектов, начали выделять в качестве отдельного направления своей деятельности «компьютерную» безопасность, а в структуру практически всех компаний, занима ющихся системной интеграцией, были введены специальные по дразделения, разрабатываю щие собственные комплексные меры по информационной безопасности. Проблема создания и поддержания защищенной среды информационного обмена, реализующая определенные правила и по литику безопасности современной организации, является весьма актуальной. Информация давно уже перестала играть эфемерную, чисто вспомогательную роль, превратившись в весьма важный и весомый, чуть ли не материальный, фактор со своими стоимостными характеристиками, определяемыми той реальной прибылью , которую можно получить от ее (ин формации) использования. В то же время, вполне возможен сегодня и вариант ущерба, наносимого владельцу информации (предприятию ) путем несанкционированного проникновения в информационную структуру и воздействия на ее компоненты. Из это го очевидно, наско лько актуален в наши дни вопрос с защитой информационных систем предприятий В данной книге авторы попытались обобщить соответствующий материал, накопленный в отечественной и зарубежной практике. В книге изложен системный подхо д к построению комплекс ной защиты информацион-
ной системы предприятия. Рассмотрены принципы и предпосылки обеспечения информационной безопасности предприятия; приведены характеристики угроз и анализ уязвимостей системы; а также требования к си стеме защиты. Впервые отечественными авторами описывается подход к построению комплексной защиты интегрированной инфор мационной системы предприятия с применением отечественных средств защиты, а также криптографических средств в со ставе зарубежных ERPсистем. Книга предназначена, в первую очередь, для специалистов, проектирующих информационные системы и средства их защиты, ее также можно использовать в качестве учебного пособия для студентов высших и других учебных заведений. Авторы выражают б лагодарность В.Н. Саблину и И.А Лаза реву за рецензирование рукописи и высказанные критические замечания и предложения по совершенствованию о тдельных глав, а также А.С. Контаурову, А.З. Лукащову за товарищескую помощь и по ддержку. Особая благо дарность тем, кто принимал непосредстве нное участие в проведении работ, связанных с по строением комплексной защиты информационных систем предприятий, и оказал помощь в подготовке и оформлении рукописи - А. Бондаренко, П. Грушину и М. Прусову, всем сотрудникам Федерального государственного унитарного предприятия ГИВЦМ ЕТ «Центринформ» и Международной академии наук информации, информационных процессов и технологий.
Принятые сокращения [^] АС ИИСУ П ИС КСЗ КД ЛВС МЭ НСД ОС ПЗ ПК ПО ППП ПРД РД PC СВТ СЗИ СЗИ НСД СЗСИ СИБ СНТП СРД СУД СУБД ТЗ УИБ ЭВ М ЭВТ
Автоматизированная система Интегрированная информационная система управления предприятием Информационная система Комплекс средств защиты Конструкторская документация Локальная вычислительная сеть Межсетевой экран Несанкционированный доступ Операционная система Подсистема защиты Персональный компьютер Программное обеспечение Пакет прикладных программ Правила разграничения доступа Руководящий документ Рабочая станция Средства вычислительной техники Система защиты информации Система защиты информации от несанкш&ниро ванного доступа Система защиты секретной информации Служба информационной безопасности Специальное научно-техническое по дразделение Система разграничения доступа Система управления доступом Система управления базами данных Техническое задание Управление информационной безопасностью Электронно-вычислительная машина Электронно-вычислительная техника
1. Основные принципы и предпосылки
обеспечения информационной безопасности предприятия [^]
1.1.
Основные принципы обеспечения информационной безопасности предприятия [^]
Основными принципами информационной безопасности являются: ■ обеспечение целостности и со хранности данных, т.е. на дежное их хранение в неискаженном виде; ■ соблюдение конфиденциальности информации (ее недоступность для тех пользователей, которые не имеют со ответствующих прав); ■ доступность информации для всех авторизованных пользователей при условии контроля за всеми процессами использования ими получаемой информации; ■ беспрепятственный доступ к информации в любой момент, когда она может понадобиться предприятию . Эти принципы невозможно реализовать без особой интег рированной системы информационной безопасности, выполня ющей следующие функции: ■ выработку политики информационной безопасности; ■ анализ рисков (т.е. ситуаций, в которых может быть на рушена нормальная работа информационной системы, а также утрачены или рассекречены данные); ■ планирование мер по обеспечению информационной безопасности; ■ планирование действий в чрезвычайных ситуациях; ■ выбор технических средств обеспечения информационной безопасности. Политика информационной безопасности определяет: ■ какую информацию и от кого (чего) следует защищать; ■ кому и какая информация требуется для выпо лнения служе бных обязанностей; ■ какая степень защиты необ хо дима для каждого вида ин формации; ■ чем грозит потеря того или иного вида информации;
■ как организовать работу по защите информации. Обычно р уководители организации решают, какой риск должен быть исключен, а на какой можно пойти, они же затем о пределяю т объем и порядок финансирования работ по обес печению выбранного уровня информационной безопасности. Идентификация угроз означает уяснение наступления из-за этого возможных негативных воздействий и последствий. Реализация угрозы может привести к раскрытию , модификации, разрушению информации или отказу в информационном обслуживании. Среди долговременных последствий реализации угрозы могут быть такие, как по теря бизнеса, на рушение какой-либо важной тайны, гражданских прав, адекватности данных, гибель человека и т.п. Вообще надо сказать, ч то реализация многих угроз приво дит обычно к б олее чем одному воздействию . К последним следует относить: неавторизованный доступ к локальным вычислительным сетям (ЛВС), несоответствующий доступ к ресурсам ЛВС, неавторизованную модификацию данных и программ, раскрытие данных, раскрытие трафика ЛВС, по дмену трафика ЛВС и, наконец, неработоспосо бность ЛВС. Политика в отношении безопасности должна быть такой, чтобы как можно реже требовалась ее модификация. В э той связи, может быть, более разумно просто принять положение о том, что пр ограммное обеспечение обнаружения вирусов до лжно на хо диться на персональном компьютере (ПК) ЛВС, серверах и т. д., а админис траторы ЛВС должны каждый раз сами опреде лять конкретный используемый информационный продукт. Все дело в том, что стандар ты и рекомендации статичны, по крайне мере, в дву х аспектах. Во-первых, они не учитывают обычно постоянной перестройки защищаемых систем и их о к ружения. Во-вторых, они содержат лишь критические реко мендации по формированию режима безопасности. Поэтому информационную безопасность необхо димо каждо дневно поддерживать, тесно взаимодействуя не только и не сколько с компьютером, сколько с людьми. Другими словами, стандар ты и рекомендации являю тся лишь отправной точкой в длинной и сложной цепочке дейст вий по защите информационных систем организаций. Обес печение безопасности - это комплексная проблема, для реше ния которой требуется сочетание законодательных, организа ционных и программнотехнических мер. К сожалению, зако нодательная база сегодня отстает от по требностей практики, а имеющиеся законы и указы носят в основном теоретический характер. Одновременно следует учитывать, ч то в нашей стра не сегодня чаще испо льзуется зару-
бежное аппаратно-программное обеспечение. В условиях жестких ограничений на импорт подобной продукции и отсутствия межгосударственных соглашений о взаимном признании сертификатов, потребители, желающие оставаться законопослушными, оказыва ются по существу в безвыхо дном положении, так как у них подчас нет возможности заказать (и получить) современную систему по информационной безопасности «под ключ» и с сертификатом безопасности. Следующий уровень этой проблемы после законодательно го управленческий. Руково дство каждой организации до лжно само определиться с необ хо димым ему режимом безопасности и выделить для его обеспечения ресурсы нередко значительные. Г лавное, надо выработать по литику безопасно сти, которая задаст общее направление работ в данной облас ти. Важный момент при выработке политики безопасности -анализ угроз и выбор адекватных мер противо действия. Для поддержания режима информационной безопасности ос обое значение имеют также программно -технические меры, поскольку основная угроза компьютерным системам исходит прежде всего от самих этих систем (сбои оборудования, ошиб ки программного обеспечения, промахи пользователей и администраторов и т. п.) Настоящая книга предлагает определенную логику ком плексного решения проблемы информационной безопасности. В качестве средств защиты данных от попыток несанкционированного доступа к ним как с внешней стороны, так и изнутри, предлагаются современные программно-технические средства. В комплексы защиты могут входить различные по составу и функциональному назначению системы и средства, применяемые, вопервых, в соответствии с идеологией, заложенной в основу построения тех или иных систем управления, и, во -вторых, с учетом принятого уровня информационной безопасности, учитывающего возможные дестабилизирующие факторы. Одним из нужных шагов в решении проблемы безопасности интегрированных систем организационного типа следует считать необхо димость создания органа, ко торый бы мог за ниматься сертификацией средств и методов защиты информации при работе именно с такими системами. В основу книги по ложена Доктрина информационной безопасности Российской Федерации, у твержденная Президен том страны, а также руководящие документы Гостехкомиссии России и других государственных органов по защите информации при Президенте РФ, в ко торых даны классификация и уровни защищенно-
сти средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации и современные требования по защите.
1.2. Предпосылки и цели обеспечения информационной безопасности предприятия [^] Главная цель мер, принимаемых на управленческом уровне, сформировать программу работ в области информационной безопасности и обеспечить ее выполнение с выделени ем необхо димых ресурсов и контролем за состоянием дел. Ос новой программы является многоуровневая политика безо пасности, отражающая подхо д организации к защите своих информационных активов. Использование информационных систем сопровождается опр еделенной совокупностью рисков, ко торые постоянно должны анализироваться специальными подразделениями информацио нной безопасности или системными администраторами (для небольших организаций). Одни техно логии по защите системы и обеспечению учета всех событий могут быть встроены в сам компьютер, вторые -заложены в программы, третьи рассчитаны на лю дей и реали зуют указания руководства, содержащиеся в соответствующих до кументах. Защитные меры предпринимаются, ко гда риск неприемлемо велик. Для контроля эффективности деятельности в обла сти безопасности и учета изменений обстановки необ ходимо производить периодически переоценку рисков. В настоящей монографии излагается система взглядов и принципов, на которых основана вся защита информации от утечки, модификации и разрушения, что является в свою очередь частью общей проблемы безопасности информации. Концепция книги предназначена для заказчиков, разра ботчиков и покупателей СВТ и АС, ко торые используются для обработки, хранения и передачи информации, требующей защиты. Концепция является мето дологической базой нормативно технических и мето дических документов, направленных на решение таких задач, как: ■ выработка требований по защите СВТ и АС от у течки, модификации и разрушения информации; ■ создание защищенных о т у течки, модификации и разру шения информации СВТ и А С; ■ проведение сертификации защищенных СВТ и А С. Концепция предусматривает существование дву х относи тельно самостоятельных и, следовательно, отличающихся на правлений в проблеме защиты информации от утечки, моди фикации и разру-
шения: одно, связанное с СВТ, и другое — с А С. Дело в том, что СВТ разрабатываю тся и поставляю тся на р ынок лишь как э лементы, из ко торых в дальнейшем строятся функционально ориентированные АС, и поэ тому, не решая прикладных задач, СВТ не содержат, как правило, пользовательской информации. При создании же АС, помимо пользовательской информации появляется нужда в таких характеристиках А С, как полно мочия пользователей, модель нарушителя нормального функционирования АС, техно логия обработки информации. При разработке эффективной защиты ЛВС и ИИСУП необхо димо ориентироваться на достижение таких целей, как: ■ обеспечение конфиденциальности и целостности дан ных в хо де их хранения, обработки или при передаче по ЛВС; ■ обеспечение доступности данных, хранимых в ЛВС, а также возможности их своевременной обработки и передачи; ■ гарантирование идентификации отправителя и получа теля сообщений.
2. Политика информационной безопасности [^] 2.1. Политика информационной безопасности России [^] В сфере национальных интересов России находится ряд пр облем, показанных на рис. 1. Безусловно, что все они кор релируют в той или иной степени между собой, однако нас в основном интересует информационная сфера.
Рис. 1. Сферы националь ных интересов России
Национальные интересы России в информационной сфере представлены на рис. 2, где нас более всего интересует блок 3, представляю щий направление по обеспечению безопасности и защиты информационных и телекоммуникационных систем России. На рис. 3 в информационно-техническом блоке подробно представлены направления, содержащие как объекты воздей-ствия, влияния и защиты, так и характер воздействия и угроз, ко торые в результате составляю т основные комплексные по следствия.
Рис 2 Националь ные интересы России в информационной сфере
Пути и решения проблем информационной безопасности Ро ссии, показанные на рис. 4, содержат три блока: организа ционный, законодательный и техно логический. Такие же три блока должны составлять сущность концепции информационной безопасности предприятия.
Рис 3 Информационная борьба
Рис 4 Пути решения проблем информационной безопасности России
2.2. Описание трехуровневой политики информационной безопасности [^] Под по литикой информационной безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. С практической точки зрения политику безопасности целесообразно разделить на три уровня. К вер хнему уровню можно отнести решения, затрагиваю щие организацию в целом. Они носят весьма общий характер и, как правило, исхо дят от руководства организации. Примерный список подобных решений может включать в себя: ■ формирование или пересмотр самой комплексной про граммы обеспечения информационной безопасности, назначение ответственных за реализацию этой программы; ■ формулировку целей в области информационной безо пасности и определение общих направлений их достиже ния; ■ обеспечение технической базы для соблюдения соответ ствующих законов и правил; ■ формулировку управленческих решений по тем вопро сам реализации программной безопасности, которые должны ра ссматриваться на уровне организации в целом. На политику вер хнего уровня влияю т цели организации в области информационной безопасности: они формулируются, как правило в терминах целостности, доступности и конфиденциальности. Если организация о твечает за поддержание кр итически важных баз данных, то на первом плане может стоять уменьшение случаев потерь, повреждений или искаже ний данных. Для организации, занимающейся предоставле нием услуг, вероятно, важна актуальность информации об этих услугах и их ценах, а также доступность услуг максималь ному числу потенциальных покупателей. Режимная организация в первую очередь заботится о защи те от несанкционированного доступа — конфиденциальности. На вер хний уровень выносится управление ресурсами защиты и координация их испо льзования, выделение специального персон ала для защиты особо важных систем, поддержание кон-тактов с другими организациями, обеспечивающими или контролирующими режим безопасности. Сфера политики вер хнего уровня должна быть четко очерчена. Возможно, это бу дут компьютерные системы самой организации, а, возможно, и некоторые аспекты использования домашних компьютеров у сотрудников э той организации. Можно представить себе, и
такую ситуацию, когда в сферу влияния включаются лишь о тдельные наиболее важные системы политики информационной безопасности предприятия. Выработка программы информационной безопасности вер хнего уровня и ее осуществление - э то задача определен ных до лжнос тных лиц, за выполнение ко торой они должны регулярно отчитываться. Наконец, политика информационной безопасности верхнего уровня, разумеется, должна впи сываться в существующие законы государства, а ч тобы быть уверенными в том, что ей точно и аккуратно следует персонал предприятия , целесообразно разраб отать систему соответствующих поощрений и наказаний. А вообщето говоря, на вер хний уровень следует выносить минимум вопр осов. К среднему уровню можно отнести отдельные аспекты информационной безопасности, важные однако для различных систем, эксплуатируемых организацией. Примеры таких вопросов — отношение к передовым, но еще недостаточно освоенным технологиям, перечисленным ниже: 1. Доступ в Internet (как сочетать свободу получения информации с защитой от внешних угроз?). 2. Использование домашних компьютеров. 3. Применение пользователями неофициального про граммного обеспечения и т. д. Политика среднего уровня по каждому подобному аспекту предполагает выработку соответствующею документирован ного управленческого решения, в котором обычно имеются: ■ Описание аспекта. Например, если взять применение по льзователями неофициального программного обеспечения, то о нем обязательно до лжно быть сказано, что это та кое обеспечение, которое не было одобрено и/или закупле но на уровне организации. ■ Указание на область ее применения (распространения той или иной по литики информационной безопасности). Другими словами должно быть сертифицировано, где, когда, как, по о тношению к кому и чему применяется данная по литика безопасности. Например, касается ли организаций -субподрядчиков политика отношения к неофициальному программному обеспеч ению? Затрагивает ли она работников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины? Продолжая пример с неофициальным программным обеспеч ением, можно представить себе позиции по лного за прета или выработки процедуры приемки подобного обеспечения и т. п. Позиция
может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследу ет организация в этом случае. Вообще, стиль документов по политике безопасности, как и перечень этих документов, может быть существенно разным для разных о рганизаций. ■ Четкое расписание соответствующих ролей и обязанностей. В «политический» документ необ хо димо включить инфор мацию о должностных лицах, о твечающих за проведение политики безопасности в жизнь. Например, если для ис пользования работником неофициального программного обеспечения нужно официальное разрешение, то должно быть известно, у кого и как его следует получать. Если долж ны проверяться дискеты, принесенные с других компьюте ров, необ ходимо описать процедуру проверки. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила. ■ Механизм обеспечения «законопослушности». Политика должна со держать общее описание запрещенных действий и наказания за них. ■ Указания на необход имые « точки контакта». До лжно быть точно известно, куда следует обращаться за разъяснениями, по мощью и дополнительной информацией. Обычно «точкой ко нтакта» служит должностное лицо, а не конкретный человек, занимающий в данный момент какой-то пост. Политика безопасности нижнего уровня относится к конкре тным сервисам. Она включает в себя всего два аспекта — цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации (оказания услуг по информационному обеспечению). В о тличие от дву х вер хних уровней, рассматриваемая политика нередко бывает гораздо более де тальной. Есть много вопросов, специфичных для отдельных сервисов, которые нельзя единым образом регламентировать в рамках всей организации. В то же время эти вопросы настолько важны для обеспечения режима безопасности, ч то ре шения, относящиеся к ним, должны приниматься на управленческом, а не техническом уровне. Вот лишь несколько примеров-вопросов, на которые следует дать ответ при разработке политики безопасности нижнего уровня: ■ Кто имеет право доступа к объектам, по ддерживаемым сервисом? ■ При каких условиях можно читать и модифицировать данные? ■ Как организован у даленный доступ к сервису? При формулировке целей политика нижнего уровня может ис-
хо дить из соображений целостности, доступности и конфиденциальности, но она не должна на этом останавливаться. Ее цели должны быть конкретнее. Например, если речь идет о си стеме расчета зарплаты, можно поставить цель, чтобы только работникам отдела кадров и бу хгалтерии позволялось вво дить и модифицир овать информацию. В более общем случае цели до лжны связывать между собой объекты сервиса и логичные с точки зрения информ ационной безопасности, осмысленные, де йствия с ними. Из целей обычно выводятся правила безопасности, описы вающие, кто, что и при каких условиях может делать. Чем де тальнее правила, чем более формально они изложены, тем про ще поддерживать их выпо лнение программно -техническими мерами. С другой стороны, слишком жесткие правила могут мешать р аботе пользователей, и, вероятно, их придется часто пересматривать. Руководству необхо димо найти разумный компромисс, когда за приемлемую цену будет обеспечен приемлемый уровень безопасности, а работники не окажутся чрезмерно скованы. Обычно, в виду особой важности данного во проса, наиболее формально задаются права доступа к объектам.
3. Характеристика угроз информационной безопасности [^] 3.1. Классификация угроз [^] Суть по добных угроз сводится, как правило, к нанесению того или иного ущерба предприятию (организации). Проявления возможного ущерба могут быть самыми различными: ■ моральный и материальный ущерб деловой репутации организации; ■ моральный, физический или материальный ущерб, связа нный с разглашением персональных данных о тдель ных лиц; ■ материальный (финансовый) ущерб от разглашения защищаемой (конфиденциальной) информации; ■ материальный (финансовый) ущерб о т необ хо димости во сстановления нарушенных защищаемых информационных ресурсов; ■ материальный ущерб (потери) от невозможности выпол нения взятых на себя обязательств перед третьей стороной; ■ моральный и материальный ущерб от дезорганизации в раб оте всего предприятия.
3.2. Примеры составов преступлений в области информационного обеспечения предприятий, определяемых УК РФ [^] В соответствии с УК РФ преступлениями в об ласти инфор мационного обеспечения предприятий вполне можно считать такие деяния, как: ■ Хищение информации — совершенное с корыстной целью противоправное безвозмездное изъятие и (или) обра-щение чужого имущества (информации) в пользу виновно го или других лиц, причинившее ущерб собственнику или владельцу имущества (информации). ■ Копирование компью терной информации — повторение и
устойчивое запечатление информации на машинном или ином носителе. ■ Уничтожение информации - внешнее воздействие на имущество (информацию), в результате которого оно прекращает свое физическое существование либо приво дится в полную непригодность для испо льзования по целевому назначению. Унич тоженное имущество (информация) не может быть восстановлено путем ремонта или реставрации и полностью выво дится из хо зяйственного оборота. ■ Уничтожение компьютерной информации - стирание ее в памяти Э ВМ. ■ Повреждение информации — изменение свойств имущества (информации) при котором существенно ухудшает ся его состояние, у трачивается значительная часть его по лезных свойств и оно становится полностью или частично неприго дным для ц елевого испо льзования. ■ Модификация компьютерной информации - внесение любых изменений, кроме связанных с адаптацией про граммы для ЭВМ или баз данных. ■ Блокирование компьютерной информации - искусственное затруднение доступа пользователей к информации, не связа нное с ее уничтожением. ■ Несанкционированное уничтожение, блокирование, модиф икация, копирование информации - любые не разрешенные законом, собственником или компетентным пользователем указанные действия с информацией. ■ Обман (отрицание подлинности, навязывание ложной информации) — умышленное искажение или со крытие ис тины с целью ввести в заблуждение лицо, в ведении кото рого нахо дится имущество (информация) и таким образом добиться от него добровольной передачи имущества (ин формации), а также сообщение с этой целью заведомо лож ных сведений.
3.3. Источники угроз [^] Внешние источники могут быть случайными или пр една меренными и иметь разный уровень квалификации. К ним относятся: ■ криминальные структуры; ■ потенциальные преступники и хакеры; ■ недобросовестные партнеры; ■ технический персонал поставщиков услуг; ■ представители надзорных организаций и аварийных служб;
■ представители силовых структур. Вну тренние субъекты (источники), как правило, представ ляют собой высококвалифицированных специалистов в обла сти разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программноаппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети. К ним относятся: ■ основной персонал (пользователи, программисты, разработчики); ■ представители службы защиты информации; ■ вспомогательный персонал (уборщики, о храна); ■ технический персонал (жизнеобеспечение, эксплуатация). Технические средства, являю щиеся источниками потенциальных у гроз безопасности информации, также могут быть внешними: ■ средства связи, ■ сети инженерных коммуникации (водоснабжения, канализации), ■ транспорт, ■ и внутренними: ■ некачественные технические средства обработки ин формации; ■ некачественные программные средства обработки информации; ■ вспомогательные технические средства (о храны, сигна лизации, телефонии); ■ другие технические средства, применяемые в учрежде нии.
3.4. Наиболее распространенные угрозы в интегрированной информационной системе управления предприятием [^] Угроза нанесения вреда ЛВС и ИИСУП потенциально может исходить от любого лица, объекта или события. Угрозы могут быть злонамеренными, такими, как умышленная моди фикация критической информации, или случайными, как ошиб ки в вычислениях или непреднамеренное удаление фай ла. Угроза может быть также природным явлением, как наво днение, ураган, молния и т. п. Непосредственный вред от реализованной у грозы, называется воздейс твием угрозы. Идентификация угроз предполагает рассмотрение воздей ствий
и последствий от реализации угроз. Обычно воздействие угроз приводит к раскрытию, модификации, разрушению инфо рмации или о тказу в информационном обслуживании. Бо лее значительные долговременные последствия реализации угрозы пр иводят к потере бизнеса, нарушению тайны, граж данских прав, потере адекватности данных, по тере человеческой жизни и иным долговременным эффектам. Знание возможных угроз, а также уязвимых мест защиты, нео бхо димо , чтобы выбрать наиболее экономичные средства обеспеч ения безопасности. Самыми частными и опасными, с точки зрения размеров ущерба, являю тся не угрозы даже, а непреднамеренные ошиб ки пользователей, операторов, системных администраторов и других , о бслуживающих информационные системы лиц. Иногда такие ошиб ки являю тся угрозами (неправильно преднамеренно введенные данные, ошибки в программе), а иногда это просто следствие человеческих слабостей, ко торыми однако могут воспользоваться злоумышленники - таковы обычно ошибки администрирования, 65 % потерь - следствие непреднамеренных ошибок. Пожары и наводнения можно считать пустяками по сравнению с безграмотностью и расхлябаннос тью многих сотрудников. Очевидно, самый радикальный способ борьбы с непредна меренными ошибками — максимальная автоматизация и стро гий контроль за правильностью совершаемых действий. На втором месте по размерам ущерба стоят кражи и подлоги. Весьма опасны так называемые обиженные сотрудники нынешние и бывшие. Как правило, их действиями руководит желание нанести вред организации-обидчику. С этой целью они м огут: ■ повредить оборудование; ■ «встроить» логическую бомбу; ■ ввести неверные данные; ■ удалить данные или изменить их. Обиженные со трудники, даже бывшие, знакомы с поряд ками в организации и способны вредить весьма эффективно. Угрозы, исхо дящие от окружающей среды, весьма разнообразны. В первую очередь следует выделить нарушение инфраструктуры - аварии электропитания, временное отсутствие связи, перебои с водоснабжением, гражданские беспорядки и т. п. На долю огня, воды и аналогичных «врагов», среди ко торых самый опасный — низкое качество электропитания, приходится 13 % потерь, которые обычно несут информационные системы. Любопытно, что почти каждый Internet-сервер по несколько раз
в день подвергается попыткам проникновения: иногда такие п опытки оказываю тся удачными; часто из них связаны со шпионажем. Отсю да очевидно, насколько серьезен с ин формационной безопасностью. Достаточно важен вопрос с программными вирусами. Они сер ьезно беспокоят обычно системных администраторов и операторов различного толка. Правда, необ ходимое соблюдение несложных правил сво дит риск подобного заражения практически к ну лю. Уязвимыми являю тся также слабые места ЛВС и ИИСУП. Например, неавторизованный доступ (угроза) к ЛВС может быть осуществлен посторонним человеком, угадавшим неза мысловатый, к примеру, очевидный пароль. Уменьшение или ограничение уязвимых мест ЛВС может снизить или вообще устранить риск угроз ЛВС. Например, средство, которое может помочь пользователям выбрать надежный пароль и т. д. Ниже перечисляются наиболее распространенные техниче ские угрозы и причины, в результате ко торых они реализуются: ■ Неавторизованный доступ к ЛВС или ИИСУП - проис хо дит в результате получения неавторизованным челове ком доступа к ЛВС. ■ Несоответствующий доступ к ресурсам ЛВС - случается в результате получения доступа к ресурсам ЛВС авторизо ванным или неавторизованным человеком неавторизован ным способом. ■ Раскрытие данных - наступает в результате по лучения доступа к информации или ее ч тения человеком и возмож ного раскрытия им информации случайным или неавторизованным намеренным образом. ■ Неавторизованная модификация данных и программ возможна в результате модификации, удаления или разру шения человеком данных и программного обеспечения ЛВС неавтор изованным или случайным образом. ■ Раскрытие трафика ЛВС - произойдет в результате доступа к информации или ее чтения человеком и возможного ее разглашения случайным или неавторизованным намеренным образом тогда, когда информация передается через ЛВС. ■ Подмена трафика ЛВС - э то его использование неавторизованным способом, когда появляю тся сообщения, имеющие такой вид, будто они посланы законным заявленным отправителем, а на самом деле это не так. ■ Неработоспособность ЛВС — э то следствие осуществле ния угроз, которые не позволяют ресурсам ЛВС быть своевременно доступными. Служба защиты информации - это обычно целая совокупность
механизмов защиты и по ддерживающих их файлов дан ных и организационных мер, ко торые предо храняю т ЛВС и ИИСУП о т ко нкретных угроз. Например, служба аутентифи кации и идентификации помогает защитить ЛВС от неавторизованного доступа к ЛВС, поскольку о т каждого пользователя требует, чтобы он непременно идентифицировал себя, а также подтвердил истинность своего идентификатора. Средства за щиты бываю т надежными как правило, настолько, наско лько надежны механизмы, процедуры и т. п., составляю щие их.
3.5. Угрозы при взаимодействии интегрированной информационной системы управления предприятием с Internet [^] Организации расширяют свои Intranet, перехо дя от информации статического содержания, передаваемой по общедос тупным каналам Internet, к подключению разнообразных самообслуживающихся приложений и организации цепочек эле ктронного бизнеса. Доступ к информации через Web делается более полным и гиб ким. Э то расширение использования Web изменило подхо д к защите Web-пространства. Ведь организация должна управлять не только теми, кто имеет доступ к его корпоративной Web, но также и конкретными ресурсами каждого конкретно го пользователя с доступом. Получая выго ды от лучшего испо льзования Intranet или Ext ranet, организация должна управлять доступом ко всей информации, доступ ной через Web, позволяя по льзователям доступ лишь к той ин формации, в которой они нуждаются и не больше. Доступ ко всем имеющимся информационным средствам может сделать организацию уязвимой к внутренним нападениям, если пер вые не защищены соответствующим образом. При взаимодействии ИИСУП с Internet основные угрозы для информационной безопасности организации представляю т: ■ несанкционированные внешние воздействия из Internet на ИИСУП для получения доступа к ее ресурсам и/или нарушения ее работоспособности; ■ отказы аппаратного и программного обеспечения подсистемы взаимодействия (нарушение работы каналов свя зи с Internet, телекоммуникационного оборудования ЛВС, межсетевых экранов); ■ непреднамеренные (ошибочные, случайные) действия с отрудников организации, приводящие к непроизво ди тельным затратам времени и ресурсов, разглашению сведений ограниченного пользования через Internet или нарушению работоспособ-
ности по дсистемы взаимодействия ИИСУП с Internet; ■ преднамеренные действия сотрудников организации, приводящие к разглашению сведений ограниченного пользования ч ерез Internet, а также нарушение работоспособности подсистемы взаимодействия ИИСУП с Internet или же недоступность предоставляемых организацией ус луг через Internet; ■ непреднамеренные (случайные, ошибочные) действия лиц, осуществляю щих администрирование подсистемы взаимодействия ИИСУП с Internet, приводящие к разгла шению сведений ограниченного пользования или нарушению взаимодействия с Internet; ■ преднамеренные действия (в корыстных целях, по при нуждению третьих лиц, со злым умыслом и т. п.) со трудни ков организации, о твечающих за установку, сопровождение, адм инистрирование системного, сетевого или прикладного пр ограммного обеспечения, технических средств зашиты и обеспечения информационной безопасности подсистемы взаимодейс твия ИИСУП с Internet, которые (действия) при водят к разглашению сведений ограниченного пользования или нарушению взаимодействия с Internet. Избежать выше упомянутых угроз можно, если построить специальную подсистему для защиты (ПЗ), соответствующей следующим требованиям: ■ ПЗ должна обеспечивать возможность доступа к Internet всем пользователям ИИСУП. ■ ПЗ должна быть масштабируемой в целом. При изменении количества и характеристик каналов связи с Internet донастройка и переконфигурация ПЗ до лжна быть минимальной. ■ ПЗ до лжна быть прозрачной в том, что касается использования ресурсов и сервисов Internet при санкционирован ном обращении к этим ресурсам со стороны пользователей ИИСУП. ■ ПЗ должна в минимальной степени использовать уже име ющиеся инфраструктуру ИИСУП и задействованные средства защиты информации. Может появиться вопрос: « Если возникаю т по добные тре бования к Internet нужно ли его использовать»? Разумеется, нужно. Ведь Internet, означает предоставление значительных дополнительных возможностей для ведения информационно -аналитической работы в интересах организации с использова нием всех необъятных информационных ресурсов сети Internet. При подключении к сети Internet сотрудникам предоставляются следующие стандар тные сервисы: ■ электронная почта (e-mail);
■ телеконференции USENET; ■ доступ к ресурсам файл-серверов сети Internet по протоколу ftp; ■ использование гипер текстовых ресурсов сети Internet по протоколу http. Само же подключение к сети Internet должно строго контролироваться со стороны специальной информационной служ бы СИБ, ко торая уполномочена на подобное разрешение. Все компоненты программного и аппаратного обеспечения пользователя сети Internet должны испо льзоваться только в служебных целях. Необ ходимо иметь в виду, ч то запрещается использовать соединения с Internet для: ■ передачи конфиденциальной информации, определен ной в «Перечне информационных ресурсов, подлежащих защите», лицам, не имеющим соответствующих по лномочий. Конфиде нциальная информация может передаваться то лько в зашифр ованном виде, с использованием приня тых в организации алгоритмов и программ; ■ получения программного обеспечения; ■ использования PC и серверов АС организации с целью начала атак на другие АС; ■ неавторизованного сканирования и зондирования, а также другого исследования узлов сетей. Пользователям сети Internet запрещается самостоятельная реконфигурация PC, добавление или удаление программного обеспечения, а также распространение и установка на других PC и серверах организации любого программного обеспечения, полученного по каналам Internet. Реконфигурация системного или программного обеспечения производится исключительно специалистами УИБ в присутствии администратора информационной безопасности предприятия. Каждое рабочее место должно быть оснащено антивирусными программными средствами. Состав и параметры настройки таких средств определяются УИБ. Каждый пользователь сети Internet в организации несет персональную о тветственность за свои действия и за вво ди мую/выводимую информацию. Контроль за деятельностью пользователей сети Internet в организации, включая прием/отправление электронной почты и статей телеконференций, доступ к информационным серверам Internet, установку программного обеспечения и изменение конфигурации PC и серверов АС организации, осуществляется СИБ организации.
4.Анализ уязвимости информационных систем и оценка рисков [^]
4.1. Уязвимость информационных систем [^] Вместе с колоссальным ростом популярности Internet возникает беспрецедентная угроза разглашения персональ ных данных, критически важных корпоративных ресурсов, государственных тайн и т. д. Каждый день хакеры подвергают угрозе эти ресурсы, пытаясь получить к ним доступ в результате специальных атак. Эти атаки, становятся все более опасными, чему способствуют следующих два основных фактора. Во-первых, это повсеместное распространение Интернет. Сегодня к этой сети подключены уже миллионы устройств. И поэтому вероятность доступа хакеров к наиболее уязвимым устройствам постоянно возрастает. Кроме того, широкое распространение Интернет позволяет хакерам обмениваться ин формацией в глобальном масштабе. Простой поиск по ключевым словам типа «хакер», «взлом», «hack», «crack» или «phreak» уже даст вам тысячи сайтов, на многих из ко торых впо лне можно обнаружить множество вр едоносных кодов и способов их использования. Во-вторых, э то всеобщее распространение простых в ис пользовании операционных систем и средств их разработки. Э то обстоятельство значительно облегчает задачу хакера. Раньше он должен был обладать хорошими навыками про граммирования, чтобы создавать и распространять простые в использовании пр иложения. Теперь же чтобы получить доступ к хакерскому средству, надо просто узнать IP-адрес нужного сайта, и для проведения атаки затем щелкну ть мышкой.
4.2. Классификация сетевых атак. [^] Сетевые атаки столь же разнообразны, как и системы, против ко торых они направлены. Неко торые атаки отличаются большой сложностью. Другие может осуществить обычный оператор, даже не предполагающий, какие последствия может иметь его де ятельность. Для оценки типов атак необ ходимо знать некоторые о граничения, изначально присущие протоколу TPC/IP. Сеть Интернет создавалась для связи между государственными учреждениями и
университетами в помощь учебному процессу и научным исследованиям. Создатели этой сети не подозревали, наско лько широко она распространится. В результате, в спецификациях ранних версий интернет-протокола (IP) о тсутствовали требования безопасности. Именно поэтому многие IP являю тся изначально уязвимыми. Снифферы пакетов Сниффер пакетов представляет собой прикладную про грамму, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер о тправляет приложению для обработки). При этом сниффер перехваты вает все сетевые пакеты, ко торые передаются через определенный домен. В настоящее время снифф еры работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Однако ввиду то го, что неко торые сетевые приложения передаю т данные в текстовом формате (telnet, FTP, SMTP, POP3 и т. д.)> с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли). Перехват имен и паролей представляет собой большую опа сность, так как пользователи часто применяю т один и то т же логин и пароль для множества приложений и систем. Многие пользователи вообще имеют один пароль для доступа ко всем ресурсам и приложениям. Если приложение работает в режиме клиент/сервер, а аутентификационные данные передаются по сети в читаемом текстовом формате, эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам. Хакеры слишком хорошо знают и используют человеческие слабости (методы атак часто базируются на методах социальной инженерии). Они прекрасно понимают, что люди пользуются о дним и тем же паролем для доступа к множеству ресурсов, и поэтому им часто удается, узнав тот или иной пароль, полу чать доступ к важной информации. В любом случае хакер мо жет получить доступ к пользовательс кому ресурсу на системном уровне и с его помощью создать нового «незаконного» пользователя ресурсов той или иной сети. Смягчить угрозу сниффинга пакетов можно с помощью та ких средств, как: • Аутентификация — это сильные средства защиты от сниффинга пакетов, поскольку их трудно игнорировать или обойти. Примером такой аутентификации являю тся однократные пар о-
ли (ОТР - One -Time Passwords). OTP - это технология дву хфакторной аутентификации, основанной на сочетании того, ч то у вас есть, с тем, что вы знаете. Типичным примером двухфакторной аутентификации является работа обычного банкомата, который опознает вас, во-первых, по вашей пла стиковой карточке и, во-вторых, по вво димому вами ПИН-коду. Для аутентификации в системе ОТР также требуется ПИН-код и ваша личная карточка. По д «карточкой» (token) понимается аппаратное или программное средство, генери рующее (по случайному принципу) уникальный о дномоментный однократный пароль. Если хакер узнает э тот пароль с помощью сниффера, эта информация для него будет бесполезной, потому что в этот момент пароль уже считается ис пользованным и выводится после этого из употребления. Однако этот способ эффективен то лько для борьбы с перехва том паролей. Снифферы, перехватываю щие другую информацию (например, сообщения электронной почты), не теряют своей эффективности, к сожалению . • Коммутируемая инфраструктура — Это также способ борьбы со сниффингом пакетов в сетевой среде. При этом острота угрозы заметно снижается. Ведь, к примеру, во всей организации используется коммутируемый Ethernet, то хакеры получают тогда доступ лишь к трафику, поступающему на тот порт, к ко торому они подключены. И не далее. • Анти-снифферы — Способ борьбы со сниффингом, заключающийся в установке аппаратных или программных средств, распознающих снифферы, работающие в вашей сети. Эти средства не могут полностью ликвидировать угрозу, но, как и многие другие средства сетевой безопасности, они включаются в общую систему защиты. Так называемые «анти-снифферы» измеряют время реагирования хостов и определяю т, не прихо дится ли хостам обрабатывать « лишний» трафик. • Криптография - Э то самый эффективный способ борьбы со сниффингом пакетов, ко торый правда, не предо твра щает перехвата и не распознает работу снифферов, но дела ет ее бесполезной. Если канал связи является криптогра фически защищен, то это значит, что хакер перехватывает не сообщение, а зашифр ованный текст (то есть непонятную ему последовательность битов). IР-спуфинг IP-спуфинг происхо дит, ко гда хакер, нахо дящийся внутри ко рпорации или вне ее выдает себя за санкционированного пользова-
теля. Э то можно сделать двумя способами. Во-пер вых, хакер может воспользоваться IP-адресом, нахо дящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки 1Р-спуфинга часто становятся отправными для пр очих атак. Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между о дноранговыми устройствами. Для двусторо нней связи хакер должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес. Неко торые хакеры, однако, даже не пытаю тся получить о твет о т приложений. Если главная задача состоит в получении от систе мы важного файла, ответы приложений уже не имеют значения. Если же хакеру удается поменять таб лицы маршрутизации и направить трафик на ложный IP-адрес, то хакер по лучит все пакеты и сможет отвечать на них так, будто он является санкционированным пользователем. Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер: • Контроль доступа - самый простой способ предотвращения IP-спуфинга, состоящий в правильной настройке управления доступом. Чтобы снизить эффективность IP-спу финга, надо настроить контроль доступа на отсечение лю бого трафика, поступающего из внешней сети с таким ис хо дным адресом, ко торый по идее должен располагаться вну три вашей сети. Правда, э то помогает бороться с 1Р-спу-фингом, когда санкционированными являю тся то лько вну тренние адреса. Если же санкционированы и некоторые адреса внешней сети, данный мето д неэффективен. • Фильтрация RFC 2827 - способ пресечь попытки спуфинга чужих сетей пользователями вашей сети (и стать таким образом добропорядочным «сетевым гражданином»). Для этого необ ходимо только отбраковывать любой исхо дящий трафик, адрес которого не является о дним из IP-адресов вашей организации. Этот тип фильтрации, и он известен под назва нием «RFC 2827», может выполнять и ваш провайдер (ISP). К сожалению, до тех пор, пока все провайдеры не внедрят этот тип фильтрации, его эффективность будет намного ни же возможной. Кроме того, чем дальше от фильтруемых устройств, тем труднее проводить точную фильтрацию. • Введение дополнительных метод ов аутентификации -
наиболее эффективный мето д борьбы с IP-спуфингом тот же, что и в случае со сниффингом пакетов: необ ходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать то лько при условии, ч то аутентификация происхо ди т на базе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает это т вид атак бесполезными. Лучшим видом дополнительной аутентификации является криптографич еская. Если она невозможна, хорошие результаты может дать дву хфакторная аутентификация с использованием одноразовых паролей. Отказ в обслуживании (Denial of Service — DoS) DoS, вне всякого сомнения, является наиболее известной фо рмой хакерских атак. Кроме того, против атак такого типа труднее всего создать стопроцентную защиту. Для организа ции DoS требуется минимум знаний и умений. Тем не менее именно простота их реализации и причиняемый ими огромный вред привлекаю т к DoS пристальное внимание админис траторов, отвечающих за сетевую безопасность. Наиболее из вестные разновидности DoS: • TCP SYN Flood, • Ping of Death, • Tribe Flood Net work (TFN) и Tribe Flood Network 2000 (TFN2K), • Trinco, • Stacheldracht, • Trin ity. Атаки DoS отличаю тся от других атак. Они не нацелены на осуществление доступа к вашей сети или на получение из нее какой-либо информации. Атака DoS делает вашу сеть недоступной для обычного ее использования из -за наступающего вследствии подобной агрессии превышения допустимых параметров функционирования сети, ее операционной системы или приложения. В случае использования некоторы х серверных приложений (таких как Web-сервер или FTP-сервер) атаки DoS могут приводить к тому, что все соединения, доступные для этих приложе ний, окажутся занятыми и обслуживание обычных по льзовате лей станет невозможным. В хо де атак DoS могут использова ться обычные Интернет-протоко лы, типа TCP и ICM P (Internet Control Message Protocol). Большинство атак DoS удается осуществить из-за программных ошибок или брешей в системе бе зопасности, а по причине общие слабостей системной архитек туры. Некоторые ата ки сводят к нулю произво дительность сети, переполняя ее нежелательными и
ненужными пакетами или со общая ложную информацию о текущем состоянии сетевых ре сурсов. Эти атаки трудно предо твратить, поскольку необ ходима координация действий с провайдером. Если трафик, переполняющий вашу сеть, не перекрыть у провайдера, то на вхо де в сеть этого уже не сделаешь, потому что полоса пропу скания будет занята полностью. Когда атака по добного типа проводится одновременно через множество устройств, то она квалифицируется специалистами как «распределенная» ( DDoS - distrib uted DoS). Угрозу атак типа DoS можно снижать тремя следующими способами: • Использование функции анти-спуфинга — правильная конфигурация функций анти-спуфинга на маршрутизато рах и межсетевых экранах предполагает включение, как минимум, фильтрации RFC 2827. В этом случае хакер уже не сможет замаскировать свою истинную личность и вряд ли решится пр овести атаку. • Реализация функции анти-DoS - правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функ ции часто уменьшают число полуоткрытых каналов в лю бой момент времени. • Ограничение объема трафика (traffic rate li miting) — организация может попросить провайдера (ISP) о граничить объем трафика. Это т тип фильтрации позво ляет уменьшить объем некритического трафика, в вашей сети. Распространенное ограничение объемов трафика ICMP, который используется то лько для диагностических целей. А такие ата ки, как (D)DoS как раз часто используют ICMP. Парольные атаки Хакеры могут проводить парольные атаки с помощью целого ряда методов. Таких как простой перебор (brute force attack), троянский конь, IP-спуфинг и сниффинг пакетов. Хо тя логин и пароль часто можно получить при помощи 1Р-спу-финга и снифин га пакетов, хакеры тем не менее нередко пытаю тся подобрать пароль и логин, используя для э того многочисленные попытки доступа. Э то называется просто перебор (brute force attack). Часто для такой атаки используется специ альная программа, с помощью которой стремится получить доступ к ресурсу общего пользования (например, к серверу). Если это удается , то хакер становится как бы обычным пользователем, пароль ко торого был законно подобран. Если э тот
пользователь имеет значительные привилегии доступа, то ха кер может «засто лбить» для себя доступ и на будущее, который бу дет действовать даже если по льзователь изменит свой па роль и логин. Еще одна проблема часто возникает, если пользователи прим еняют один и тот же (пусть даже очень хороший) пароль, но для доступа к различным системам: корпоративной, персо нальной и системам Интернет. Поскольку устойчивость паро ля равна устойчивости самого слабого хоста, хакер, узнавший пароль через этот хост, получает доступ тогда и ко всем остальным системам, где используется тот же пароль. Парольных атак можно избежать вообще, если не пользо ваться паролями в текстовой форме. Одноразовые пароли и/или криптографическая аутентификация могут практичес ки свести на нет угрозу таких атак. К сожалению , не все приложения, хосты и устройства по ддерживаю т по добные методы ау тентификации. При использовании же обычных паролей, последние долж ны быть такими, чтобы их было бы трудно угадать и подо брать. Минимальная длина пароля должна быть не менее восьми символов. Пароль должен иметь символы вер хнего регистра, цифры и специальные символы (#, %, $ и т. д.). Лучшие пароли нелегко подобрать и трудно запомнить, а это обычно вынуждает пользователей записывать их на бумаге. Чтобы не делать э того, пользователи и адм инистраторы не должны игнорировать последние техноло гические достижения. Так, например, существуют прикладные программы, шифрующие список паролей, который можно хранить в карман ном компьютере. В результате по льзователю нужно помнить то лько один сложный пароль, тогда как все остальные пароли будут надежно защищены приложением. С точки зрения ад министратора, существует несколько методов борьбы с подбо ром паролей. Один из них заключается в использовании средства LOphtCrack, ко торое часто применяют хакеры для по дбора паролей в среде Windows NT. Это средство подскажет вам, легко ли по добрать пароль, выбра нный пользователем. Атаки типа Man-in-the-Mi ddle Для атаки типа Man-in-the-Middle хакеру нужен доступ к па кетам, передаваемым по сети. Такой доступ ко всем пакетам, пе редаваемым от провайдера в любую другую сеть, м ожет, к примеру, получить сотрудник э того провайдера. Для атак э того типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к част-
ным сетевым ресурсам, а также для анализа трафика и получения информации о сети и ее пользователях, для прове дения атак типа DoS, искажения передаваемых данных и вво да несанкционирова нной информации в сетевые сессии. Эффективно бороться с атаками типа Man-in-the-Middle можно только с помощью криптографии. Если хакер перехва тит данные зашифрованной сессии, у него на экране появится лишь бессмы сленный набор символов. Следует иметь в виду однако, что если хакер получит информацию о криптографической сессии (например, ключ сессии), то э то может сделать воз можной атаку Man-in the-Middle даже в зашифрованной среде. Атаки на уровне приложений Атаки на уровне приложений могут проводиться нескольки ми способами. Самый распространенный из них состоит в использовании хорошо известных слабостей серверного про граммного обеспечения (sendmail, HTTP, FTP). Используя э ти слабости, хакеры могут получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно э то бывает не простой пользователь, а привилегированный администратор с пр авами системного доступа). Сведения об атаках на уровне приложений широко публикуются, ч тобы дать возможность администраторам устранить проблему с помощью коррекционных модулей (патчей). К сожалению, многие хакеры также имеют до ступ к этим сведениям, что позволяет им обучаться. Главная проблема с атаками на уровне приложений заклю чается в том, ч то хакеры часто по льзуются портами, которым ра зрешен обмен через межсетевой экран. К примеру, хакер, эксплуатирующий известную слабость web-сервера, часто испо льзует в хо де атаки TCP порт 80. Поскольку Web-сервер предоставляет пользователям Web-страницы, межсетевой экран должен предо ставлять доступ к э тому порту. С точки зрения межсетевого экр ана, атака рассматривается как стандартный трафик для порта 80. Полностью исключить атаки на уровне приложений невозможно. Хакеры постоянно о ткрываю т и публикуют в Интер нете все новые уязвимые места прикладных программ. Самое главное здесь - хорошее системное администрирование. Во т неко торые м еры, которые можно предпринять, чтобы снизить уязвимость для атак подобного типа: • просмотр лог-файлов операционных систем и сетевых логфайлов и их анализ с помощью специальных аналити ческих приложений;
• использование самых свежих версий операционных си стем и приложений и самых последних коррекционных модулей (патч); • использование кроме системного администрирования, систем распознавания атак (IDS). Существую т две взаимно дополняющие друг друга техно логии IDS: • сетевая система IDS (NIDS) отслеживает все пакеты, прохо дящие через определенный домен. Когда система NIDS видит пакет или серию пакетов, совпадающих с сигнатурой известной или вероятной атаки, она генерирует сигнал тревоги и/или прекращает сессию; • хост-система IDS (HIDS) защищает хост с помощью программных агентов. Э та система борется только с ата ками против о дного хоста; В своей работе системы IDS пользуются сигнатурами атак, которые представляю т собой профили конкретных атак или типов атак. Сигнатуры определяю т условия, при которых трафик считае тся хакерским. Аналогами IDS в физическом мире можно считать систему предупреждения или камеру наблюдения. Самым большим недостатком IDS является ее способность выдавать нередко ложные сигналы тревоги. Чтобы минимизировать их ко личество ложных сигналов тревоги и до биться корректного функционирования системы IDS в сети, необ ходима тщательная настройка э той системы. Сетевая разведка Сетевой разведкой у хакеров называется сбор информации о с ети в виде сответствующи х общедоступных данных и прило жений. При подго товке атаки против какой-либо сети, как правило, хакер пытается получить о ней информации как мо жно больше. Сетевая разведка проводится в форме запросов DNS, э хо-тестирования (ping sweep) и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса э тому домену присвоены. Эхо-тестирование (ping sweep) адресов, раскрытых с помощью DNS, позво ляет увидеть, какие хосты реально работают в данной среде. Полу чив список хостов, хакер использует средства сканирования портов, чтобы составить по лный список услуг, поддерживаемых э тими хостами. И, наконец, хакер анализирует характеристики приложений, работающих на хостах. В р езультате добывается информация, которую можно использовать для взлома. Полностью избавиться от сетевой разведки невозможно. Ес ли, к
примеру, отключить э хо ICMP и э хо -ответ на периферийных маршрутизаторах, то избавитесь о т э хо -тестирования, но по теряете данные, необ ходимые для диагностики сетевых сбоев. Кроме того, сканировать порты можно и без предварительно го эхотестирования. Просто это займет больше времени, так как сканировать придется и несуществующие IP-адреса. Системы IDS на уровне сети и хостов обычно хорошо справля ются с задачей уведомления администратора о ведущейся сете вой разведке, ч то позволяет лучше подготовиться к предстоя щей атаке и оповестить провайдера (ISP), в сети которого установлена система, проявляющая чрезмерное любопытство. Злоупотребление доверием Вообще-то, э тот вид активности не является «атакой» или «штурмом». Скорее это злонамеренное использование отношений доверия, существующих в сети. Классическим прим ером является ситуация в периферийной части корпоративной сети. В этом се гменте часто располагаются серверы DNS, SMTP и HTTP. Поскольку все они принадлежат к одному и тому же сегменту, взлом одного из них приводит к взлому и всех осталь ных, так как эти серверы доверяют другим системам своей сети. Другим примером выступает случай с системой, работающей по одну сторону (внешнюю ) о т межсетевого экрана, но имеющую отношения доверия с системой, функционирующей по его другую (внутреннюю) сторону. В случае взлома внешней системы, хакер может использовать отношения доверия для проникнове ния в систему, защищенную межсетевым экраном. Риск злоупотребления доверием можно снизить за счет бо лее жестко го контроля уровней доверия в пределах своей сети. Системы, расположенные с внешней стороны межсетевого экрана, никогда не должны пользоваться абсолютным довери ем со стороны защищенных э краном систем. Отношения до верия должны ограничиваться определенными протоколами и, по возможности, ауте нтифицироваться не только по IP-адресам, но и по другим параметрам. Переад ресация портов Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост испо льзуется для передачи через межсетевой экран трафика, который в противном случае был бы обязательно отбракован. Представим себе межсете-
вой экран с тремя интерфейсами, к каждому из которых подключен определенный хос т. Внешний хост может по дключаться к хосту общего доступа (DMZ), но не к хосту, установленному с внутренней стороны межсетевого экрана. Хост общего доступа может по дключаться и к внутреннему, и к внешнему хосту. Если хакер захватит хост общего доступа, он сможет установить на нем програм мное средство, перена правляющее трафик с внешнего хоста прямо на внутренний хост. Хотя при этом не нарушается ни одно правило, действую щее на экране, внешний хост в результате переадресации полу чает прямой доступ к защи щенному хосту. Примером приложения, ко торое может предоставить такой доступ, явл яется netcat. Основным способом борьбы с переадресацией портов является использование надежных моделей доверия (см. разд. 4.1). Кроме того, помешать хакеру установить на хосте свои программные средства может хост-система IDS (HIDS). Несанкционированный д оступ Несанкционированный доступ не может считаться отдель ным типом атаки. Большинство сетевых атак проводятся ради получ ения несанкционированного доступа. Чтобы подобрать логин telnet, хакер должен сначала получить по дсказку telnet на своей системе. После подключения к порту telnet на экране появляется сообщение «authorizat ion required to use this resource» (для пользования этим ресурсом нужна авторизация). Если после э того хакер продолжит попытки доступа, они буду т считаться «несанкционированными». Источник таких атак может нахо диться как вну три сети, так и снаружи. Способы борьбы с несанкционированным доступом доста точно просты. Главным здесь является сокращение или полная ликвидация возможностей хакера по получению доступа к си стеме с помощью несанкционированного протокола. В качест ве примера можно рассмотреть недопущение хакерского до ступа к порту telnet на сервере, который предоставляет Web-услуги внешним пользователям. Не имея доступа к этому порту, хакер не сможет его атаковать. Что же касается межсетевого эк рана, то его основной задачей является предо твращение самых простых попыток несанкционированного доступа. Вирусы и приложения типа «троянский конь» Рабочие станции конечных пользователей очень уязвимы для
вирусов и троянских коней. Вирусами называются вредо носные программы, которые внедряются в другие программы для выпо лнения определенной нежелательной функции на рабочей станции конечного пользователя. В качестве примера можно привести вирус, который прописывается в файле co mmand, com (главном интерпретаторе систем Windows) и стира ет другие файлы, а также заражает все другие найденные им версии command.com. «Троянский конь» - это не программная вставка, а настоящая программа, которая выглядит как по лезное приложение, а на деле выполняет вредную роль. Примером типичного «троянского коня» является программа, которая выглядит, как простая игра для рабочей ста нции пользователя. Однако пока пользователь играет в нее, пр ограмма отправляет свою копию по электронной почте каждому абоненту, занесенному в адресную книгу этого по льзователя. Все абоненты получают по почте эту игру, способствуя ее дальнейшему распространение. Борьба с вирусами и «троянскими конями» ведется с помо щью эффективного антивирусного программного обеспечения, работающего на по льзовательском уровне и, возможно, на уровне сети. Антивирусные средства обнаруживают боль шинство вирусов и «троянских коней» и пресекают их распространение. Получение самой свежей информации о вирусах помогает эффективнее б ороться с ними. По мере появления новых вирусов и « троянских коней» предприятие до лжно уста навливать новые версии антивирусных средств и приложений.
4.3. Проблемы безопасности локальных вычислительных сетей и интегрированных информационных систем управления предприятием [^] Для обеспечения безопасности локальных вычислитель ных сетей (ЛВС) и ИИСУП необ хо димы: ■ разработка адекватной политики управления и безопас ности ЛВС и ИИСУП в целом; ■ обучение персонала предприятия особенностям использования ЛВС и ее защиты; ■ использование адекватных механизмов защиты для ра бочих станций; ■ применение адекватной защиты в хо де передачи инфор мации. Политика безопасности должна определять роль, каждого слу -
жащего в деле ЛВС реализации адекватной защищенности и пер едаваемой в ней информации. Управление ЛВС и ИИСУП должно иметь необ ходимые для нормальной работы финансовые средства, время и ресурсы. Слабое управление сетью может приводить к ошибкам защиты. В результате этого могут появиться такие проблемы, как ослабленная ко нфигурация защиты, небрежное выполне ние мер по защите или даже неиспользование необ хо димых механизмов защиты информ ации. Использование ПК в среде ЛВС и ИИСУП также сопровождается своими рисками. В ПК практически отсу тствуют меры защиты в отношении аутентификации по льзователей, управле ния доступом к файлам, ревизии деятельности по льзователей и т. д. В большинстве случаев защита информ ации, хранимой и обрабатываемой на сервере ЛВСпрекращается в то т момент, ко гда она посылается на ПК. «Малограмотность» пользователей в о тношении безопасности ЛВС и ИИСУП также увеличивает риски. Ведь люди, не знакомые с механизмами защиты, мерами защиты и т. п. вполне могут использовать их неправильно и, уж конечно, не безопасно. Ответс твенность за внедрении механизмов и мер защиты, а также за следование правилам использования ПК в среде ЛВС и ИИСУП обычно ложится на по льзователей ПК. Поэтому им должны быть даны соответствующие инструкции и рекомендации для по ддержания пр иемлемого уровеня защиты в среде ЛВС и ИИСУП. Неавторизованный д оступ к локальной вычислительной сети Конечно, подобный доступ совершенно нежелателен. Ведь пр едоставляет пользователям все свои мощные русурсы в виде ЛВС файлов, принтеров, файловой памяти и т. п. Поэтому по нятно, ч то всем этим необхо димо управлять и вести соответс тву ющий учет. Неавторизованный доступ к ЛВС имеет место, ко гда кто -то, не уполномоченный на использование ЛВС, получает доступ к ней (действуя обычно как законный пользователь ЛВС). Три общих метода испо льзуются, при этом, ч тобы получить не авторизованный доступ: общие пароли, угадывание пароля и пе рехват пароля. Общие пароли позволяю т неавторизованному пользова телю по лучить доступ к ЛВС и привилегии законного пользователя, это делается с одобрения какого-либо законного по льзователя, по д чьим именем осуществляется доступ. Угадыва ние пароля является традиционным способом неавторизованного доступа. Перехват пароля - э то процесс, в ходе которого за конный пользователь, сам не зная того, раскрывает учетный идентификатор пользователя и пароль. Э то
может быть выполнено с применения программы троянского коня, которая имеет для по льзователя вид нормальной программы входа в ЛВС. Другим методом является перехват пароля и идентификатора пользователя, передаваемых по ЛВС в незашифрованном виде. Методы перехвата о ткрытого трафика ЛВС, включая пароли, широко распространены сегодня. Неавторизованный доступ к ЛВС становится особенно возможным при таких условиях, как: ■ отсутствие или недостаточность схемы идентификации и а утентификации; ■ наличие совместно испо льзуемых паролей; ■ пло хое управление паролями или применение легких для угадывания паролей; ■ использование известных систем ных брешей и уязви мых мест, ко торые не были устранены; ■ эксплуатация однопользовательских ПК, не имеющих парольной защиты во время загрузки; ■ неполное использование механизмов б локировки ПК; ■ наличие хранимых в пакетных файлах на дисках ПК па роли доступа к ЛВС; ■ слабый физический контроль за сетевыми устройствами; ■ незащищенные модемы; ■ отсутствие тайм-ау та при установлении сеанса и регистрации неверных попыток; ■ не отключенный терминал при многочисленных неудач ных попытках установления сеанса и регистрации таких попыток; ■ отсутствие сообщений « дата/время последнего удачного с еанса» и «неуспешная попытка установления сеанса» в на чале сеанса; ■ отсутствие верификации пользователя в реальном времени (для выявления маскарада). Несанкционированный д оступ к ресурсам локальной вычислительной сети
Доступ к ресурсам ЛВС (файловой памяти, приложениям, принтерам, данным, и т. д.) должен быть разрешен только тем, кому это следует. Несанкционированный доступ происхо дит, когда пользователь, законный или несанкционированный, по лучает доступ к ресурсу, который пользователю не разрешено использовать. Несанкционированный доступ может происхо дить просто потому, что права доступа пользователей к ресурсу не обозначены должным образом. Однако несанкционирован ный доступ случается
также и потому, что механизм управления доступом или механизм назначения привилегий обладает недо статочной степенью детализации. В э тих случаях единственный способ предоставить пользователю необхо димые права доступа или привилегии для выполнения определенной функции состоит в том, чтобы предоставлять ему больше привилегий («до ступа»), чем необ ходимо. Несанкционированный доступ к ресурсам ЛВС может происходить из -за: ■ использования при назначении прав пользователям по умо лчанию таких системных установок, ко торые являю тся «слишком разрешающими» для пользователей; ■ неправильного испо льзования привилегий администра тора или менеджера ЛВС; ■ данных, хранящихся с неадекватным уровнем защиты или вообще без защиты; ■ недостаточного или неправильного использования механизма назначения привилегий для пользователей. Раскрытие данных Раскрытие данных или программного обеспечения ЛВС происхо дит, когда информация не зашифрована, или же пу тем просмо тра лицом, ко торое не имеет доступа к данным экрана монитора или распечаток информации. Компрометация дан ных ЛВС может происходить, если используются: ■ неправильные установки управления доступом; ■ данные, ко торые считаются достаточно критичными, чтобы использовать шифрование, но которые тем не менее хранятся в незашифрованной форме; ■ исходные тексты приложений, в незашифрованной фо рме; ■ мониторы, или станции печати в помещениях, где мно го посторонних лю дей; ■ резервные копии данных и программного обеспечения, хр анимые в открытых помещениях. Неавторизованная модификация д анных и прог рамм Поскольку пользователи ЛВС разделяю т данные и прило жения, изменения в э тих ресурсах должны быть управляемы. Неавторизованная модификация данных или программного обеспечения пр оисходит, когда в файле или программе производятся неавторизованные изменения (добавление, удаление или модификации). Когда незаметная модификация данных происходит в тече ние длительного перио да времени, то эти измененные данные могут
распространиться по ЛВС и привести к искажению всей базы да нных, электронных таб лиц и т. д. Одним словом, к нарушению целостности чуть ли не всей прикладной информ ации. Если в программном обеспечении были произведены неза метные изменения, то под подозрением, все программное обес печение ЭВМ может оказаться, что приведет к необхо димости детального изучения (и, возможно, переустановки) всего соответствующего программного обеспечения и приложений. Эти неавторизованные изменения могут быть сделаны в простых ко мандных файлах (например, в пакетных файлах ПК), в сервис ных программах, используемых в м ногопользовательских систе мах, в главных прикладных программах, или в другом каком -либо типе программного обеспечения. Это может быть сделано не авторизованными посторонними лицами, а также теми, кто упо лномочен делать изменения в программном обеспечении, но без наличия соответствующего разрешения. Изменения могут привести к передаче информации (или копии информации) другим пользователям, искажению данных при обработке или нанесению вреда доступности системы или служб ЛВС. Вирусы на ПК также могут вызвать модификацию данных и программ в любой организации, которая не обеспечила поль зователей ЛВС инструментами для эффективного обнаружения и предотвращения внедрения вирусов в ЛВС. Вирусы обычно огр аничиваются повреждением ПК и, как правило, не портят сервер ы ЛВС. Неавторизованная модификация данных и программного обе спечения может происхо дить, когда: ■ выдается разрешение на запись пользователям, ко торым тр ебуется лишь доступ по чтению; ■ имеются необнаруженные изменения в программном обеспечении, включая добавление кода для создания программы троянского коня; ■ не обозначена криптографическая контрольная сумма критических данных; ■ имеется механизм привилегий, позволяющий избыточ ное разрешение записи; ■ отсутствуют средства выявления и защиты от вирусов. Раскрытие трафика локальной вычислительной сети Раскрытие трафика ЛВС происходит, когда кто -то, кому это не разрешено, читает информацию, или получает к ней доступ незаконным способом, во время ее передачи через ЛВС. Трафик ЛВС
может быть скомпрометирован при прослушивании и перехвате информации, передаваемой по транспортной среде ЛВС (пу тем подключения к кабелю сети, прослушивания трафика, передава емого по эфиру, подключения к сети с помощью сетевого анализатора и т. д.). Обычно пользователи понимают важность со хранения конфиденциальной информации на своих автоматизированных р абочих местах или серверах, но ведь также важно поддерживать эту конфиденциальность и при передаче информации через ЛВС. Речь идет в том числе о такой информации, как системные имена, имена пользователей, сообщения электронной почты, прикладные да нные, пароли. Последние могут быть зашиф рованы при хранении в системе, но когда их посылаю т в открытом виде от автоматизированного рабочего места или ПК к файловому серверу, их (т. е. пароли) можно перехватить. Файлы сообщений электронной почты, к которым обычно имеется очень ограниченный доступ при хран ении в ЭВМ , часто также посылаю тся в о ткрытом виде по ЛВС, что делает и их легкой целью для перехвата. Компрометация трафика ЛВС может происходить если: ■ применена неадекватная физическая защита устройств ЛВС и среды передачи; ■ ведется передача открытых данных с испо льзованием шир оковещательных прото колов и по среде ЛВС. Подмена трафика локальной вычислительной сети Подмена трафика ЛВС означает испо льзование его неавторизованным способом или просто злоумышленником. В э той с итуации возникаю т возможности: получать сообщение, маскируясь под легитимное место назначения или маскироваться под машину отправитель и посылать сообщения кому-либо. Чтобы маскироваться по д машину-получатель, нужно убедить ЛВС в том, что данный адрес машины - э то легитивный адрес машины-получателя по дмену трафика ЛВС можно так же осуществить с помощью прослушивания сообщений, поскольку они в широковещательном режиме передаются всем узлам. Маскировка по д машину-отправитель для убеждения машины-по лучателя в законности сообщения может быть вы полнена заменой своего адреса в сообщении адресом авторизованной машины-отправителя или по средством воспроизве дения трафика. Воспроизведение предполагает перехват сеан са между отправителем и получателем и повто рную передачу впоследствии это го сеанса (или только заголовков сообщений) с новым содержанием. По дмена трафика ЛВС или его модификация может происходить при:
■ передаче трафика ЛВС в о ткрытом виде; ■ отсутствии отметки даты/времени (показывает время посылки и время получения); ■ отсутствии механизма ко да аутентификации сообщения или цифровой подписи; ■ отсутствии механизма аутентификации в реальном масштабе времени (для защиты от воспроизведения). Разрушение функций локальной вычислительной сети Разрушение функциональных возможностей ЛВС наступа ет в результате: ■ неспособности своевременно выявить ненормальный режим функционирования трафика, допустим, его чрезмерную переполненность; ■ неспособности в нужный момент перенаправить трафик, выявить отказы аппаратных средств ЭВМ и т. д.; ■ использования такой конфигурации ЛВС, когда стано вятся вполне возможными отказы э лементов э той сети в том или ином месте; ■ неавторизованных изменений компонентов аппаратных средств Э ВМ (переконфигурирование адресов на автоматизированных рабочих местах, изменение конфигурации ма ршрутизаторов или хабов и т. д.); ■ неправильного обслуживания аппаратных средств ЛВС; ■ недостаточной физической защиты аппаратных средств ЛВС.
4.4. Распределенное хранение файлов [^] Файловые серверы, как известно контролирую т доступ пользователей к различным частям файловой системы. Это обычно осуществляется через разрешение пользователю присоединить некоторую файловую систему к своей рабочей станции для дальнейшего использования ее (системы) в качестве ло кально го дис ка. От это го возникают сразу две потенциальные у грозы для информационной безопасности предприятия. Во -первых, сервер может обеспечить защиту доступа только на уровне каталога, поэтому если пользователю разрешен доступ к каталогу, то он получает доступ одновременно ко всем файлам, содержащимся в этом каталоге. Чтобы минимизировать риск в э той ситуации, важно поэтому соответс твующим образом структурировать файловую систему ЛВС и управлять ею. Другая угроза возникает из-за неадекватных
механизмов защиты локальной рабочей станции. Например, известно, ч то ПК может обеспечивать или то ль ко самую минимальную защиту или же вообще не обеспечивать никакой за щиты информации, хранимой в нем. Копирование пользователем файлов с сервера на локальный диск ПК приво дит к тому, что файл перестает быть защищенным теми средствами защиты, ко торые защищали его, когда он хранился на сервере. Для некоторых типов информ ации это может быть приемлемо. Однако для других типов информации вполне может потребоваться гораздо более сильная защита. Отсю да понятна не обходимость в целях безопасности обеспечения жестко го контроля за информационной средой ПК.
4.5.
Удаленные вычисления [^]
Удаленные вычисления должны контролироваться таким обр азом, чтобы то лько авторизованные пользователи могли получать доступ к удаленным компонентам и приложениям. Серверы должны обладать способностью аутентифицировать запрашиваю щих услуги или приложения удаленных пользова телей. Эти запросы могут также выдаваться локальными и удаленными серверами для взаимной аутентификации. Невоз можность аутентификации может привести к тому, что доступ к у даленным серверам и приложениям будут по лучать и неавторизованные по льзователи. Поэтому непр еменно для соблюдения целостности приложений, используемых многими пользователями через ЛВС, должны быть определенные разумные гарантии.
4.6.
Топологии и протоколы [^]
Проектировщикам информационно-вычислительных се тей хорошо известно, ч то топо логия э тих сетей и прото колы в них до лжны быть такими, ч тобы обеспечить оптимальное поступление и нформации как можно большему числу узлов (пользователей) в э тих сетях. А э то значит, что информация в этом случае идет не напр ямую от машины к машине, а проделывает гораздо более сложный и длительный путь, когда ее впо льне можно и перехватить самым «несанкционированным» образом. Перехваты сообщения на таких линиях, надо знать, бываю т как активные, так и пассивные. Пассивный перехват включает не только чтение информации, но и анализ трафика (использо вание адресов, других данных заголовка, длины и частоты со общений). Активный перехват означает изменение потока сообщений (вклю чая модификацию, задержку, дублирование, у даление или неправо-
мочное использование реквизитов).
4.7. Службы обмена сообщениями [^] Службы обмена сообщениями увеличивают риски для ин формации, хранимой на сервере или передаваемой между источником и отправителем. Неадекватно защищенная э лек тронная почта может быть легко перехвачена, изменена или повторно пер едана, ч то влияет как на конфиденциальность, так и на целостность сообщения.
4.8. Оценка рисков [^] От того, насколько полно и правильно будет проанализи рована защищенность информационных и других ресурсов предприятия, зависит эффективность всей его деятельности. Точную оценку защищенности ресурсов получить невозможно, но можно уяснить наиболее уязвимые места и участки и сделать прогноз о возможных угрозах. При анализе рисков принимаю тся во внимание и учитыаю тся: ■ модель нарушителя; ■ защита информации в компьютерных системах; ■ защита объекта от несанкционированного доступа; ■ защита речевой информации; ■ экспертная оценка защищенности информационных и других ресурсов на предприятии; ■ экспертная оценка организационно-штатной структуры предприятия; ■ экспертная оценка нормативно-распорядительной документации в области безопасности.
5. Требования по обеспечению комплексной системы информационной безопасности [^]
5.1. Требования по обеспечению информационной безопасности корпоративной информационной системы предприятия. [^] Как правило, они включают в себя: • Организационные меры защиты, сво дящиеся к регламентации; - допуска к использованию информационных ресурсов; - процессов проведения техно логических операций с информационными ресурсами КИС; - процессов эксплуатации, обслуживания и модификации аппаратных и программных ресурсов. • Технические меры и мето ды защиты, заключающиеся в применении средств; - идентификации и ау тентификации; - разграничения доступа; - обеспечения и контроля целостности; - антивирусной защиты; - межсетевого экранирования; - контроля электронной почты; - контроля и регистрации событий безопасности; - криптографической защиты; - виртуальных частных сетей (VPN); - централизованного управления системой* информациионной безопасности.
5.2. Требования к программно-аппаратным средствам [^] Программно-аппаратные средства ИС предприятия до лжны: • обеспечивать возможность комплексного решения во просов защиты информации в том числе возможность удаленного администрирования; • иметь встроенные средства криптографической защиты ин-
формации и поддерживать технологию электронной по дписи; • полноценно функционировать в распределенной корпо ративной среде и иметь минимальное программное обеспечение на клиентских местах; • учитывать требования действующих нормативных до кументов по защите информации АС, а также законода тельство Российской Федерации, ГОСТы, нормативные, руководящие и другие до кументы уполномоченных госу дарственных органов по вопросам информатизации, за щиты информации и обеспечения информационной безопасности.
5.3. Требования к подсистеме идентификации и аутентификации. [^] Эта подсистема должна гарантировать: • невозможность администрирования для непривилегированного пользователя; • возможность разграничения доступа по группам пользо вателей, их местоположению, времени обращения; • осуществление аутентификации перед сменой пароля; • отслеживание неудачных попыто к вхо да в систему, за держек после ввода неверного пароля перед следующей по пыткой, оперативное оповещение администратора безопасности при нескольких последовательных неудачных по пытках вхо да в систему; • системную защиту данных, испо льзующихся для аутен тификации, и регистрационных данных пользователей; • проверку требований к паролям (по длине, допустимым символам и т. п.); ограничение на доступ к системной базе паролей и на их о тображение на экране; • защиту данных, испо льзуемых при аутентификации, и хранение паролей только в зашифрованном виде; • обязательность периодической смены паролей, а также о тличий новых паролей от старых; • обязательную аутентификацию пользователей при до ступе к базе данных; смену стандартных паролей, исполь зуемых при установке; • демонстрацию при вхо де пользователя в систему - вре мени последнего вхо да/выхо да, использовавшихся серви сах, числе неудачных попыток входа с данным именем после последнего сеанса.
5.4. Требования к подсистеме управления доступом [^] Для управления доступом используются: ■ безопасный сервер аутентификации для про токолирования верификации попыток ау тентификации и их результатов; ■ идентификатор пользователя и права доступа на ч тение, запись, выпо лнение программ; ■ профиль пользователя; ■ его подразделение. При этом также необ ходимо, ч тобы: ■ были определены правила доступа, основанные на атрибутах доступа, и правила доступа по умолчанию; ■ доступ к устройствам вво да/вывода был регламентирован административными и программно-техническими мерами; ■ в базе данных были определены атрибуты доступа для об ъектов и субъектов (для объектов атрибуты должны у станавливаться в процессе операций импорта/экспорта); ■ правила доступа распространялись только на пользователей, прошедших авторизацию; ■ существовали утвержденные списки управления досту пом или правила управления доступом; ■ различающиеся права доступа для объектов и субъектов б ыли проверены на согласованность; ■ в базе данных была обеспечена защита от ч тения и м одификации информации, относящейся к политике безопас ности, в частности:
данных, относящихся к идентификации и аутентификации. Причем, пользователи должны иметь возможность в любой момент закрыть (приостановить) свой сеанс и возобновить его после повторной аутентификации; точек входа и соответствующих им параметров (системных и пользовательских); атрибутов, относящихся к политике безопасности и устанавливаемых по умолчанию.
5.5. Требования к подсистеме протоколирования аудита [^] Данные, относящиеся к протоко лу (регистрационный жур нал), должны быть защищены от изменения. С э той целью : • система должна позволять идентифицировать и показы вать текущие события;
• события, которые могут привести к нарушению целост ности регистрационного журнала, должны быть перечис лены в документации администратора безопасности; • должно быть обеспечено протоколирование доступа к базе данных; • события, подлежащие регистрации, устанавливаются для пользователей, групп по льзователей, объектов базы данных; • действия пользователей с полномочиями администрато ров подвергаю тся аудиту на предмет адекватности текущей ситу ации; • средства прото колирования/аудита должны иметь возможность отслеживать события следующих классов: - использование механизмов идентификации и аутентификации; - помещение объектов в адресное пространство пользо вателя; - создание, модификация, у даление объектов; а также дейс твия привилегированных по льзователей; - передача данных за пределы системы; - начало и окончание работы системы, сеансов, точки вхо да; • модификация прав доступа и привилегий. Минимальные требования к протоколированию /аудиту Они в любом случае должны о хватывать: - регистрацию у дачных и неудачных попыток вхо да в сис тему; - регистрацию изменений данных , вносимых в базу в про цессе администрирования; - использование системных сервисов. Что касается попыток несанкционированного доступа к регис трационным журналам, то в таких случаях до лжно от правляться сообщение администратору безопасности, а сам процесс нарушитель должен быть б локирован. В записях же о событиях в регистрационном журнале непременно должна быть информацию о типе (классе) события, дате и времени начала и окончания, у да чном/неудачном завершении, по льзователе.
5.6. Требования к подсистеме защиты повторного использования объектов [^] Они нижеследнющие: - вся информация, относящаяся к атрибутам безопаснос ти и авторизации, не содержащаяся в объекте, должна быть выгружена
из памяти (унич тожена) после выгрузки объекта; - данные (включая зашифрованные) о тносящиеся к незагруженному объекту, должны быть недоступны для любых др угих объектов, включая и те, ч то используют незагружен ный объект.
5.7. Требования к защите критичной информации [^] Их также немного : - когда по льзовательский сеанс приостановлен (б локиро ван), вывод также должен быть приостановлен, экран мо нитора погашен; - база данных должна иметь возможность перед процеду рой инициализации сеанса выдать пользователю преду преждение об ограничениях, связанных с текущей ситуацией.
5.8. Требования к средствам обеспечения целостности. [^] Их значительно бо льше, и они разнообразнее: ■ процедуры (решаемые задачи) должны быть документированы; в частности, должны быть рассмотрены вопросы во сстановления в случае сбоев оборудования и нарушения целос тности данных; ■ после успешного входа в систему пользователь до лжен получить следующую информацию: ■ кто последний раз вхо дил в систему (пользователь, процесс и т. п.); ■ дату и время последнего, успешного вхо да/выхо да в сис тему/из системы; ■ сервис, ко торый был испо льзован во время сеанса; ■ число неудачных попыток вхо да в систему после завершения последнего сеанса; ■ данные о по льзовательском идентификаторе; База данных должна быть в состоянии ограничить возможности незарегистрированного пользователя в попытках входа в систему посредством: o использования задержки после неудачной попытки входа в систему; o блокирования доступа к данным пользователя, не во шедшего в систему. База данных до лжна быть в состоянии работать в нормальном режиме и режиме техническо го обслуживания (техноло гическом);
■ по умолчанию для пользователей должны быть недоступ ны каталоги, созданные другими пользователями и про граммами; ■ функции администратора, связанные с обеспечением ин формационной безопасности, должны быть недоступны прочим пользователям и процессам; ■ процедура восстановления данных должна обеспечивать во сстановление данных всех категорий вп ло ть до минимального уровня защищенности; ■ процедуру восстановления можно проводить только в режиме технического обслуживания. Обеспечение безопасности модификации и получения ин формации достигается благодаря тому, что : - обычные пользователи не могут перевести систему из нормального режима в режим технического обслуживания; - в режиме технического обслуживания обычные пользова тели не имеют доступа в систему; - база данных ведет отчетность по каждому пользователю о тдельно.
5.9. Требования к средствам управления ИБ [^] Надежность средств управления безопасностью обеспечивается не в последнюю очередь разделением ролей и обязанностей администраторов. При э том должны присутствовать как минимум а дминистратор безопасности, системный администратор, пользователи. Особо контролироваться до лжны вопросы перераспределе ния и добавления должностных обязанностей, связанных с ИБ; что кас ается средств администрирования, относящихся к ИБ, то они должны контролироваться на предмет их несанк ционированного использования, модификации, унич тожения. В системе должны также использоваться механизмы защи ты при регистрации новых пользователей, а в базе данных должны присутствовать механизмы защиты, обеспечивающие: - невозможность включать/выключать меха низмы защиты; - выбирать или изменять события, по длежащие протоко лированию/аудиту; - изменять установленные по умолчанию события и атри буты защиты. Требования к средствам управления ИБ ди ктуют в том числе и: - установление предельного времени пассивности по льзователей, после ко торого они исключаю тся из числа легаль ных пользователей;
- возможность для системного администратора проводить ау дит действий одного или выбранной группы пользователей; - защита средств проведения аудита от неавторизованного использования, модификации, унич тожения; - - обязательное наличие в базе данных при установке ме ханизма выбора и обновления параметров конфигурации; - обеспечение защиты механизма регистрации параметров пользователя о т несанкционированного удаления, модификации, ознакомления; - существование механизма удаления пассивных пользова телей; - обеспечение возможности для администратора отменить команду удаления пользователя из списков; - существование защитного механизма, обеспечивающего до ступ только авторизованного персонала к выполнению функций администратора.
5.10. Требования к Межсетевому Экрану. Управление доступом [^] МЭ должен обеспечивать: - фильтрацию на сетевом уровне. Решение по фильтрации м ожет приниматься для каждого сетевого пакета независимо на основе, по крайней мере, сетевых адресов отправите ля и получателя или на основе других эквивалентных атри бутов; - фильтрацию пакетов служебных про токолов, служащих для диа гностики и управления работой сетевых устройств; - фильтрацию с учетом входного и выхо дного сетевого ин терфейса как средство проверки подлинности сетевых адресов; - фильтрацию с учетом любых значимых по лей сетевых па кетов; - фильтрацию на транспортном уровне запросов на установление виртуальных соединений. При этом, по крайней м ере, учитываются транспортные адреса отправителя и получателя; - фильтрацию на прикладном уровне запросов к приклад ным сервисам. В э том случае, по крайней мере, учитываются прикладные адреса отправителя и получателя; - фильтрацию с учетом даты/времени. Идентификация и аутентификация МЭ должен обеспечивать возможность регистрации и учета фильтруемых пакетов. В параметры регистрации включаю т ся адрес, время и результат фильтрации. МЭ должен также обеспечивать возможность ау тентификации
входящих и исхо дящих за просов методами, устойчивы ми к пассивному и/или активному прослушиванию сети. Администрирование МЭ должен обеспечивать идентификацию и ау тентифика цию администратора МЭ при его локальных запросах на до ступ. МЭ должен предоставлять возможность для идентификации и аутентификации по идентификатору (коду) и паролю условно постоянного действия. Регистрация. МЭ должен обеспечивать регистрацию : - и учет запросов на установление виртуальных соедине ний; - локальной сигнализации попыток нарушения правил фильтрации; - идентификации и ау тентификации администратора МЭ; - контроля за целостностью программной и информационной части МЭ; - процедуры восстановления; - входа (выхода) администратора МЭ в систему (из систе мы) либо загрузки и инициализации системы и ее про граммного останова (регистрация выхо да из системы не проводится в моме нты аппаратурного отключения МЭ). В параметрах регистрации указываются* - дата, время и код регистрируемого события; - результат попытки осуществления регистрируемого события (успешная или неуспешная); - идентификатор администратора МЭ, предъявленный при попытке осуществления регистрируемого события. Дополнительно МЭ должен обеспечивать регистрацию за пуска программ и процессов (заданий, задач). Целостность МЭ должен содержать средства контроля за целостностью своей программной и информационной части. Восстановление МЭ должен предусматривать процсдуруэщвюшщщщят после сбоев и отказов оборудования, которыедоетжнадаб^яе-чивать вос-
становление свойств МЭ. Тестирование В МЭ должна обеспечиваться возможность регламентно го тестирования: ■ реализации правил фильтрации; ■ процесса регистрации; ■ процесса идентификации и аутентификации админист ратора МЭ; ■ процесса регистрации действий администратора МЭ; ■ процесса контроля за целостностью программной и информационной части МЭ; ■ процедуры восстановления. Антивирусные средства Обнаружение, локализация и унич тожение вирусов должны обеспечиваться только специальными антивирусными про граммами. Подобные программы, обеспечивающие предотвращение доступа вирусов к данным на внешних носителях информации уже имеются, это весьма полезное дополнение к об щесистемным средствам, защиты от деструктивных действий вир усов и блокирования их способности к размножению. Для защиты о т программ-вирусов необходимо установить на все рабоч ие станции средства антивирусной защиты, их эффективность при э том увеличивается, если используется централи зованное управление ими. Важно также, ч тобы антивирусная база и обновлялась регулярно централизованным образом. Виртуальные защищенные сети (VPN-технология) Создание виртуальных защищенных сетей весьма актуаль но, мак как позволяет организовать корпоративную сеть, за щищенную от несанкционированного доступа, испо льзуя при э том любые каналы связи: коммутируемые и выделенные каналы, локальные и глобальные сети передачи данных и т. д. Такие защищенные каналы исключаю т возможность: - перехвата информации; - подключения незарегистрированного компьютера; - изменения информации и любые сетевые атаки. Защита VPN может строиться на уровне сокетов, на основе протоколов SSL и SSH, на транспортном (TCP) и сетевом (IP)
уровне. Для решения задач VPN защита на последнем уровне наиболее предпочтительна ввиду того, ч то: - модуль системы защиты реализуется в виде драйвера опер ационной системы, располагающегося между ip-стеком и ndisдрайвером сетевого адаптера, ч то позволяет контро лировать весь про ходящий трафик; - защита работает на уровне драйверов, что затрудняет ата ку на средство защите, испо льзованием сервисов операционной системы; - защита прозрачна для сервисов более высокого уровня и пользовательских приложений; - защита организуется между любыми двумя точками сети с учетом ее топологии; - обеспечивается маскирование вну тренней топологии сети. Защита информации в VPN строится с использованием та ких технических приемов, как: - шифрование исходного IP-пакета, что обеспечивает секретность со держащихся в пакете данных, вроде по лей IPзаголовка и по ля самих данных; - цифровая подпись IP-пакетов, ч то обеспечивает ау тентификацию пакета и источника-о тправителя пакета; - Инкапсу ляция IP-пакета в новый защищенный IP-пакет с новым заголовком, содержащим IP-адрес устройства за щиты, ч то маскирует топологию вну тренней сети. Защита информации при передаче между вир туальными подсетями реализуется на алгоритмах асимметричных ключей и электронной подписи, защищаю щей информацию от подделки. Фактически данные, подлежащие межсегментной передаче, кодируются на выхо де из одной сети, и декодирую тся на вхо де другой сети, при этом алгоритм управления ключами обеспечивает их защищенное распределение между оконечными устройствами. Все манипуляции с данными прозрачны для работающих в сети приложений. Есть возможность организовать защиту информации на любом уровне. В том числе: - защиту всего трафика, т. е. всей информации, передавае мой по каналу связи, например, между географически удаленными филиалами компании; между сервером и пользо вателем, между клиентами; - доступа мобильных пользователей в локальную сеть ком пании.
Средства криптографической защиты Для обеспечения информационной безопасности КИС предприятия необ ходимо использование аппаратно -про граммных средств криптографической защиты данных. При этом должны соблюдаться нижеследующие условия: 1. В том, что касается аппаратных средств: - соблюдается целостность алгоритма криптогр афического преобразования; - шифрование производится и ключи шифрования хр анятся в самой плате, а не в оперативной памяти компьютера; - аппаратный датчик случайных чисел создает действи тельно случайные числа для формирования надежных ключей шифрования и эле ктронной цифровой подписи; - загрузка ключей шифрования с идентификаторов про изводится напрямую, минуя ОЗУ и системную шину компьютера, ч то исключает возможность перехвата ключей; -для выполнения криптографических преобразований с целью разгрузки центрального процессора компьютера прим еняется специализированный шифропроцессор; - шифрование осуществляется с высокой скоростью. 2. В том что касается программного обеспечения: - компьютерная информация (файлы, группы файлов и разделы дисков), шифруется с соблюдением принципа конфиденциальности; - электронная цифровая подпись файлов осуществляется с непременой проверкой их целостности и авторства; - создаются прозрачно шифруемые логические диски для максимального облегчения и упрощения работы пользо вателя с конфиденциальной информацией; - формируются крипто графически защищенные вир ту альные сети, шифруется IP-трафик и обеспечивается за щищенный доступ к ресурсам сети мобильных и удален ных пользователей; - создаются системы защиты информации от несанкцио нированного доступа и для разграничения доступа к ком пьютеру.
6. Принципы построения систем информационной безопасности [^] 6.1. Принципы и правила построения информацио нной системы предприятия [^] Информационные системы повышенной сложности, та кие как интегрированные информационные системы или системы масштаба предприятия, как правило, состоят из ряда подсистем. При построении систем масштаба предприятия желатель но эффективно увязывать по дсистемы в единый комплекс, придерживаясь ряда основополагающих правил, включающих в себя: ■ Использование общепринятых стандар тов, поддержива емых основными фирмами-производителями программного обеспечения. ■ Применение программного обеспечения достаточной прои зводительности, чтобы его не менять при увеличении мощности и количества используемого оборудования. Это качество называется масштабируемостью программного обеспечения. ■ Соблю дение принципа многозвенности, означающего, что каждый уровень системы (клиент, Web-сервер, сервер приложений, сервер баз данных) реализует функции, наи более ему присущие . ■ Реализацию, по возможности, принципа аппаратно платформенной независимости и системного программного обеспечения ■ Осуществление принципа коммуникативности, т. е. что бы различные уровни системы могли взаимодействовать между собой как по данным, так и по приложениям. В настоящее время наиболее бурно развивающимися технологиями для построения ИИСУП являю тся - Extranet и Intranet, предусматривающие специфические решения для приложений архитектуры клиент-сервер, с использованием всего многообразия технологий и прото колов, разработанных для глобальной сети Internet. Имеются в виду, в частности, прим енение: ■ в качестве транспортного прото кола — TCP/IP; ■ встроенных средств защиты и ау тентификации; ■ технологии WWW в ар хитектуре «клиент - Web-сервер сервер приложений - сервер баз данных» при разработке приложений.
Вместе с тем Web-техно логии при всех своих значительных преимуществах вносят и новые проблемы, связанные с масштабируемостью, управлением сеансами и состоянием сети, ее защитой и возможными изменениями стандар тов. Так прикладные программы Web могут вести себя потенциально непредсказуемым все-таки образом в период пиковых нагрузок. Большие нагрузки, от пользователей, требуют высокоэффективной ар хитектуры аппаратной и программной плат формы, которая до лжна допускать масштабируемость ресу рсов. С другой стороны, WWW — среда, в которой клиентское и серверное ПО является слабосвязанным. Прикладные про граммы сервера должны хранить информацию о состоянии сеанса от о дной страницы до другой, если необ хо димо избежать требования п овторного ввода по льзователем имени и пароля для доступа к новой странице. Управление ресурсами и разграничение доступа, как пра вило ориентированы на отдельный WWW-сервер и не охваты вают все множество информационных ресурсов корпорации. Становятся первостепенными проблемы защиты, когда компании делаю т вну тренние базы данных доступными для внешних пользователей. Установление подлинности пользо вателей и безопасность передачи данных превращается в бо ль шую проблему в среде Web из-за большого количества потен циально анонимных пользователей. Что касается стандартов, то технологии WWW все еще изменяются и стандарты окончательно так и не устоялись. На пример, сейчас происхо дит расширение HTM L языком описания Web-документов XM L. Важнейшими вопросами при реализации ИИСУП на базе те хнологий Internet/Intranet являю тся организация защиты информ ации, централизованного управления информационными ресурсами, разграничение доступа к ресурсам. Особенно это важно для доступа пользователей из внешних сетей к ресурсам ИИСУП, это так называемая Extranet-техно логия. Общепринятым подхо дом к решению вопросов защиты является использование в корпоративной сети, имеющей выхо д в публичную сеть Internet, следующей стратегии управления доступом между двумя сетями: ■ весь трафик, как из внутренней сети во внешний мир, так и наоборот, должен контролироваться корпоративной системой; ■ пройти через систему может только авторизованный трафик, который определяется стратегией защиты. Межсетевой экран это механизм, используемый для за щиты доверенной сети
(внутренняя сеть организации) от сети, доверия не имеющей Internet. Несмотря на то, ч то большинство МЭ в настоящее время развернуто между и вну тренними сетями (Intranet), имеет смысл использовать их в любой сети, базирующейся на техно логии Internet, скажем, в распределен ной сети предприятия. Основные объекты, с которыми оперирует типовой МЭ, э то: ■ пакеты IP, TCP, UDP и др.; ■ сервисы, реализуемые прикладными протоколами Telnet, FTP, SMTP, POP3, HTTP, NNTP, Gopher и т. д.; ■ пользователи, ко торым предоставляется (или запрещается) доступ к тому или иному ресурсу или VPN (Virtual Private Networks). МЭ типа пакетных фильтров, пропускают или не пропускают через себя в том или ином направлении в зависимости от содержимого заголовков у э тих пакетов. МЭ типа серверов прикладного уровня или уровня соединения используются для предоставления пользователям, про шедшим процедуры аутентификации (подтверждение лич ности), тех или иных сервисов.
Рйс 5 Структурная схема объектов интегрированной информационной системы управления предприятием,определяющая виды угроз инфо рмационной безопасности
Оценивая возможности использования МЭ для управления и ра зграничения доступа к внутренним информационным ресурсам, следует признать, ч то для данного случая наиболее подхо дят МЭ уровня соединения и уровня приложений. Это объясняется тем, что контроль в данном случае осуществляется на уровне «сервисов». Правда следует по дчеркнуть, ч то контроль с использованием данных МЭ не распространяется на такие атрибуты ресурсов, как ката-
лог, файл, программа, тип доступа, допустимые значения параме тров и т. п. Управление доступом к ресурсам и его разграничение на базе этих признаков о тнесено непосредственно к серверам HTTP, FTP и т. п., реализующим только ло кальные (по отношению к со бственным ресурсам) стратегии управления и разграничения доступа. При этом недоступными остаю тся такие возможности, как: ■ создание централизованного управления информационными ресурсами; ■ поддержка каталога прав доступа пользователей к ре сурсам; ■ поддержка единой политики разграничения доступа к ресу рсам; ■ протоколирование сеансов работы пользователей (по отношению к ресурсам) и централизованное получение статис тической информации о работе пользователей с ресурсами ИИСУП. Перечисленные принципы и правила построения инфор мационной сети предприятия представлены на рис. 5. В сущности, э то 4 уровня подсистемы ИИСУП, которые естественно могут служить объектами угроз для информационной безопасности предприятия. Имеются ввиду такие виды каждодневного управления, как: ■ централизованное всей системой предприятия; ■ заводом (отдельно) и цехами (приложениями и серверами); ■ всей системой сети; ■ конечными пользователями. В соответствии с выдвину тым выше принципом система безопасности ИИСУП то гда до лжна включать в себя защиту: ■ централизованного управления; ■ приложений и соответствующих серверов; ■ ■ сети; ■ ■ конечных пользователей.
6.2. Принципы построения системы санкционированного доступа к ресурсам [^] Наличие большого числа информационных и вычисли тельных ресурсов (баз данных и приложений), используемых на предпр иятии и функционирующих на различных аппаратных и программных платформах, делает а ктуальной задачу создания и внедрения системы санкционированного доступа к единому информацио нному пространству предприятия. Осуществление подобного санкционированного доступа невозможно без:
■ обеспечения соответствующего единого механизма; ■ единой по литики безопасности и защиты информации; ■ централизованного и непрерывного контроля за ис пользованием ресурсов и управлением ими. При этом обязательно должно быть учтено наличие боль шого числа наследуемых приложений, исторически использу емых на том или ином предприятии. На рис. 6 представлена возможная схема санкционированно го доступа к информационным ресурсам предприятия. На схеме представлена многозвенная ар хитектура, состоящая из: ■ Клиентского уровня - терминальных компью теров пользователей под управлением ОС MS Windows 98/NT, использующих один из широко распространенных браузеров: Microsoft Internet Exp lorer или Netscape Navigator. ■ Уровня серверов доступа (access server) — специализированных серверов приложений, реализующих функции ау тентификации пользователей, управления правами досту па к ресурсам ИИСУП (распределенный катало г), контро ля и протоколирования сеансов, доступа к информационным и вычислительным ресурсам ИИСУП. ■ Уровня Wfeb-серверов. ■ Уровня серверов приложений — масштабируемой структу ры серверов, обеспечивающих унифицированные средства пре дставления информации и функционирования подсис тем ИИСУП. Уровня серверов баз данных.
Рис 6 Структурная схема системы безопасности (санкционированного доступа к ресурсам)
6.3. Принципы построения комплексной системы защиты интегрированной информационной системы управления предприятием от угроз, исходящих из Inte rnet [^] Комплексная система защиты (КЗИ) основана на: ■ Использовании пакетных фильтров и межсетевого экранирования уровня приложений для разграничения доступа
пользователей к ресурсам Internet и защиты внутренних ресурсов ИИСУП о т НСД Internet. ■ Применении разрешительного порядка предоставления пользователям привилегий доступа к ресурсам Internet. Неразглашения структуры ИИСУП. ■ Обнаружении вторжений на сетевом и прикладном уровнях с соответствующею динамической реакцией на эти атаки, напр имер, путем автоматического переконфигурирования межсетевых экранов и обрыва межсетевых соединений. ■ Обеспечение антивирусной проверки и удалении вирусов в прохо дящем из/в Internet трафике электронной почты, FTP и НТТР-трафике. ■ Гибкой организации демилитаризованных зон и воз можности дополнительной защиты критических демили таризованных зон. ■ Обеспечении отказоустойчивости и надежности б лаго даря: - классификации межсетевых э кранов; - ублированию каналов доступа в Internet и каналов ИИСУП; - разнесению точек выхо да из Internet по различным траекториям; - использованию про токолов динамического изменения топологии сети, прозрачному для по льзователей; - дублированию средств управления КЗИ. ■ Централизованном управлении компонентами КЗИ и мониторинге сетевой активности. ■ Эшелонировании защиты: - последовательном размещении пакетных фильтров и межсетевых э кранов уровня приложений, использова нии дополнительных межсетевых экранов для защиты критичных ресу рсов; - многоуровневом размещении средств обнаружения вторжений для контроля несанкционированной актив ности, как перед межсетевыми экранами, так и за ними, а также обнаружении атак на межсетевые э краны изну три ИИСУП. ■ Центральном аудите и формировании отчетов о сетевой а ктивности и несанкционированных действиях. ■ Обеспечении целостности ресурсов КЗИ и управляющего трафика КЗИ с помощью штатных средств компонент КЗИ. ■ Обеспечении централизованного кон троля за уязвимостью компонент подсистемы защиты.
6.4. Службы и механизмы защиты [^] Служба защиты — совокупность механизмов, процедур и др у-
гих управляю щих воздействий, для уменьшения риска, связанного с угрозой. Например, службы идентификации и аутентификации помогают снизить риск угрозы неавторизо ванного пользователя. Неко торые службы обеспечивают защиту от угроз, в то время как другие обнаруживают саму угрозу. Примером последних являются службы регистрации или наблю дения. Далее в э том разделе будет рассказано о таких службах, которые обеспечивают: ■ Идентификацию и установление по длинности — гарантируют, что в ЛВС работаю т только авторизованные лица. Управление доступом другими словами, гарантируют, ч то р есурсы ЛВС используются разрешенным способом. ■ Конфиденциальность данных и сообщении — т. е. что данные ЛВС, программное обеспечение и сообщения не раскрыты неавторизованным лицам. ■ Целостность данных и сообщений, ч то ЛВС, программ ное обеспечение и сообщения не изменены неправомочными лицами. ■ Контроль участников взаимодействия, гарантируется что объекты, участвующие во взаимодействии, не смогут отказаться от участия в нем. В частности, отправитель не см ожет о трицать посылку сообщения (контроль участни ков взаимодействия с подтверждением отправителя) или по лучатель не сможет отр ицать по лучение сообщения (контроль участников взаимодейс твия с по дтверждением получателя). ■ Регистрация и наб лю дение - э то тоже прерогатива службы безопасности, которая следит за законным исполь-зованиеа всех ресурсов ЛВС.
6.5. Идентификация и аутентификация [^] Первый шаг к обеспечению безопасности ресурсов ЛВС и ИИСУП — э то проверка личности пользователей, установ лением их по длинности — ау тентификация. Аутентификация лежит в основе эффективного функционирования всех дру гих мер и средств защиты, используемых в ЛВС и ИИСУП. Например, механизм р егистрации позво ляет получить ин формацию об использовании пользователями ресурсов ЛВС и ИИСУП, исхо дя из идентификатора пользователя. Меха низм управления доступом разрешает доступ к ресурсам ЛВС, основываясь также на идентификаторе пользователя. Оба эти средства защиты эффективны только при условии, что пользователь, использующий службу ЛВС, - действительный пользователь, ко торому данный идентификатор то лько и на значен. Идентификация требует, чтобы пользователь был так или иначе
известен ЛВС и ИИСУП. Последнее достигается назна чением пользователю соответствующего идентификатора. Однако ЛВС не может доверять заявленному идентификатору без подтверждения его подлинности, т. е. его аутентификации. Ус тановление подлинности пользователя невозможно без нали чия у него жетона, знания им какого-либо пароля. Чего-нибудь, ч то делает по льзователя неповторимым, как отпечато к его пальца. Чем большее количество таких уникальностей предо ставлено пользователем ЛВС, тем меньше риск, ч то кто-то подменит законного пользователя. Требование о необходимости ау тентификации в явной или н еявной форме, но должно присутствовать в по давляющем большинстве по литик безопасности ЛВС. Механизм идентификации и аутентификации в большин стве ЛВС основан на схеме «идентификатор пользователя/па роль». Аутентификация, ко торая полагается исключительно на пароли, не всегда может обеспечить адекватную защиту для И ИСУП. Дело в том, что пользователи «обожают» создавать пароли, ко торые им легко запомнить, но вся беда в том, что такие пароли легко и о тгадать. Справедлива и противополож ная ситуация: если испо льзовать пароли, из случайных символов, которые трудно угадывать, то пользователям их также трудно будет и запомнить. В таких случаях пользователи обычно записываю т ку да-либо пароль, и, разумеется, в месте, легко доступном для них во время работы. Надлежащий выбор пароля (компромисс между легкостью для его запоминания пользователем и трудностью для угадывания другим челове ком) всегда был и остается проблемой. Генераторы паролей состоящие из произносимых слогов обычно, позволяю т со здать более запоминающиеся пароли, чем те, что по лучаются в виде строк из случа йных символов. Существуют программы проверки паролей, позволяющие установить, являю тся ли новые пароли легкими для угадывания и поэтому недопустимыми. Механизмы с использованием только паролей, особенно те, ко торые передают по ЛВС пароль в открытом виде (незашифрованной форме) уязвимы для наб людения и перехвата. Отсю да могут возникнуть серьезные проблемы, если ЛВС имеет неконтролируемые связи с внешними сетями. Если после рассмотрения всех вариантов ау тентификации, б удет принята такая по литика ЛВС, в соответствии с ко торой будут признаны приемлемыми системы аутентификации только на осн ове паролей, то самой важной мерой защиты в таких случаях станет надлежащее управление созданием паролей, их хранением, слежением за истечением срока их использования и их удалением. Из-за наличия уязвимых мест, при использовании механизмов на основе только паролей могут применяться для э тих целей и другие по до б-
ные, но более надежные механизмы. Есть уже разработки, напр имер, в области систем аутентификации, основанные на исполь зовании так называемых, интеллектуальных смарт-кар т и биометрии. Механизм, основанный на этих картах, требует, что бы пользователь умел обращаться со смарт-картой и допо лнительно также может по требоваться, ч тобы пользователь знал еще и персональный код идентификации (ПКИ-РШ) или пароль. Смарт-карта реализует аутентификацию с помощью схемы запрос/ответ, использующей указанные выше па раметры в реальном масштабе времени. Использование пара метров в реальном масштабе времени помогает исключить по лучение злоумышленником неавторизованного доступа путем воспроизведения сеанса регистрации пользователя. Эти устройства могут также шифровать сеанс аутентификации, предотвращая компрометацию информации аутентифи кации через наблюдение и перехват. Механизмы блокировки для устройств ЛВС, автоматизированных рабочих мест или ПК, которые требуют для разб ло кировки аутентификации пользователя, могут быть полезны для пользователей, часто оставляющих рабочее место. Эти блокировки позволяю т пользователям остаться зарегистрированными в ЛВС и покидать рабочие места (на строго определенный период времени), не делая при э том последнее потенциально доступным и для злоумышленников. Модемы, которые обеспечивают пользователей доступом к ЛВС, также могут потребовать дополнительной защиты. Ведь злоумышленник, ко торый получает доступ к модему, по лучает доступ и в ИИСУП, у гадав пароль пользователя. Об лег ченная доступность модема для использования его законными пользователями может также стать проблемой, если злоумышленник тоже имеет постоянный доступ к модему. Механизмы, ко торые обеспечивают пользователя инфор мацией об использовании его регистрационного имени, могу т таким обр азом своевременно насторожить его (например, через возникновение многократных ошибок при регистрации). Эта информация включает в себя уведомления о дате, вр емени, и местоположении последнего успешного сеанса и числе предыдущих ошибок при регистрации. Виды механизмов защиты, которые могли бы быть реализованы, чтобы обеспечивать службы идентификации и аутен тификации, приведены ниже: ■ механизм, основанный на паролях; ■ механизм, основанный на интеллектуальных картах; ■ механизм, основанный на биометрии;
■ генератор паролей; ■ блокировка с помощью пароля; ■ блокировка клавиатуры; ■ блокировка ПК или автоматизированного рабочего места; ■ прекращение соединения после нескольких ошибок при р егистрации; ■ уведомление пользователя о «последней успешной реги страции» и «числе ошибок при регистрации»; ■ механизм аутентификации пользователя в реальном масштабе времени; ■ криптография с уникальными ключами для каждого пользователя.
6.6. Управление доступом [^] Эта служба защищает от неавторизованного испо льзования ресурсов ЛВС при помощи механизмов управления доступом и предоставления определенных привилегий в этом деле. Боль шая часть файловых серверов и многопользовательских авто матизированных рабочих мест до известной степени работаю т та кже на эту службу. Однако, ПК, ко торые монтируют тома файловых серверов, обычно не осуществляю т управление до ступом. Файлы из смонтированных дисков, используемые на ПК, все -таки управляю тся механизмом доступа к ПК. По этой причине важно использовать службы управления доступом, конфиденциальности и целостности для ПК в максимально возможном объеме. В этом смысле весьма эффективным представляется механизм дискреционного или мандатного управ ления доступом. Дискреционное управление доступом - наиболее общий тип управления доступом, использу емый в ЛВС. Основной принцип э того вида защиты состоит в том, что индивидуальный по льзователь или программа, работающая от имени пользователя, имеют возможность устанавливать типы до ступа, ко торые могут осуществить другие пользователи (или пр ограммы, выполняющиеся от их имени) к информации, нахо дящейся в ведении данного пользователя. Дискреционное управление доступом отличается о т мандатной защиты в том, что оно реализует решения по управлению доступом, принятые пользователем. Мандатное управление доступом осуществляется на основе результатов сравнения уровня допуска по льзователя и степени конфиденциальности информации. Существуют механизмы управления доступом, которые по ддерживаю т степень детализации управления доступом на уровне следующих категорий пользователей: владелец инфор мации, за-
данная группа пользователей и весь «мир» (все другие авторизованные пользователи). Это позволяет владельцу файла (или каталога) иметь права доступа, отличающиеся от прав всех других по льзователей. В общем случае, существую т следующие виды доступа: по чтению, по записи, и для выпо лнения каких-то иных операций. Неко торые операционные системы ЛВС обеспечиваю т допо лн ительные права доступа, ко торые позволяю т осуществлять модиф икацию или только соответствующее добавление и т. д. Операционная система ЛВС может поддерживать профили пользователя и списки возможностей или управления досту пом для большого количества отдельных пользователей и различных групп. Эти механизмы обеспечивают большую гибкость в предоставлении прав доступа для различных пользова телей, которые могут обеспечить в этом случае более строгий контроль за доступом к файлам (или каталогам). Списки уп равления доступом определяют права доступа специфициали-зированных пользователей и групп к данному файлу или ката логу. Списки возможностей и профили пользователя опреде ляю т файлы и каталоги, к ко торым можно обращаться данным по льзователям (или пользователю). Управление доступом пользователя может осуществляться на уровне каталогов или на уровне файлов. Управление доступом на уровне каталога приводит к тому, что права доступа для всех фа йлов в каталоге становятся одинаковыми. Например, пользователь, который имеет доступ по чтению к каталогу, мо жет читать (и, возможно, копировать) любой файл в этом ка талоге. Права доступа к директории могут также обеспечить явный запрет доступа, ко торый предотвратит любой доступ по льзователя к файлам в каталоге. Средства управления доступом могут также испо льзовать ся, чтобы ограничить типы взаимодействия между серверами в ЛВС. Большое количество операционных систем ЛВС могут огранич ивать тип трафика, существующего между серверами. Вообще как не существовать никаких ограничений, что при ведет к тому, что для всех пользователей будут доступны ресурсы всех серверов (в зависимости от прав доступа по льзователей на каждом сервере), так и существовать части из них (ограничений), ко торые будут позволять то лько определенные типы трафика, например, только с ообщения электронной почты, или боляе сильные ограничения, которые вовсе запретят, скажем, трафик между определенными серверами. Политика ЛВС должна указать, какими типами информации необхо димо обмениваться между серверами. На передачу информации, в совместном использовании которого вовсе не нужда ются сразу несколько серверов, до лжны быть, разумеется, на ложены ограничения.
Механизмы привилегий позволяю т авторизованным пользователям игнорировать ограничения на доступ или легально обхо дить управление доступом, чтобы выполнить какую -либо функцию, получить доступ к файлу и т. д. Механизм привиле гий должен включать концепцию минимальных привилегий. Например, принцип минимальных привилегий должен при меняться при выполнении функции резервного копирования. Пользователь, кото рый авторизован выполнять функцию резервного копирования, должен иметь доступ по ч тению ко всем файлам, ч тобы копировать их на резервные носители ин формации, одн ако ему нельзя давать доступ по чтению ко всем файлам через иеханизм управления до ступом. Типы механиз мов защиты, которые могли бы быть использованы для обеспечения службм управления доступом, приво дятся ниже: ■ механизм управления доступом, определяющий права владельца, группы и всех остальных пользователей); ■ механизм управления доступом, использующий списки управления доступом, профили пользователей и списки во зможностей; ■ управление доступом, использующее механизмы мандатного управления доступом; ■ управление доступом с использованием детально го механизма привилегий.
6.7. Конфиденциальность данных и сообщений [^] Служба обеспечения конфиденциальности данных и сооб щений может использоваться, когда необ ходимо соблюдение секретности информации. В качестве передней линии защи ты, э та служба может включать в себя механизмы, слу жбы управления доступом, или шифрование, ко гда информация преобразуется в непонятный шифротекст. Таким образом, если служба управления доступом будет обойдена, и к файлу доступ может быть осуществлен. Зашифрованной информацией воспользоваться все-таки не удастся. Очень трудно предотвратить неавторизованный доступ к тра фику ЛВС. Использование шифрования уменьшает риск како голибо перехвата и чтения про ходящих транзитом через ЛВС соо бщений. Только авторизованный пользователь, который имеет пр авильный ключ, сможет расшифровать сообщение. Хорошей политикой безопасности обычно предусматрива ются типы информации, настолько критичные, что для них треб уется шифрование. Концептуальная политика безопасно сти организации
может обозначать широкие категории ин формации, которые должны быть обязательно защищены, в то время как по литика безопа сности конкретной ИИСУП может лишь детализировать определе нные типы информации и оп ределенные среды работы (ОС), для которых по требуется за щита в виде шифрования. На каком бы уровне политики безо пасности не предписывалось использование шифрования, решение о его применении должно быть принято лицом из руководства организации, ответственным за защиту критической информации. Если в политике не указывается, какая именно информация подлежит шифрованию, то владелец данных полно стью сам отвечает за принятие или непринятие такого решения. Криптографию можно разделить на использующую секретные или открытые ключи. Первая из них основана на исполь зовании единственного крипто графического ключа, известного двум сторонам. Один и то т же ключ используется для ши фрования и расшифровки данных. Ключ хранится в тайне обеими сторонами. Криптография с открытыми ключами — форма криптографии, которая использует два ключа: открытый ключ и секретный ключ. Э ти два ключа взаимно связаны, однако открытому ключу невозможно вычислить секретный ключ. В криптосистеме с открытыми ключами каждая сторона имеет собственную пару из о ткрытого и секретного ключей. Техно логия о ткрытых ключей в форме цифровых подп исей может также обеспечить целостность информации и контроль за участниками взаимодействия. Типы механизмов безопасности, ко торые могли бы быть ре ализованы, чтобы обеспечить службу конфиденциальности сообщений и данных, приведены ниже: ■ технология шифрования файлов и сообщений; ■ защита резервных копий на лентах, дискетах, и т. д.; ■ физическая защита физической среды ЛВС и устройств; ■ использование маршрутизаторов, которые обеспечивают фильтрацию для ограничения широковещательной передачи (путем блокировки, или маскированием содержания сообщения).
6.8. Целостность данных и сообщений [^] Служба целостности данных и сообщений помогает защитить данные и программное обеспечение на автоматизир ованных рабочих местах, файловых серверах и других компонентах ЛВС о т неавторизованной модификации. Неавторизованная модификация может быть намеренной или случайной. Эта служба может быть обеспечена при помощи криптограф ических контрольных сумм и очень детальных механизмов управления доступом и привилегий.
Чем больше точность управления доступом или механизма привилегий, тем менее вероятна возможность неавторизованной или слу чайной модификации. Служба целостности данных и сообщений также помогает гарантировать, что сообщение не изменено, не удалено или не увеличено в объеме любым способом в течение передачи (не корректная модификация пакета сообщения обрабатывается на уровне упра вления доступом к среде, осуществляемого в рамках протоко ла ЛВС). Из типов механизмов защиты, которые могли бы быть реа лизованы, чтобы обеспечить службу целостности данных и со общений, следует назвать: ■ коды аутентификации сообщения, используемые для пр ограммного обеспечения или файлов; ■ использование электронной подписи, основанной на секре тных ключах; ■ использование э лектронной по дписи, основанной на о ткр ытых ключах; ■ детальный механизм привилегий; ■ соответствующее назначение прав при управлении до ступом (то ес ть о тсутствие ненужных разрешений на за пись); ■ программное обеспечение для обнаружения вирусов; ■ бездисковые автоматизированные рабочие места (для пр едотвращения локального хранения программного обеспечения и файлов); ■ автоматизированные рабочие места без накопителей для дискет или лент для предотвращения появления подозри тельного программного обеспечения.
6.9. Контроль участников взаимодействия [^] Служба контроля участников взаимодействия гарантирует невозможность субъектов взаимодействия отрицать свое участие во всем взаимодействии или какой -либо его части. Когда главной функцией ЛВС является электронная почта, эта служ ба безопасности становится очень важной. Контроль участни ков взаимодействия с подтверждением отправи теля дает получателю неко торую степень уверенности в том, что сообщение действительно прибыло от названного о тправителя. Службу контроля участников взаим одействия можно обеспечить с помощью криптографических методов с использованием откры тых ключей, реализующих э лектронную подпись. Механизм защиты, для обеспечения службы контр оля участников взаи модействия заключается в использовании элек-
тронных подписей с открытыми ключами.
6.10. Регистрация и наблюдение [^] Эта служба исполняет две функции. Первая - обнаружение угрозы. Во всех случаях нарушения безопасности очень важно пр оследить действия нарушителя в различных частях систе мы, что вполне возможно при соответствующих масштабах регистрации. Например, в случае вторжения злоумышленника в систему, журнал должен указать, кто проводил сеанс с системой в это время, а также все критичные файлы, для ко торых имелись аварийно заверши вшиеся попытки доступа, все программы, которые запускались, и т. д. Он до лжен также о тметить критичные файлы и программы, к которым были успеш ные обращения в это т же период времени. Вторая функция этой службы - обеспечить системных и сетевых администраторов статистикой, ко торая показывает, что система и сеть в целом функционируют должным образом. Это может быть сделано при помощи механизма аудирования, который и спользует файл журнала в качестве исхо дных дан ных и перерабатывает его в информацию относительно ис пользования системы и ее защиты. Могут также быть задействованы средства наблю дения за ЛВС, которые помогали бы обнаружить проблемы с ее доступностью по мере их возникновения. Из механизмов защиты, которые могли бы исполь зоваться, чтобы обеспечить службу регистрации и наблюде ния, следует назвать: ■ регистрацию информации о сеансах пользователей (включая исходящую машину, модем, и т. д.); ■ регистрацию изменений прав пользователей для управ ления доступом; ■ регистрацию испо льзования критичных файлов; ■ регистрацию модификаций, сделанных в критическом пр ограммном обеспечении; ■ использование инструментов управления трафиком ЛВС; ■ использование средств ау дирования. Персональные компьютеры обычно не имеют встроенных программно-аппаратных средств для аутентификации пользо вателя, управления доступом или защиты памяти, которая де лилась бы на системную память и память, используемую для приложений по льзователя. Из-за о тсутствия средств защиты и свободы действий, с которой пользователи могут совместно применять и модифицировать программное обе спечение, персональные компьютеры очень уязвимы для атак вир усов, неправомочных по льзователей и связанных с э тим угроз. Исключение попадания вирусов в среду ПК невозможно без по-
стоянного внимания пользователя к э той проблеме. По льзователи персонального компьютера являю тся в сущности администраторами своего персонального компьютера, и должны на практике осуществлять и эту часть своей работы. Персональные компьютеры, как правило, не позво ляют про водить ау дирование, поэтому пользователь должен всегда сле дить за работой компьютера, ч тобы знать, что является его нормальной, а что ненормальной работой. Правда ч тобы обнаруживать проблемы с безопасностью и восстанавливать среду ПК в нормальное состояние, по льзователи ПК должны до известных пределов разбираться в компью терах, чего, увы, сплошь и рядом не бывает, отсюда понятно, ско ль остро стоит и сегодня проблема обучения пользователей, чтобы в дальней шем активизировать его участие в борьбе с вирусами.
7. Структура защиты информации в интегрированной информационной системе управления предприятием [^]
7.1. Структурная схема системы защиты информации интегрированной информационной системы управления предприятием [^] Одной из существенных особенностей ИИСУП является реализация в ней принципа централизованного управления, благо даря чему стало возможным выполнение таких важных для руководства предприятием функций, как: ■ авторизация и управление распределенной информацией в масштабах всего предприятия; ■ возможность централизованной аутентификации и управление контролем доступа ко всем Web-серверам вне зависимости от их платформ (централизованное управление Webпространством за счет связи Web-серверов в одно логическое Web-пространство); ■ управление доступом к персональной информации по требителей; ■ централизованное кроссплатформенное управление учетными записями пользователей; ■ управление цифровыми сертификатами для электронного бизнеса; ■ централизованное кроссплатформенное управление до ступом пользователей к информационным ресурсам; ■ управление рисками на предприятии, позво ляющее сис темным администраторам контролировать все несанкцио нированные вторжения на предприятие. Последняя функция представляет особый интерес, по скольку из нее вытекает, ч то централизованное управление позволяет системным администраторам взять под свой контроль вторжения на предприятия. Сего дня корпорации развертываю т множество решений за щиты, типа Firewalls, систем обнаружения вторжений и меха низмов контроля доступа как часть своей общей стратегии бе зопасности. Политика безопасности, осуществляемая на сете вом уровне, уровне хоста и уровне приложений, разрешает до ступ только к авторизуе-
мым пользовательским приложениям и системам. Предприниматели постоянно сталкиваю тся с увеличивающимися рисками от вирусных атак, несанкционированного доступа, а также с атаками по блокированию программно-технического обеспечения предприятия. Угрозы могут быть внутренними и внешними (из Internet). Половина вну тренних угроз злонамеренна, другая по ловина случайна и является результатом нарушения системы или слабой политики за щиты. Противостоять всем этим у грозам можно лишь с помощью соответствующей эффективной защиты предприятия. По мнению специалистов, лучшею ее разновидностью является так называемое «управление рисками предприятия», ко гда к его м енеджерам своевременно и в необходимых объемах поступает из различных контрольных точек системы безопасности пред приятия, необхо димая для своевременных управляю щих воз действий информация. Управление рисками предприятия обеспечивается с испо льзованием простого, легкого в испо льзовании централизованно го пульта (console) безопасности предприятия. С его помощью фиксируются, контролируются и устраняю тся аварийные события во всем предприятии. Э тот пу льт позволяет осуществлять управле ние угрозами и уязвимостью по всему предприятию, а также гарантировать доступ к сетям, системам, приложениям и рабочим столам, совместимый с политикой защиты предприятия. Управляя рисками предприятия, системные администрато ры могут: ■ Точно идентифицировать различные типы угроз и нападений, используя современную технику корреляций, что очень важно для быстрого о твета по защите предприятия. ■ Обеспечивать средствами поддержки принятие решений по зволяющих организациям осуществлять профилактиче-ские меры по сокращению деловых рисков. Располагая, подо бными средствами, администраторы по безопасности могут точно определять уязвимые «горячие точки» (hotspots) и осуществлять корректирующие действия, модернизирующие их политику защиты. ■ Быстро принимать решения по защите от атак по блокированию программно - технического обеспечения, от вирусов или несанкционированного доступа. Меры, предлагаемые в таких случаях, включают в себя нередко реконфигурирова-ние брандмауэров, аннулирующее учетные записи пользова теля на серверах и у даляющее вирусы с рабочего стола. Управление рисками предприятия вполне интегрируется с идеологией неоднородной технологии безопасности разно образных
компьютерных программ. В итоге выстраивается та ким образом всестороннее абсолютное, можно сказать, управ ление информационной безопасностью предприятия. Подобная платформа управления предприятием уже суще ствует и представляет собой открытую, кроссплатформенную,
Рис. 7. Структурная схема системы защиты информации интегрированной инфор мационной системы управления предприятием
базирующуюся на стандартах систему, позво ляющую клиен там эффективно бороться с вторжениями и безопасно управ лять уязвимостью во всех сетях, хостах, операционных систе мах, приложениях, серверах и настольных компьютерах. В этом случае, структурная схема системы защиты информации ИИСУП может быть представлена в виде, как э то пока зано на рис. 7, где слева изображены уровни защиты информации ИИСУП.
7.2. Основные функции уровней защиты информации интегрированной информационней системы управления предприятием [^] С точки зрения централизованного управления фунвд ии уровней системы защиты могут быть сформулированы следу ющим образом.
Централизованное управление рисками и администрирование системы безопасности ■ Управление событиями. ■ Управление рисками. ■ Управление принятием решений по управлению рисками: - на предприятии в целом; - по сбоям и отказам программно-технического оборудования; - по обнаружению несанкционированных вторжений; по угр озам от вирусов. ■ Связь с централизованной консолью управления предприятием. ■ Долговременное хранение тревог и вторжений (статис тика). ■ Централизованное администрирование. ■ Автоматизированный безопасный способ управления ат рибутами пользователей (учетными записями по льзовате лей) и обслуживание пользователей в разнородных распреде ленных сетях (для каждого пользователя создается единственная запись-шаблон данного служащего и автоматическая генерация значений атрибу тов пользователя для различных ресурсов). ■ Делегирование части полномочий младшим администраторам отдельных ресурсов. ■ Административный контроль полномочий главным администратором. ■ Осуществление логическим пространством централизо ванной аутентификации и управления контролем доступа ко всем Web-серверам, вне зависимости от их платформ. ■ Установление логическим пространством имен Web (namespace). ■ Обеспечение консолью центрального управления служ бой безопасности: ■ управления пользователями: группами и ролями в пол ной сети предприятия; ■ управления директориями; ■ управления пользовательскими привилегиями; делегирования части административных по лномочий мла дшим администраторам; ■ управления набором ресурсов и распределения администрирования между младшими администраторами. При этом сама консоль должна позволять отделять управление разработкой политики безопасности от ее реализации.
Защита управления приложениями ■ Защита доступа к «корню» приложения. ■ Многоуровневый доступ к ресурсам приложений. ■ Установление и контроль связи учетных записей по льзо вателя с различными типами ресурсов (файло в, директо рий, принтеров, приложений и др.). ■ Возможность делегирования управления доступа к ресурсам - младшим администраторам при высокой степени контроля. ■ Установление и контроль групповых подсоединений пользователей к ресурсам. ■ Использование общего административно го интерфейса доступа пользователя к ресурсам системы. ■ Возможность администрирования доступа к ресурсам на пр авилах, устанавливаемых ролями. ■ Запрещение неправомочного доступа к информационным ресурсам и критическим сервисам. ■ Возможность аудита (контрольной проверки) и управле ние им, а также получение отчетов о нарушениях и переда чи в архив Централизованно го управления, ау дит действий админис тратора приложений. Защита системы сетей Функции межсетевых экранов: ■ Защита вну трисетевого обмена (локальные вычисли тельные сети, Intranet). ■ Защита межсетевого обмена (глобальные вычислитель ные сети, Extranet). ■ Защита обмена через Internet. ■ Осуществление стыковочных узлов, репликация доступа к ресурсам. ■ Осуществление поддержки любых соединений (back-end), Web-серверов и поддержки соединений с ресурсами. ■ Осуществление распределения нагрузки, т. е. интеллектуальное распределение нагрузки между реплицируе -мыми серверами для улучшения производительности и восстановления после сбоев (это позволяет ресурсам управления безопасностью быть доступными всегда, даже в случае технического о бслуживания и сбоев при о тказе системы).
Защита конечных пользователей ■ Размещение объявлений о том к какой именно информации может быть допущен пользователь, а также какую информацию разрешено ему выбирать. ■ Управление доступом с помощью списков контроля за пользователями (работающими в данной системе), а также соответствующих правил обращения по льзователей с ин формацией. ■ Управление защитой для соблю дения требований поли тики секретности. ■ Поддержка статических и динамических ролей (например, роль - доступ для ч тения/записи, доступ то лько для ч тения). ■ Установление соответствия имени и пароля. ■ Определение к какой группе относится по льзователь и какова его роль. ■ Контроль попыток доступа к ресурсам и регистрация (обнаружение угрозы безопасности). ■ Сертификация о ткрытого ключа (Public key Infrastructure).
8. Отечественные и зарубежные программно-технические средства защиты информации в интегрированных информационных системах управления предприятием [^] 8.1. Системы разграничения доступа (полномочий) [^] Во многих приложениях, задача идентификации и ау тентификации доступа человека или программы к некоторому ресурсу является даже бо лее важной, чем задача обеспечения конфиденц иальности. Практически все многопользователь ские и сетевые операционные системы требуют ау тентифика ции пользователя. С развитием интернет и безбумажных технологий, число приложений, которые требуют аутентификации пользователей будет только возрастать.
8.2. Электронный замок «Соболь» [^] Система защиты Электронный замок "Соболь" обладает следующими возможностями: • Идентификация и аутентификация по льзователей. • Регистрация попыток доступа к ПЭ ВМ. • Реализация запрета на загрузку ОС со съемных носите лей. • Контроль целостности программной среды. Возможности по идентификации и аутентификации поль зователей, а также регистрация попыток доступа к ПЭ ВМ не зав исят о т типа использующейся ОС. В электронном замке «Соболь» используются идентифика торы Touch Memory фирмы Dallas Semiconductor. Эти приборы отличает высокая надежность, вывести touchmemo ry из строя достаточно трудно. Одним из основных отличий приборов Touch Memory от других компактных носителей информации является конструкция корпуса. По-
Рис 8 Комплексная система защиты информационной безопасности, уровень холдинга
мимо защиты стальной корпус выполняет также роль электрических контактов Приемлемы и массо-габаритные характери стики таблетка диаметром с дву хкопеечную монету и толщи ной 5 мм очень подходит для таких применений Каждый при бор семейства является уникальным, так как имеет свой собственный серийный номер, который записывается в прибор с по мощью лазерной установки во время его изготовления и не может быть изменен в теч ение всего срока службы прибора В процессе записи и тестирования на заводе гарантируется, ч то не будет изготовлено дву х приборов с одинаковыми серийны ми номерами Таким образом , исключается возможность подделки приборов Приборы Toich Memory представляю т собой энергонезависимую статическую память с многокра тной записью/чтением, ко торая размещается внутри металлического корпуса В о тличие о т обычной памяти с параллельным портом адреса/данных, память приборов Toich Mempry имеет последовательный интерфейс. Данные записываю тся/читаю тся в памяти по одной двунаправленной сигнальной линии. Электронный замок «Соболь» может применяться как уст ройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав ло кальной вычислительной сети.
8.3. Идентификация и аутентификация пользователей. [^] Каждый пользователь компьютера регистрируется в систе ме электронный замок « Соболь», установленной на данном компьютере. Регистрация пользователя осуществляется администратором и состоит в определении имени регистрируемого пользователя, присвоении ему персонального идентификато ра и назначении пароля. Действие электронного замка «Соболь» состоит в проверке персонального идентификатора и пароля пользователя при попытке входа в систему. В случае попытки входа в систему не зарегистр ированного пользователя электронный замок «Со боль» регистрирует попытку НСД (несанкционированный доступ) и осуществляет аппаратную блокировку до 4-х и более устройств (например: FDD, CD-ROM, ZIP, LPT, SCSI-порты). Загрузка операционной системы с жесткого диска осуществляется только после предъявления зарегистрированного иде нтификатора. Служебная информация о регистрации пользователя (имя, номер присвоенного персонального иден тификатора и т. д.) хранится в энергонезависимой памяти э ле ктронного замка.
8.4. Регистрация попыток доступа к ПЭВМ. [^] Электронный замок « Соболь» осуществляет ведение системного журнала, записи ко торого хранятся в специальной энергонезависимой памяти. При этом в системном журнале фиксируется вход пользователей, попытки вхо да, попытки НСД и другие соб ытия, связанные с безопасностью системы, и хранится следующая информация: дата и время события, имя пользователя и информ ация о типе события, например: • Факт вхо да пользователя; • Введение неправильно го пароля; • Предъявление незарегистрированного идентификатора пользователя; • Превышение числа попыток вхо да в систему; • Другие события. Таким образом, электронный замок «Соболь» предоставляет информацию администратору о всех попытках доступа к ПЭ ВМ.
8.5. Контроль целостности программной среды и запрет загрузки со съемных носителей [^] Подсистема контроля целостности расширяет возможности электронного замка «Соболь». Контроль целостности систем ных областей дисков и наиболее критичных файлов производится по алгоритму ГОСТ 28147—89 в режиме имитовставки. Администратор имеет возможность задать режим работы э лектронно го замка, при котором будет блокирован вхо д пользователей в систему при нарушении целостности контролируемых файлов. Подсистема запрета загрузки с гиб кого диска и CD ROM диска обеспечивает запрет загрузки операционной системы с этих съемных носителей для всех пользователей компьюте ра, кроме администратора. Администратор может разрешить о тдельным пользователям компьютера выполнять загрузку операционной системы со съемных носителей. Подсистемы контроля целостности и подсистемы запрета загрузки со съемных носителей функционируют под управле нием следующих ОС: • MS DOS версий 5.0-6.22 (только ЭЗ «Соболь» для стан дарта ISA); • ОС семейства Windows'9x (FAT12, FAT16 или FAT32); • Windows NT версий 3.51 и 4.0 с файловой системой NTFS; • Windows 2000 с файловой системой NTFS (только «Со-больРС1»); • UNIX FreeBCD (то лько « Соболь-PCI»).
8.6. Возможности по администрированию [^] Для настройки электронного замка «Соболь» администра тор имеет возможность: • Определять минимальную длину пароля пользователя; • Определять предельное число неудачных вхо дов пользо вателя; • Добавлять и у далять пользователей; • Блокировать работу по льзователя на компьютере; • Создавать резервные копии персональных идентифика торов. Из других возможностей и преимуществ электронного замка «Соболь» надо упомянуть о : • датчике случайных чисел, соответствующем требованиям государственных органов по защите информации; • простоте установки замка, его настройки и администрирования им;
• современной элементной базе, обеспечивающей высо кую надежность и долговечность; • возможности установки прибора в любой IBM-совмес тимый персональный компьютер, имеющий свободный разъем стандарта ISA или PCI.
8.7. Криптографическое устройство eToken электронный замок eToken [^] При использовании в среде R/ 3 устройство eToken позволяет отказаться от испо льзования паролей при вхо де в сеть и в среду SAP R/3 и заменить их на аппаратную аутентифика цию с помощью USB-ключа. Пользователям, таким образом, нет необ ходимости запо минать пароли, периодически их менять и вво дить при вхо де в среду SAP R/3 - необ ходимо лишь по дключить электронный брелок eTo ken к USB пор ту и ввести PIN- код при вхо де в сеть. При этом значительно повышается безопасность сети и приложения R/3, а также удобство работы с ними. Ниже перечисляются довольно большие возможности криптографического устройства eTo ken: ■ Вхо д в сеть и в среду SAP R/3 с помощью USB-брелка (аппаратная аутентификация вместо пароля). ■ Защита файлов в системе (защита от несанкционированного доступа, шифрование и цифровая подпись). ■ Блокирование компьютера или о тключение от сети при вытаскивании брелка eToken. ■ Хранение цифровых сертификатов в защищенной памя ти брелка eToken, а не на диске. ■ Возможность испо льзования одного eTo ken различными приложениями. ■ Полная интеграция в SAP R/3. ■ Может использовать мощные российские крипто-алго-ритмы (сертифицированный государственным органом по защите информации криптопровайдер Крипто Про CSP). Криптографического устройства eToken впо лне примени мо и для систем аутентификации. В э том случае с его помо щью можно осуществлять: ■ Аутентификацию пользователей при доступе к базам данных, серверам, web. ■ Защиту электронной почты (цифровая подпись и шиф рование). ■ Защиту сетей и компьютеров, VPN.
■ Хранение секретной информации: паролей, ключей ши фрования, цифровых сертификатов. eToken может использоваться в любых приложениях для замены парольной защиты на более надежную аппаратно -программную аутентификацию, поддерживает работу и инте-^ грируется со всеми основными системами и приложениями, использующими технологию PKI (Public Key Infrastructure); соответствует большинству современных стандар тов API; легко встраивается как в существующие приложения, так и в новые. Его можно использовать в любых прикладных программах для хранения служебной информации разработчиков, персо нальной информации пользователей, паролей, криптографических ключей и т. п. Одного единственного eToken бывает достаточно, чтобы обслуживать с его помощью различные типы приложений о дновременно, поскольку он в состоянии содержать в себе множество частных ключей и цифровых сертификатов. При работе на компьютере с помощью устройства eToken пользователь сможет: ■ Осуществлять вхо д в сеть (аутентификация будет пр оизводиться только в том случае, если была подана заявка на уче тную запись для вхо да в Windows при помощи eToken) ■ Обеспечивать безопасность своей электронной почты при наличии сер тификата Smartcard User. ■ Добавлять цифровую подпись или дешифровать сообщения электронной почты (при условии заранее выбранного хранящегося на eToken сер тификата). ■ Использовать эффективно eToken наряду с другими приложениями eToken Enterprise. С помощью eToken Enterprise системные администраторы могут легко интегрировать eToken в существующие рамки безопасности информационных техноло гий, для обеспечения еще боль шей защиты для каждо дневных операций по льзователя, включая: ■ Вхо д в Windows и доступ к корпоративной сети. ■ Вну треннюю и внешнюю э лектронную почту. ■ Доступ к корпоративным групповым приложениям. ■ Доступ к сайтам интранет и интернет. С помощью eToken Enterprise доступ пользователя индивидуален, эксклюзивен и безопасен. eToken можно использовать для хранения сертификатов, секретной информации и личных ключей для использования в системах ау тентификации для LAN, WAN и VPN. Функцио нальность USB позволяет организациям минимизировать за траты на развер-
тывание системы и максимизировать дружественность системы по отношению к пользователю без сниже ния степени защищенности. eToken достаточно гибок, чтобы содержать информацию, тр ебуемую от большинства продвинутых систем цифровой безопасности, и при этом не требует дополнительных затрат на интегрирование дорогих считывающих систем. Один единст венный eToken может хранить значительное число персональ ных ключей, сертификатов и паролей одновременно, для ис пользования их в широком наборе приложений. eToken PRO также способен генерировать ключи и осуществлять операции по шифрованию непосредственно на чипе, ч то гарантирует непопадание ключей пользователя в среду PC. eToken может использоваться для значительно го набора сред, USB-совместимых устройств и операционных систем, включая Windows 2000, W indows NT 4.0, W indows 98 и Windows Milleniu m. eToken поддерживает основные стандарты крипто графических API, включая Microsoft CAPI и PKCS#11, что облегчает интеграцию с приложениями. eToken Enterprise, в свою очередь, - это набор готовых к применению клиентских решений, ко торые могут быть с легкостью использованы с учетом различных специфических требований путем интеграции eTo ken с имеющимися приложениями.
8.8. Системы биометрической аутентификации [^] Указанные и многие другие мето ды аутентификации стра даю т одним недостатком — они, на самом деле, аутентифици-руют не конкретного субъекта, а лишь фиксирую т то т факт, что аутентиф икатор субъекта соответствует его идентификато ру. То есть все перечисленные методы не защищены о т ком прометации аутентификатора. Биометрические методы иден тификации или аутентификации свободны от э того недостатка. Как уже отмечалось, биометрические методы основываю тся на анализе уникальных характеристик самого человека. Биометрия представляет собой методику распознавания и иде нтификации лю дей на основе их индивидуальных и уни кальных психологических или поведенческих характеристик. Биометрические свойства включают в себя, в частности, от печатки пальцев. Биометрическая идентификация может ис пользоваться для предо твращения несанкционированного до ступа в здания, к банкоматам, насто льным и переносным компьютерам, рабочим станциям, мобильным телефонам, беспроводным устройствам, компьютерным файлам и базам данных, а также к открытым
и закрытым компьютерным сетям. Биометрическая защита более эффективна в сравнении с такими методами, как испо льзование паролей, PIN-кодов, смарт-кар т, жетонов (tokens) или техноло гии PKI (инфраст-руктура открытых ключей), поско льку биометрия позволяет идентифицировать сам ого человека, а не устройство. Тради ционные методы защиты не исключаю т абсолютно возможности по тери или кражи информ ации, вследствие чего она становится доступной незаконным пользователям. Уникальный биометрический идентификатор, каковым является о тпечаток пальца, - это ключ, ко торый невозможно потерять. Биометрическая система безопасности позво ляет вообще отказаться от парольной защиты либо послужить для ее усиле ния, что очень важно, ведь управление паролями представля ет собой одну из главных забот служб технической поддержки информационной безопасности предприятия. Биометрическая мышь Bio Lin k U-Match Mouse — это стандартная дву хкнопочная мышь, в ко торой реализована мето до логия сканирования отпечатков пальцев. Передовая оптическая технология в сочетании с техно логией сканирования Bio Link позво ляет получать изображения высочайшего каче ства. В отличие от других представленных на рынке устройств вво да типа мышь, Bio Lin k UMatch Mouse не фиксирует изображение отпечатка пальца, а создает 500-байтовый защищен ный шаблон, ко торый не может быть преобразован в изображение отпечатка пальца по льзова теля. Такая технология обеспечивает непревзойденный уровень безопасности и защиты от несанкционированного доступа. Приложение центр аутентификации Bio Link Authentication Center - это о тличающееся высокой степенью защиты приложение для обеспечения безопасного доступа к рабочим станциям и регистрации пользователей в системе. Применение си стемы аутентификации Bio Link Authentication Center позво ляет сократить число обращений пользователей в службы техни ческой поддержки в связи с проблемами использования пароля и значительно повысить безопасность своих сетей. Компания Bio Lin k представила на рынке революционную линейку серверов биометрической аутентификации Authenteon для средних и больших сетей, способных произво дить высокоскоростную аутентификацию по большим базам данных пользователей. В настоящее время существует очень мало решений, которые позволяли бы проводить «чисто биометрический поиск» по крупным базам данных биометрических идентификаторов. Bio Link была в числе первых разработчиков уникальных технологий, позволяю-
щих корпорациям управлять своими сетями с помощью передовых средств био метрической идентификации. Серверы Authenteon представляю т собой независимые устройства, легко интегриру емые в существующие сети и практически полностью согласующиеся с современными сетевыми топологиями. В дополнение к го товым решениям существует BioLin k Software Developer's Kit (SDK) (Комплект разработчика), ко торый позволяет разработчикам интегрировать BioLink с собственными приложениями и приложениями третьей сто роны.
8.9. Решения по обеспечению безопасности корпоративной сети [^] На сегодня такими решениями по обеспечению безопасности корпоративной сети, в частности, являю тся: ■ Использование устройства Check Po int SecuRemote для обеспечения безопасности у даленного доступа в системах VPN ■ Реализация безопасного вхо да в сети Windows 2000 с применением смарт-кар т. ■ Управление у даленным доступом с помощью Remote Access Server (RA S). Можно также испо льзовать eToken Soft ware Developer's Kit (SDK) (Комплект разработчика), ко торый позволяет интегри ровать eToken с собственными приложениями и приложения ми третьей стороны. Кроме цифровых сертификатов и ключей eTo ken может хранить пароли пользователя. Полагаться на однофакторную аутентификацию - то лько запомненный пароль — означает серьезно ослаблять защищенность системы. eToken обеспечивает дву хфакторную аутентификацию пользователь должен подсоединить сам eToken и ввести его пароль. Копирование или взлом пароля eToken не имеет смысла без наличия самого eToken. Пользователям не нужно запоминать различные пароли доступа к разным приложениям и учетным зап исям. Они до лжны запомнить то лько пароль eToken. Всю секретную информацию относительно авторизации они могут носить с собой - на о дной цепочке с ключами.
8.10. Применение средств антивирусной защиты. [^] Symantec Antivirus Enterprise Edit ion
Средство Sy mantec Antivirus Enterprise Edition, разработано с использованием лидирующих техноло гий антивирусной за щиты и отличается высоким качеством поддержки пользова телей Symantec. В состав пакета Sy mantec Antivirus Enterprise Edition 8.0 вхо дят: ■ Norton Antivirus Corporate Edition 7.6, ■ Norton Antivirus 2.5 for Lotus Notes/Domino для Windows NT/2000, ■ Norton Antivirus 2.5 for Microsoft Exchange для Windows NT/2000, ■ Norton Antivirus for Gateways для Windows NT/2000 и So laris, ■ Symantec Web Security 2.0 (Antivirus) для Windows NT/2000 и Solans. Symantec Antivirus Enterprise Edit ion: ■ Обеспечивает гиб кость, присущую комплексному многоуровневому антивирусному решению. ■ Защищает предприятие на уровне шлюзов, серверов и клиентских компьютеров с помощью заслужившей признание пользователей антивирусной технологии и глобаль ной системы поддержки корпорации Sy mantec. ■ Предоставляет эффективную защиту на уровне персональных компьютеров и серверов, управляемую с центральной консоли. Включает в себя быстродействующую масштабиру емую противовирусную защиту для шлюзов Интернета, раб отающую при высоком трафике электронной почты и вебресурсов. Symantec Antivirus™ Enterprise Ed ition 8.0 защищает предприятие на всех уровнях, о т шлю зов и серверов групповых приложений до файловых серверов и персональных компьютеров. Благодаря сочетанию по лучившей признание пользова телей антивирусной техноло гии и глобальной инфраструкту ры поддержки корпорации Sy mantec эта программа обеспечивает надежную защиту. Использованные в пакете Sy mantec Anti virus Enterprise Editi on эффективные технологии и по ддержка защиты сети на всех уровнях устраняю т необ хо димость в создании системы обеспечения безопасности из разрозненных продуктов, выпущенных различными поставщиками. Средство Sy mantec System Center позволяет системным администраторам развертывать антивирусные решения, а затем со здавать, прину дительно проводить и обновлять политики, обеспечивающие постоянную правильную настройку серверов и персональных компьютеров, в масштабе всего предприятия и на различных платформах. Про дукты пакета, предназ наченные для работы в
шлюзах, обеспечиваю т быстродействующую масштабируемую защиту, предо твращающую проникновение вирусов в защищаемую сеть. Развитые средства автоматизации пакета Sy mantec Antivirus Enterprise Edit ion обеспечивают организациям улучшенную защиту и сокращают время отклика. Технология Digital Immune System, примененная в пакете Symantec Antivirus, позво ляет автоматически выполнять поиск, обнаружение и изоляцию новых вирусов, обеспечивая быстродейс твующую, надежную и не требующую вмешатель ства оператора защиту. Кроме того, уникальная многоуровневая техно логия NA VEX, разработанная корпорацией Sy mantec, обеспечивает обновление описаний вирусов и модулей расширения без повторного развертывания программ, благодаря чему увеличи вается время бесперебойной работы системы. Автоматическое подключение к службе Sy mantec Security Response в случае вспышек вирусной эпидемии обеспечивает быстрый анализ и ответ в любое время суток. Кроме того, данный антивирусный пакет сопровождается по ддержкой по льзователей Go ld Maintenance, которую оказывает Symantec посредством: предоставления клиентам обновлений антивирусных баз; ответов на неограниченное количество звонков по телефону; ответов на э лектронные письма, онлайновой технической поддержки, предоставления полной документации в формате PDF и доступа к технической базе знаний. Основные возмож ности Norton Anti virus Corporate Editi on 7.6 В их число вхо дят: • Управление защитой о т вирусов и мониторинг в масштабах всего предприятия с единой консоли. • Возможность прину дительного управления антивирусной политикой по льзователей на различных платформах. • Централизованное масштабируемое управление, осно ванное на наиболее эффективных программных решениях. • Быстрое развертывание и автоматическая защита от вирусов с помощью автоматической системы с обратной связью. Продукт No rton Antivirus Corporate Edition 7.6, защищаю щий персональные компьютеры (ПК) и файловые серверы, обеспечивает
централизованное управление и масштабируе мую антивирусную защиту для многих платформ в рамках всего предприятия. Централизованное управление, осуществляемое с единой консоли, позволяет системным администраторам устанавливать обязательные для выполнения правила безопасности, гарантирующие своевременное обновление и правильную настройку системы. Технология Digital Immune System™ предоставляет доступ к серверным службам подготовки о твета, обеспечивающим быстрое и надежное автоматическое обнаружение, анализ и у даление вир усов с помощью уникальной автоматической системы с обратной связью. Даже при максимальном наплыве пользователей во время «эпидемии» (как, например, при распространении вирусов Love Letter и Melissa), разработанная корпорацией Sy mantec масштабируемая серверная архитектура гарантирует быструю доставку требуемых для обеспечения полной защиты средств нейтрализации вирусов. Выполняемые по запросу осмотр и лечение в масштабах всего предприятия, команда на проведение ко торых о тдается с единой консоли управления, обеспечиваю т быструю и эф фективную нейтрализацию вирусов на всех инфицированных ПК и файловых се рверах. А при использовании NA VEX, единого расширяемого модуля с функциями антивирусного осмотра и лечения, теперь можно развертывать новые описания вирусов и модули расширения, не перезагружая сервер и не устанавливая приложения повторно, — в результате увеличива ется время бесперебойной работы системы и снижается сово купная стоимость владения. Кроме того, благодаря полной интеграции с сервером ЕМ С Celerra File Server поддерживается антивирусная защита по дключенных к сети систем хранения данных. Антивирусное ре шение Celerra обеспечивает интегрированный, работающий в реальном времени и запускаемый при обращении к данным метод идентификации вирусов и защиты файлов от атак. Новейшая версия решения корпорации Sy mantec, Norton AntiVirusCorporate Edit ion 7.6, поддерживает современные технологии. Новый выпуск продукта совместим с сервером терминалов Microsoft Terminal Server и с операционной системой Microsoft Windows® XP, что позволяет организациям не ли шаться антивирусной защиты при внедрении новейших технологий.
Ключевые возможности Norton Anti virus 2.5 for Lotus Notes/Domino: • Обеспечивает полную защиту от вирусов - как известных, так и новых. • Автоматически выявляет и у даляет вирусы. • Автоматически по лучает описания вирусов из Центра антивирусных исследований (Sy mantec Antivirus Research Center™, SARC™). • Защищает от новых вирусов без повторной установки, ч то снижает совокупные затраты. Вы можете обеспечить СУБД Notes™ наиболее полной автоматической защитой о т существующих и новых вирусов с помощью продукта Norton Antivirus™ 2.1 для Lotus Notes®/Domino. Интерфейс этого программного продукта полностью интегрируе тся в среду Lotus Notes/Domino. Продукт предоставляет быстродействующую, многофункциональ ную, незаметную для пользователя защиту серверов Lotus Notes/Domino 5.0. С помощью уникальной техно логии Bloodhound™ удается защититься от стремительно распространяющихся макровиру сов. Программное средство LiveUpdate™ позволяет с определенной периодичностью загружать новые описания вирусов. В случае возникновения экстренной ситуации, связанной с вирусным заражением на сервере Notes, пользователь имеет возможность обратиться в Центр SARC. Специалисты Центра разработают средства лечения и немедленно направят их пользователю Norton Anti virus 2.5 для Microsoft Exchange Продукт Norton Antivirus 2.5 для M icrosoft Exchange работает с сервером Microsoft Exchange 2000 (с установленным паке том обновления Service Pack 1 или более поздней версией пакета). Версия 2.1 продукта Norton Antivirus, поставляемая вместе с версией 2.5, годится для более ранних версий сервера Exchange. Ключевые возможности • Автоматически обнаруживает и удаляет известные и но вые вирусы, защищает от стремительно распространяющихся макровирусов. • Автоматически получает новые описания вирусов из Центра антивирусных исследований (Sy mantec Antivirus Research Center™, SARC™).
• Обеспечивает защиту от новых вирусов без необходимо сти повторной установки программного обеспечения, что позволяет снизить совокупные затраты. • Поддерживает новую версию разработанного корпорацией Microsoft программного интерфейса Virus Scanning Application Interface (VS ATI) 2.0, вхо дящего в пакет обнов ления Service Pack 1 для M icrosoft Exchange 2000. • Поддерживает разнообразные возможности кластериза ции серверов, которыми обладает Microsoft Exchange 2000 (например, типы конфигураций кластеров «активный -активный» и «активный-пассивный»). • Позволяет автоматически отфильтровывать почтовые соо бщения с неприемлемыми именами и расширениями вложенных файлов. Продукт Norton Antivirus™ 2.5 для сервера Microsoft® Exchange автоматически обнаруживает на сервере Exchange и удаляет с него известные и новые вирусы, обеспечивая тем самым полную защиту его при минимальном негативном воздействии на быстродействие сети. Предлагаемые корпорацией Sy mantec уникальные техноло гии, позволяющие осматривать и лечить зараженные файлы, обеспечивают наиболее прочную защиту от известных и новых вир усов, в том числе от быстро распространяющихся макровирусов и полиморфных вирусов. Разработанный корпорацией Microsoft интерфейс VS API 2.0 дает возможность проверять с помощью продукта Norton Antivirus для Microsoft Exchange 2000 как вхо дящую, так и ис хо дящую эле ктронную почту, включая вложения, прежде чем будут запущены любые другие процессы или клиентские при ложения. Кроме того, чтобы сделать наиболее эффективной реакцию администратора на заражение системы новым вирусом, продукт Norton Antivirus для Microsoft Exchange позволяет осуществлять упреждающую антивирусную фильтрацию с помощью автоматического блокирования почтовых сообщений с неприемлемыми именами и расширениями вложенных файлов. Продукт несложно администрировать б лагодаря тому, что он устанавливается централизованно, а предупреждения о ви русах направляю тся на удобный HTM L-интерфейс. С помощью уникальной техно логии LiveUpdate™ администратор может настроить систему на автоматическое получение самых актуальных описаний вирусов. А расширяемый модуль NA VEX позволяет существенно сократить совокупные затраты благодаря тому, что активизация защиты от новых вирусов не требует повторной установки программного обеспечения. Продукт Norton Antivirus обеспечивает
соответствующую на иболее современным требованиям круглосуточную антиви русную защиту организаций. Это единственное пр ограммное решение в сфере информационной безопасности, которое опирается на достижения Центра SARC - группы специалис тов, лидирующей в области антивирусной защиты и поддерж ки пользователей. Ключевые возможности Norton Anti virus for Gateways • Обеспечивает непрерывную и всеобъемлющую защиту от вирусов, распространяющихся через Интернет. • Разработан в тесном взаимодействии с ведущими производителями межсетевых экранов. • Производит проверку Интернет-трафика и вложенных файлов, удаляет вирусы прежде, чем те заразят компьютер ную сеть предприятия или организации, лечит поврежден ные файлы. Использует завоевавшую признание модуль ную антивирусную технологию корпорации Sy mantec, которая, как постоянно показываю т независимые исследова ния, более эффективна для обнаружения и лечения вирусов, чем методы, применяемые в любом другом аналогич ном продукте, имеющемся в продаже. • Предусматривает автоматическое обновление описаний вирусов и постоянную техническую поддержку, оказывае мую Центром антивирусных исследований (Sy mantec Antivirus Research Center™, SA RC™). • Является единственным антивирусным продуктом из числа имеющихся в продаже, предоставляющим непосредственную поддержку межсетевому экрану IBM Firewall. Проду кт No rton Antivirus 1.5 для межсетевых экранов обес печивает сетевые экраны для платформ Windows NT и UNIX средствами непрерывной и всеобъемлющей защиты от вирусов, распространяющихся через Интернет. Полная защита о т вирусов стала теперь простой и удобной благодаря разносторонним возможностям удаленного администрирования и минимальному воздействию на быстро дей ствие системы. Кроме того, продукт предлагает уникальные возможности администрирования и контроля. Его настройка является быс трой и удобной: настройка о тдельных клиентских компьюте ров вообще не требуется, а настройка серверов может осуществляться с помощью удаленного доступа через веб-интер фейс. Благодаря автоматическому обновлению описаний виру сов и постоянной технической поддержке, оказываемой Центром SARC,
корпоративная сеть оказывается всегда надежно защищенной.
8.11. Применение средств межсетевого экранирования. [^] Решение таких известных задач, как: безопасное взаимо действие пользователей и информационных ресурсов, распо ложенных в Extranet и Intranet сетях, с Internet; создание технологически единого комплекса мер защиты для распределенных и сегментированных локальных сетей подразделений предприятия; создание иерар хической системы защиты, пре доставляющей адекватные средства обеспечения безопасности для различных по степени закрытости сегментов корпоративной сети, становится возможным только через использова ние технологий МЭ. Сравнительные характеристики уровней защиты информации в зависимости о т предлагаемых техно логий МЭ приведе ны в табл. 1. При подключении сети предприятия к Internet рекомендуется защищать корпоративную сеть от НСД с помощью: ■ аппаратно-программного или программного межсетевого экрана, например, Cisco PIX или WatchGuard Firebo x; ■ маршрутизатора со встроенным пакетным фильтром например Cisco серии 1700 и выше; ■ специализированного маршрутизатора, реализующего механизм защиты на основе списков доступа, например, Cisco серий 1700, 2600, 3600; Таблица 1 Уровни зациты информации в зависимости от технологий МЭ Технология Технология Выделенный каISDN Frame Relay нал точка — точка Защита на основе Высокий Высокий Экономически не аппаратного эффективно firewall Защита на основе Высокий — Высокий — Высокий — Средпрограммного Средний (в за- Средний (в за- ний (в зависимости межсетевого эк- висимости от висимости от от типа МЭ) рана типа МЭ) типа МЭ) Способ защиты
Защита на основе маршрутизатора с функциями firewall Защита на ос нове маршрутизатора
Высокий — Средний (в за висимости от типа маршрутизатора) Низкий — Средний (в зависимости от типа маршрутизатора)
Высокий — Средний (в за висимости от типа маршрутизатора) Низкий — Средний (в зависимости от типа маршрутизатора)
Высокий
Средний
операционной системы (ОС) семейства Unix или MS Windows, усиленной специальными утилитами, реализущими пакетную фильтрацию. Защита корпоративной сети на основе firewall обеспечива ет максимальную степень безопасности и позволяет реализо вать следующие возможности: • семантическую фильтрацию циркулирующих по токов данных; • фильтрацию на основе сетевых адресов отправителя и получателя; • фильтрацию запросов на транспортном уровне на установление виртуальных соединений; • фильтрацию запросов на прикладном уровне к приклад ным сервисам; • локальную сигнализацию попыток нарушения правил фильтрации; • запрет доступа неизвестного субъекта или субъекта, под линность которого при аутентификации не подтвердилась, и др.; • обеспечение безопасности от точки до точки: межсете вой экран, авторизация маршрута и маршрутизатора, тон нель для маршрута и криптозащита данных; • многопротокольную маршрутизацию (IP, IPX, AppleTalk) и прозрачный мост через ISDN, асинхронное и синхронное, последовательное соединение, такое как выделенная линия, Frame Relay, SM DS, Switched 56 и Х.25; • возможность обеспечения качества услуги от точки до точки посредством протокола резервирования ресурсов ( RSVP), очереди с весами (WFQ), IP Mult icast и AppleTalk Simple Multicast Routing Protocol (SM RP) для обеспечения таких приложений, как видео конференции, объединение данных и го лоса и др.;
• расширенный доступ к Internet/Intranet (трансляция се тевых адресов (NAT), IPeXchange шлюз 1РХ»в»1Р, простота и снижение стоимости доступа к Internet и Intranet); • оптимизацию WAN (установление соединения по требованию (DDR), предоставление полосы по требованию (BOD) и OSPF по требованию, полустатическая маршрути зация, сжатие и фильтрация). Существенно, что только выделенные МЭ позволяют осуществить комплексную защиту корпоративной сети о т НСД, основанную как на традиционной синтаксической (1Р»пакет-ной) фильтрации ко тролируемых потоков данных, осуществ ляемой большинством ОС семейства Windows и UNIX, так и на семантической (контентной), доступной то лько коммерческим специальным решениям. В настоящее время все известные firewall можно разделить на несколько основных групп. По исполнению: • аппаратно-программный; • программный. По функционированию: • шлюз э кспертного уровня; • экранирующий шлюз (прикладной шлюз); • экранирующий транспорт (шлюз сеансового уровня); • экранирующий маршрутизатор (пакетный фильтр). По используемой технологам: • stateful inspection (контроль состояния протокола); • на основе модулей посредников (pro xy). По схеме подключения: • схема единой защиты сети; • схема с защищаемым закрытым и не защищаемым открытым сегментами сети; • схема с раздельной защитой закрытого и о ткрытого сег ментов сети.
8.12. Защита на основе маршрутизатора с листами доступа [^] Этот способ защиты основывается на использовании спе циализированного маршрутизатора и является наиболее распространенным на сегодняшний день (рис. 9). Данный вариант обладает высокой эффективностью и достаточной безопасностью. Наиболее интересными при этом пре дставляю тся решения на базе Cisco серии 1700, например Cisco
1750, и серии 2600. Основные преимущества их заключа ются в гибком, мультисервисном доступе, защите инвестиций. Для подключения сети предприятия к Internet можно использовать все существующие серии маршрутизаторов Cisco.
8.13. Защита внутренних информационных ресурсов корпоративной сети [^] Вну тренние корпоративные серверы компании, как прави ло, представляю т собой приложения под управлением операционной системы Windows NT/2000, Net ware или семейства UNIX. По этой причине корпоративные серверы становятся потенциально уязвимыми для различного рода атак. Так, на пример, широко распространенные серверы под управлением ОС Windows NT/ 2000 находятся выше стека про токолов сервера
рис 9 Комплексное решение на базе маршрутизаторов Cisco серии 1700 и 2600
NT. Между тем, данная ОС не проводит мониторинг и реги страцию событий в сети, не выявляет подозрительную активность в ней и не блокирует множество вхо дящих и исхо дящих соединений. Недостаток функций контроля доступа и обнаружения вто ржений делаю т ОС корпоративных серверов, а соответственно и их приложения, уяхвимыми для различного рода атак, например, для
DoS»aTaK (Ping Flood, SYN Flood, IP Packet Frag mentation, TCP and UDP Port Spoofing, Session Highjacking, Oversized IP Packet Attacks), а также для внедрения « троянских коней» и злонамеренного по дбора пароля. Даже если сервер компании защищен стандар тными средствами, это не предо твратит попыток нарушения безопаснос ти самой операционной системы. Если атакующий, используя «DoS»aтaкy, б локирует сервер, автоматически блокируется и пр иложение. Как результат, компания начинает нести убыт ки, связанные с нарушением работоспособности своей сети. Именно поэтому далее пойдет речь об использовании специальных механизмов для защиты вну тренних серверов компании от внешних атак. Простейшим способом защиты серверов является установ ка firewall Cisco PIX компании Cisco или WatchGuard Firebo x компании Rainbow Technologies между серверами и Internet (см. рис. 10).
рис. 10. Классическая схема защиты корпоративных серверов
При правильной конфигурации большинство firewall могут защитить вну тренние серверы от внешних злоу мышленников, а некоторые из них могут даже выявлять и предотвращать ата ки типа «отказ в обслуживании». Тем не менее, этот подхо д не лишен некоторых недостатков. Когда корпоративные серверы защищены о дним единственным межсетевым экраном, все правила контро ля доступа и все верифицированные данные оказываю тся сосредоточенными в одном месте. Таким образом, firewall становится «узким местом» и по мере возрастания нагрузки значительно теряет в производительности. Конечно, firewall может быть допо лнен программным обеспечением, балансирующим нагрузку (например,
Flood Gate компании Checkpoint) и многопроцессорными модулями, но эти шаги только усложнят систему и повысят ее стоимость.
8.14. Межсетевой экран PIX Fire wall [^] Межсетевой экран Private Internet Exchange (PIX) компа нии Cisco привносит новый уровень безопасности в сочетании с пр остотой использования в корпоративные сети. PIX может полностью закрыть вашу внутреннюю сеть от внешнего мира, обеспечивая полную безопасность. В отличие от типичных серверов - «посредников» (pro xy), ко торые выполняют обработку каждо го сетевого пакета в отдельности, существенно за гружая при этом центральный процессор, PIX использует спе циальную, не UNIX-подобную, операционную систему реального времени, и обеспечивает большую производительность. Секрет высокой производительности межсетевого экрана PIX заключаемся в особой схеме защиты, базирующейся на алгоритме адаптивной безопасности (adaptive security algorith m - ASA), ко торый эффективно скрывае т адреса пользова телей от хакеров. Устойчивый, ориентированный на соедине ния алгоритм адаптивной безопасности обеспечивает безопасность, поскольку базируется на адресах отправителя и получателя, последовательности нумерации пакетов TCP, номерах портов и добавочных ф лагах TCP. Э та информация сохраняется в таблице, и все вхо дящие пакеты сравниваются с записями в э той таблице. Доступ через PIX разрешен только в том случае, если соответствующее соединение успешно прошло идентификацию . Этот мето д обеспечивает прозрачный доступ для вну тренних пользователей и авторизованных внешних пользователей, полностью защищая при этом внутреннюю сеть о т несанкционированного доступа. Cisco PIX также обеспечивает существенное преимущество в производительности по сравнению с межсетевыми экрана-ми»посредниками» (pro xy) на базе ОС UNIX за счет техноло гии «сквозного посредника» (Cut-Through Pro xy ). Как и обыч-ные серверы - «посредники» PIX контролирует установление соединения на прикладном уровне. После то го, как пользова тель был успешно идентифицирован в соответствии с полити кой обеспечения безопасности, PIX обеспечивает контроль по тока данных между абонентами на уровне сессии. Такая технология позволяет межсетевому экрану PIX работать значительно быстрее, чем обычные м ежсетевые экраны — «посредники». В добавление к высокой произво дительности, встроенная операционная система реального времени также увеличивает уровень
безопасности. В о тличие от ОС UNIX, исхо дный текст которых широко доступен, Cisco PIX — выделенная система, специально разработанная для обеспечения безопасности. Для повышения надежности межсетевой экран PIX может быть установлен со специальными опциями обеспечения горячего резервирования функции защиты сети предприятия. Если два межсетевых экрана PIX установлены и работают в па раллельном режиме и один из них выхо дит из строя, то в этом случае второй PIX будет в прозрачном режиме выполнять все функции по обеспечению безопасности. Межсетевой экран Cisco PIX, как уже было сказано, обладает высокой производительностью . Так, он может по ддерживать более 256 тысяч одновременных соединений и, соответственно, обеспечивает по ддержку со тен и тысяч пользователей без уменьшения производительности, пропускная способность полностью загр уженного межсетевого экрана PIX - до 170 Мб/с. Это значительно больше, чем у любого межсетевого экрана, базирующегося на ОС UNIX или ОС Microsoft Windows NT. Простота использования объясняет низкую стоимость его эксплуатации и сопровождения. Пользователи, не имеющие специальной подго товки, могут настроить PIX менее чем за 5 мину т. Для упрощения дальнейшей настройки у PIX имеется весьма простая в использовании графическая оболочка Security Manager. Cisco предлагает также адаптер шифрования Cisco PIX Private Link encryption card. С его помощью можно передавать зашифрованные пакеты IP через такие публичные сети IP, как Интернет. Адаптер PIX Private Lin k может быть установлен в PIX для защиты соединения с использованием стандар тной технологии IPSec и протоколов IETF типа Идентификацион ного Заголовока (Authentication Header -АН) и Упакованных Защищенных Данных (Encapsulating Security Pay load -ESP). Межсетевой экран Cisco PIX позво ляет в том числе расши рять и изменять сети IP и при этом не возникает проблемы с не хваткой адресов IP Техноло гия трансляции сетевых адресов Net work Address Translation (NAT) делает возможным использование как существующих адресов, так и резервных пространств адресов для частных сетей. PIX также может быть настроен для совместно го использования транслируемых и не транслируе мых адресов, позволяя испо льзовать как адресное пространство для частных сетей IP, так и зарегистрированные адреса IP. Ниже кратко перечислены основные возможности PIX • Строгая, ориентированная на соединения система безо пасности, предотвращает доступ неавторизованных по ль-
зователей к ресурсам внутренней сети. • Технология сквозного «посредника» позволяет как вхо дящие, так и исхо дящие соединения, базируясь на таких протоко лах безопасности, как Terminal Access Controller Access Control System (TACA CS)+ или Remote Access Dial-In User Serv ice (RADIUS). • До шести сетевых интерфейсов для расширенной политики защиты. • Графический интерфейс администратора Security Manager предназначен для настройки до 100 межсетевых э кр анов PDC с единой консоли • Динамическая и статическая трансляции адресов. • Поддержка Простого Протоко ла Сетевого Управления ( Simple Net work Management Protocol - SNMP). • Учетная информация с использованием журнала системных событий (syslog). • Прозрачная поддержка таких основных сетевых сервисов, как Wbrld Wide Wfeb (WWW), File Transfer Protocol (FTP), Telnet, Archie, Gopher. • Поддержка приложений мультимедиа, включая Progressive Networks RealAudio & Read Video, Xing StreamWorks, White Pines CU-SeeMe, Vocal Tec Internet Phone, VDOnet VDOLive, Microsoft NetShow и VXt reme Wfeb Theater. • Безопасная встроенная система реального времени. Устраняется необ ходимость обновления ПО рабочих стан ций и маршрутизаторов. • Полный доступ к ресурсам сети Интернет для незарегистрированных пользователей вну тренней сети. • Совместимость с маршрутизаторами, базирующимися на ПО Cisco IOSTM . • Поддержка видеоконференций, использующих прото кол Н.323, включая Microsoft NetMeeting, Intel Internet Video Phone и White Pine Meeting Point. • Несколько возможных комплектов программного и аппаратного обеспечения. • Средства централизованно го администрирования. • Информирование с использованием пейджера или электронной почты. • Поддержка интерфейсов Ethernet, Fast Ethernet, Token Ring и FDDI. • Поддержка вир туальных частных сетей ( Virtual Private Network) с использованием стандартной техно логии IPSec. Высокая произво дительность.
• Интеграция с такими решениями компании Cisco, как сервер идентификации CiscoSecure.
8.15. WatchGuard Firebox System [^] Возможности Firebo x™ Система WatchGuard Firebo x предоставляет вероятно сле дующие, самые богатые (табл.2) возможности в своем классе: Программное обеспечение межсетевого экрана управля ет поступающим и исхо дящим Интернет-трафиком. Проксирование (transparent proxy) и динамическая пакетная фильтрация (Stateful Dynamic Packet Filtering) работаю т на уровне приложений и проверяют не то лько заголовки IP пакетов, но собирают и исследуют по лный пото к данных, чтобы обнаружить и у далить опасные вложения прежде, чем те попаду т в вашу сеть. Например, SMTP pro xy защищает сервер электронной почты о т вирусов типа Nimda и Code Red, фильтруя трафик по MIME-типам, названию и расширению файлов, а также по опасному содержанию ключевым словам (русская ко дировка W in поддерживается). Программное обеспечение WatchGuard включает pro xy для SMTP, HTTP, DNS, и FTP. Улучшенная поддержка VPN упрощает управление VPNканалами и позволяет администрировать большее количество VPN-маршрутов с меньшими затратами. VPN Manager использует техно логию Instant VPN, ко торая упрощает создание VPN туннелей до трех простых шагов. VPN программное обеспечение позволяет конфигурировать политику безопасности VPN- туннелей к вашим деловым партнерам, ограничивая их доступ к вну тренним сетям, и дает бе зопасный VPN-Extranets. Программное обеспечение Mobile User VPN дает командированным служащим безопасную связь с офисом. Mobile User VPN входит в комплект поставки. Firebo x моделей 1000, 2500, 4500, и может включаться также дополнительно для Firebo x 700 и Firebo x SOHO. Установление по длинности по льзователя с помо -ujbioUser Authentication позволяет применять гибкую по литику доступа к сети, ко торая может основываться на оце-еках ин-
дивидуумов или групп, например, служащих, о тде лах или командах. Установление по длинности пользователя также позволяет контролировать и делать о тчеты по использованию Интернета по льзователями или группами. Система Firebo x может применять для аутентификации как встроенные возможности WatchGuard, так и Windows NT®, RADIUS™, SecurlD® или CRYPTOCard®. NAT скрывает вну тренние IP адреса, увеличивая безопасность сети, и позволяет испо льзовать для вну тренних хостов запрещенные в Internet диапазоны IP-адресов («серые адреса» согласно RFC 1918), э то «экономит» реальные, предоставленные провайдером адреса для более эффективного их использования. URL-фильтрование позволяет компании увеличивать пр оизводительность труда и сокращать издержки, ограничивая доступ в Интернет для пользователей или групп по льзователей, используя базу данных CyberPatro l® либо свою собственную.
8.16. Централизованное управление защитой [^] Графический интерфейс пользователя ( GUI) делает разра ботку политики безопасности и управление ею чем -то про стым и интуитивно понятным. WatchGuard Control Center позволяет управлять межсетевым экраном с одного места изнутри или снаружи сети, либо даже с лаптопа: • Secure Management Software позволяет благополучно конфигурировать политику безопасности изну три и снару жи защищенной сети. Конфигурирование и управление извне возможно, потому что Firebo x испо льзует сильное шифрование (3DES), чтобы гарантировать безопасность сессии управления. Можно управлять безопасностью сети отовсю ду в любое время без дополнительных настроек и в то же время конфиденциально. • Centralized Logging и Failover Capability дает надежно зашифрованные логи, гарантирует доступность данных о трафике и позволяет видеть все ваши устройства с о дного администр аторского места. Firebo x System по ддерживает Syslog (UDP) и экспорт ло гов в другие приложения типа WebTrends™. • Monitoring and Reporting позволяет тщательно исследо вать весь трафик в графическом или текстовом виде. Гиб кая система позволяет генерировать отчеты по типу трафи ка, IP адресам назначения, группам пользователей, откло ненным пакетам, IP адресам источника и многим другим критериям.
Сервис Li veSecurity™ Следует обязательно иметь в виду, что поставка каждого межсетевого экрана WatchGuard FireBo x System непременно включает в себя годовую подписку на сервис LiveSecurity. LiveSecurity поддерживается командой экспер тов сетевой бе зопасности, ко торые постоянно контролируют и идентифицируют появляющиеся угрозы, для информационной системы предприятия. Это позволяет получать модернизацию программного обеспечения, вирусные предупреждения, советы Таблица 2 WatchGuard® Firebo x™ Модель для любого офиса Рекомендовано для Исполъзуемые линии:
Лицензий Производительшость: - Stateful Dynamic Packet Filtering - HTTP Proxy - 3DES шифрова\ния Аппаратный криптоускоритель Branch Office VPN mobile User VPNs Интерфейсы
Firebox™ 4500
Firebox™ 2500
Firebox™ 1000
Головные офисы корпораций и большие пред' приятия • 5,000 пользователей • линии класса Т-З/Е-3 или несколько Т-1/Е-1 Требуется поточная скорость поддержки VPN
Средние и Круп- Средний бизнес ные предприятия и филиалы • 5,000 пользователей • линии класса Т-З/Е-3 или несколько Т-1/Е-1 Высокий объем трафика
• 1000 пользоваЛ телей • ISDN или Т-1 линии
неограниченно 197 M bps 60 M bps 100 M bps Есть До 1000* До 1000* 3RJ-4510/100 Ethernet
неограниченно 197 M bps 52 M bps 70 M bps Есть До 1000* До 1000* 3RJ-45 10/100 Ethernet
неограниченно 185 M bps 43 M bps 55 M bps Есть До 1000* До 1000* 3RJ-45 10/100 Ethernet
Особенности
Утилиты, поставляемые с Firebox
LiveSecurity Service
• Stateful Packet Filtering • Security Proxies (SM TP, HTTP, DNS, FTP) • M obile User • Branch Office VPN • Static and Dynamic NAT
• Stateful Packet Filtering • Security Proxies (SM TP, HTTP, DNS, FTP) • M obile User VPN • Branch Office VPN • Static and Dynamic NAT • One-to-one • One-to-one NAT NAT • User • User Authentication Authentication • URL Filtering • URL Filtering • Scan and Spoof • 5сдл ял*/ £/?0о/ Detection Detection • Port and Site • Port and Site Blocking Blocking • Synflood • Synflood Protection Protection * Anti-virus • Anti-virus • QuickSetup • QuickSetup Wizard Wizard • Security Policy • Security Policy M anager M anager • VPN M anager • VPN M anager (4-node) (4-node) • Real-time • Real-time M onitoring M onitoring • HostWatch • HostWatch • Historical • Historical Reporting Reporting • Secure • Secure Encrypted Logging Encrypted Logging • Colorized • Colorized Logging Logging • Notification * Notification • Подписка на • Подписка на 1 год 1 год
• Stateful Packet Filtering • Security Proxies] (SM TP, HTTP, DNS, FTP) • M obile User VPN • Branch Office VPN • Static and Dynamic NAT • One-to-one NAT • User Authentication • URL Filtering • Saw c«d/ 5/Ю0/ Detection 9 Port and Site Blocking • Synflood Protection * Anti-virus • QuickSetup Wizard • Security Policy M anager • VPN M anager (4-node) • Real-time M onitoring • HostWatch • Historical Reporting • Secure Encrypted Logging * Colorized Logging * Notification • Подписка на 7 год J
и обучающие программы, техническую поддержку. В итоге у дае тся поддерживать систему безопасности всегда на совре менном уровне.
8.17. Схема децентрализованной защиты корпоративных серверов [^] Альтернативой предыдущей (централизованной) схеме защиты является установка продукта Cisco PIX компании Cisco или W&tchGuard Firebo x компании Rainbow Technologies перед каждым сервером (см. рис. 11). В э том варианте в резуль тате того, ч то firewall становится выделенным ресурсом сервера, разрешается проблема «узкого места» и уменьшается влияние отказа отдельного межсетевого экрана на общее состояние сети. Однако и данный по дхо д имеет ряд существенных недо статков. Система из десяти серверов потребовала бы десяти лицензированных конфигураций firewall, работающих на десяти а ппаратных платформах с десятью операционными система ми, требующими администрирования и обслуживания. Соот ветственно, на порядок возрастают величина издержек, сложность администрирования и частота отказов. Даже если учесть, что влияние отказа отдельного firewall сокращается в результа те демонтажа лишь о дной системы вместо десяти,
Рис. 11 Схема децентрализованной защиты корпоративных серверов
среднее время наработки на о тказ для десяти про дуктов firewall оказывается в десять раз ху же, чем для одно го Например, если в сервере происходит отказ аппаратного обеспечения, в среднем, один раз в двадцать месяцев, то при испо льзовании десяти серверов этот промежуток времени сократиться до дву х. Наиболее подходящим решением этой проблемы является размещение средств безопасности на одной платформе с сервером, который они будут защищать. Эта достигается через использование
распределенных или персональных межсете вых экранов. Такие решения существенно дополняю т функ циональные возможности традиционных (периметровых) экранов и могут применяться для защиты как вну тренних, так и Internet»cepBepoB (см. Рис. 12). Для защиты корпоративных серверов применяются межсетевые экраны компании Rainbow Technologies, выполненные в стандарте PCI-кар ты. Несмотря на скромные размеры, эти брандмауэры обладают богатыми возможностями и высокой производительностью. Являясь абсолю тно платформонезави-симыми, функционально законченными устройствами, они имеют и еще о дно немаловажное преимущество - низкую цену. Rainbow Technologies производит две модели:
Рис. 12. Оптималь ная схема защиты корпоративных серверов
FireCard Аппаратный брандмауэр начального уровня. В нем сочетаются низкая стоимость с широкими возможностями и гаранти рованной надежностью защиты локальной сети, включая вир ту альные частные сети с применением «сильной» криптогр афии. FireCard Plus Межсетевой экран уровня предприятия. Его отличают вы сокая производительность и надежность. Благодаря встроенному модему способен работать на любом типе по дключения к Internet, включая сеансовый доступ («dual-up»). Для настройки и управления всеми моделями межсетевых экранов используется комплект программного обеспечения Inferno Выполненное целиком на языке программирования Java, это ПО является независимым от используемой операционной системы
компьютера администратора безопасности. Таким образом, для инсталляции этого программного обеспечения не придется выделять отдельный компьютер, с конфигурированный в соответствии с требованиями производителя брандмауэра. Межсетевые экраны FireCard компании Merilus обеспечат: • Развитую систему защиты ло кальной сети от нападений извне. • Простоту создаваемой политики безопасности ЛВС. • Легкость инсталляции и гарантию отсу тствия конфликтов оборудования. • Мониторинг и управление ЛВС. • Защиту от ошибок администратора безопасности при настройке брандмауэра. • Гибкость и простоту управления.
8.18. Применение средств контроля электронной почты [^] Системы контроля содержимого Все больше разнообразных опасностей скрывает в себе обычная электронная почта и в будущем ситуация скорее всего будет только уху дшаться. Компании, испо льзующие э лектронную почту как средство организации работы, постоянно сталкиваются с различного рода проблемами — это нарушение кон-фиденциальности информации, «спам», вредоносный код, на рушающий работу сети и отдельных компьютеров. Web таит в себе не меньше угроз, сто ль же опасных, как и те, что связаны с использованием электронной почты. Виру сы и вредоносный код могут быть умышленно или неумышленно загружены из Интернет и нанести ущерб корпоратив ной сети. Скрытые команды по отправке э лектронных сообщений, уязвимости Webбраузеров могут стать причиной утечки конфиденциальных сведений, что в свою очередь отрицательно отразится на репутации компании. Кроме того, некон тролируемое использование таких Webресурсов, как, напри мер, «чаты» или бесплатные почтовые сервисы (Hot mail, Mail.ru) может привести к у течке информации в об ход средств анализа содержимого электронной почты. Безопасное использование Web требует более надежных мер защиты, чем блокировка определенных сайтов Интернет или защита о т Интернет-вирусов. Вот наиболее вероятных угроз для Компании, имеющей выхо д в Internet:
• Вирусы и по дозрительный или враждебный ко д (Java, ActiveX и т. д.)-98%; • Доступ к «неуместным» материалам (анекдо там, onlineиграмит. д.) - 93%; • Утечка конфиденциальной информации - 91%; • Загрузка неавторизованного программного обеспечения-91%; • Непродуктивный Web-серфинг - 89%; • Загрузка порнографии - 86%. Действие э тих угроз может привести к различным тяжелым для любой компании последствиям, начиная от потери репу тации и утечки конфиденциальной информ ации и заканчивая снижением прибылей компании и привлечением ее к уголовной или административной о тветственности. Потеря репутации возможна вследствие, например, получения вашими партнерами или клиентами обманных или кле ветнических сообщений по электронной почте, а также вирусов и троянских коней. Привлечь к о тветственности могут в результате: Нарушения соглашения о конфиденциальности (31% компаний сто лкну лись с у течкой конфиденциальной информации); Получения клеветнических сообщений и сообщений, нарушающих авторские права; Получения вирусов; Распространения нелицензионного ПО и т. д. Параметр, который более просто по ддается денежной оцен ке снижение производительности. Интернет-игры, чтение анекдо тов и спама (31% всех сообщений электронной почты, по лучаемых из Internet, относится к спаму), просмотр порнографии (70% всего порнотрафика передается в рабочее время с 9 утра до 5 вечера), покупки в Internet-магазинах, рассылка резюме (до 80% сотрудников практически любой компании используют корпоративную электронную почту для рассылки личных писем), хо ждение по Web-серверам (32,6% всех корпоративных пользователей не имеют четких целей при посещение Web-серверов), «ненужным» для выполнения своих служебных обязанностей, а также последствия вирусных инфекций и результаты воздействия Internet- червей Nimda, Red Code, Blue Code и т. д., - все э то приводит к по тере времени, простоям сети и другим негативным последствиям, которые имеют и свое финансовое воплощение. Для защиты от описанных выше напастей недоста точно применять обычные антивирусные системы (несмотря на заявления некоторых отечественных разработчиков, пытаю щихся расширить свой
рынок за счет привлечения новых за казчиков), средства обнаружения атак или межсетевые экра ны. Нужны другие средства, к ко торым можно отнести систе мы контроля со держимого (content filtering). Система контроля содерж имого э лектронной почты MAILs weeper for S MTP Система MAILsweeper for SMTP, разработанная компанией CLEA RSWIFT corporation, предназначена для контроля со держимого сообщений электронной почты, передаваемой по пр отоколу SMTP. Система MAILsweeper for SMTP может быть испо льзова на для: Обнаружения вирусов и троянских коней, передаваемых как в корпоративной сети, так и за ее пределы. Обнаружения спама, рассылаемого и по лучаемого сотрудниками компании. Выявление неблагонадежных со трудников, рассылающих свои резюме. Контроля использования корпоративной электронной почты в личных целях. Обнаружения передачи файлов, запрещенного типа (ау дио-, видео-, графические изображения и т. д.). Предо твращения несанкционированной передачи конфиденциальной информации компании. Предо твращения случайного или намеренного распро странения писем непристойного содержания. Обнаружения письма с ложным адресом. Предо твращения передачу зашифрованных данных, или данных, защищенных паролем. Средства контроля содержимого электронной поч ты долж ны обеспечить защиту компании от всех перечисленных выше угроз. MAILsweeper for SMTP представляет собой программное обеспечение, устанавливающееся на обычный компьютер с невысокими системными требованиями, и управляется операционной системой MS Windows NT или W indows 2000. Система MAILsweeper for SMTP включает в себя: Консоль управления; Сервис приема сообщений; Сервис передачи сообщений; Сервис безопасности. Консоль управления представляет собой модуль, о твечаю щий за редактирование по литик и генерацию отчетов по р езультатам
активности, зарегистрированной сервисами MAILsweeper for SMTP. Сервис передачи сообщений дополнительно отвечает за отложенную доставку определенных категорий сообщений. Сервис безопасности проводит проверку соответствия о брабатываемых сообщений требованиям разработанной политики безопасности. Возможности MAILsweeper for SMTP: • Контроль утечки конфиденциальной информации и кон троль спама. • Глубокая декомпозиция анализируемого сообщения. • Большое число мастеров создания сценариев работы. • Поддержка различных форматов представления данных. • Возможность построения гиб кой избирательной поли тики безопасности. • Незаметно функционирование про дук та для конечных пользователей. • Индивидуальное реагирование на различные виды за прещенных событий. • Подстройка MAILsweeper по д различные параметры те кстов. • Независимость анализа о т исхо дной ко дировки и языка сообщения. По ддержка русского языка. • Поддержка большо го числа кодировок, включая кириллические. • Возможность регу лирования нагрузки на каналы связи. • Наличие сценария для обработки писем или выполне ния определенных действий решениями третьих фирм. • Функционирование в качестве полноценного почтового шлю за с возможностью маршрутизации почтовых по токов. • Интеграция с антивирусными решениями. • Возможность упреждения антивирусных обновлений. • Защита о т по дмены адреса отправителя. • Сбор статистики о работе MAILsweeper. • Встроенная система генерации отчетов. • Простота в установке и настройке. Функционирование системы MAILsweeper for SMTP осно вано на политике безопасности. Поэтому обработка элек тронной почты состоит (Рис. 13) из трех следующих основных э тапов. 1. Определение применяемой политики. 2. Анализ содержимого. 3. Реагирование.
Рис. 13 Обработка электронной почты
8.19. Средства контроля и разграничения доступа к we b [^] Многие компании не раз сталкивались на практике и по этому уже достаточно осведомлены об угрозах, связанных с испо льзованием электронной почты, таких, как вирусы, вредоносный код или утечка конфиденциальной информации. Что же касается Web, то бытует мнение, что пу тешествия по глобальной сети достаточно безопасны и не могут привести к уте чке информации или к проникновению извне. Как следствие э того заблуждения - компании не относятся с до лжным вниманием к Web-безопасности. Система WEBsweeper, разработанная компанией CLEARSWIFT corporation, предназначена для контроля содержимого Webтрафика, передаваемого по протоколу HTTP. Данная сис тема позволяет предотвратить такие угрозы, как: • потеря репутации компании; • привлечение компании к уго ловной или администра тивной ответственности; • утечка конфиденциальной информации; • снижение произво дительности работы со трудников; • нарушение функционирования узлов сети и т. д.
Рйс. 14. Система WEBsweeper для контроля содержимого WEB-трафика
Возможности системы WEBsweeper позволяю т с ее помощью: • обнаруживать вирусы и троянских коней, передаваемых как в корпоративной сети, так и за ее пределы; • контролировать неблагонадежных со трудников, посещающих Web-сервера в поисках работы; • контролировать электронную почту, работающую через WEB-интерфейсы; • контролировать испо льзование корпоративного выхода в Internet в личных целях; • обнаруживать загрузки или передачи файлов, запрещен ного типа (аудио-, видео-, графические изображения и т. д.); • разграничивать доступ сотру дников компании к ресур сам Internet и запрет обращений к нежелательным сайтам. Система WEBsweeper может быть испо льзована: • отделами защиты информации для обнаружения атак и злоупотреблений, по лучаемых/направленных из/в Internet, а также для разграничения доступа к ресурсам Internet; • отделами автоматизации для реализации функции кеширования HTTP-запросов; • отделами внутренней безопасности для контроля утечки конфиденциальной информации; • первыми отделами для контроля утечки сведений, со ставляющих государственную тайну; • отделами кадров для контроля лояльности сотру дников о рганизации. Сама система WEBsweeper - это программное обеспечение, устанавливающееся на обычный компьютер с невысоки ми системными требованиями под управлением операционной системы MS Windows NT или Windows 2000. Состоит система WEBsweeper из дву х компонентов: Консоли
управления и Сервиса безопасности. Консоль управления - это модуль, о твечающий за редактирование политик и генерацию отчетов по результатам ак тивности, зарегистрированной сервисом безопасности WEBsweeper. Сервис безопасности отвечает за: • прием и передачу запросов, направленных в/из Internet; • проверку соответствия получаемых запросов требованиям о разработанной политики безопасности; • кеширование информации. Из достоинств W EBsweeper следует назвать: • анализ вхо дящего и исхо дящего трафика; • контроль утечки конфиденциальной информации; • возможность составления тематических категорий филь трации трафика; • большое число мастеров создания сценариев фильтрации; • поддержку различных форматов представления данных; • возможность построения гиб кой избирательной поли тики безопасности; • незаметное функционирование продукта для конечных пользователей; • различные схемы аутентификации по льзователей; • индивидуальное реагирование на различные виды запрещенных событий; • подстройка WEBsweeper по д различные параметры текс тов; • независимость анализа о т исхо дной ко дировки и языка страниц и загружаемых файлов; • поддержку большого числа кодировок, включая кириллические; • наличие сценария для анализа трафика или выполнения о пределенных действий решениями третьих фирм; • интеграцию с антивирусными решениями; • сбор статистики о работе пользователей; • встроенную система генерации отчетов; • качественную техническую по ддержку; • простоту в установке и настройке; • возможность кластеризации (распределения нагрузки между несколькими моду лями WEBsweeper). MAILs weeper for Exchange - основные возмож ности MAILsweeper for Exchange защищает ваш бизнес от угроз, св язанных с э лектронными коммуникациями, обеспечивает работо-
способность сети и позво ляет управлять потоками вхо дящих и исхо дящих данных. Применение MAILsweeper for Exchange повысит безопасность вашего бизнеса за счет: • защиты о т несанкционированной пересылки конфиден циальных сведений; • добавления к пересылаемым вложениям уведомлений, например, о конфиденциальности вложений; • защиты о т пересылки файлов запрещенного формата, напр имер, видео, графических файлов или испо лняемых файлов; • защиты от «спама»; • выявления сообщений с по дмененным адресом; • предотвращения несанкционированной пересылки зашифрованных или защищенных паролем данных. Кроме того, MAILsweeper for Exchange позволяет: • защититься от вирусов электронной почты; • блокировать или задерживать передачи файлов большо го размера; • защититься от вредоносного кода, приводящего к по вреждению или потере данных; • выявлять файлы нежелательного типа, например, про грамм; • управлять политикой безопасности: o интуитивно понятная настройка и редактирование по литик; о простые политики для всех отправителей и получателей; o различные политики для отдельных пользователей, о тделов или доменов, o отдельные политики для отдельных широковещательных сообщений. Управлять содержимым: o задержка подозрительных данных; o различные варианты оповещения; o различные отчеты и проверки, настраиваемые пользо вателем MAILsweeper for Exchange сканирует внутреннюю и внеш нюю почту. Обработка сообщений состоит из четырех этапов. (Рис. 15)
Рис 15 Обработка сообщений с помощь ю MAILsweeper for Echange
Первый из них - э то авторизация пользователя (User Authorisation) Он позволяет позволяет установить атрибуты пис ьма, основываясь на адресе отправителя и/или по лучателя Напр имер, для того чтобы различить исхо дящие и входящие письма или определить конкретно го пользователя. Далее идет декод ирование (разбор) содержимого ( Disassembl y). Рекурсивная разборка объектов для определения исхо дно го содержимого заключается в: распознавании по заголовкам и управлении основными форматами данных, используемыми в электронной по чте: o форматы сжатия/шифрования — ARJ (в том числе самораспаковывающиеся), GZip, TAR, LZH, CMP, ZIP (различные варианты), BinHex, MIM E, UUE, TNEF и двоичный формат; o форматы документов - CDA (doc, xls, ppt и др.), PDF, простой текст и др.; o форматы исполняемых файлов — Windows, DOS; o форматы графических файлов - JPEG, TIFF, BMP и GIF; o форматы видео-файлов - A VI; o форматы шифрования - PGP, ZIP, защищенный паролем (распознается, не сканируется); распознавании содержимого по ар хитектуре, а не по расширению. Затем переходят к проверке (Vali dation) содержимого письма. Она включает в себя:
сканирование антивирусными программами, в том чис ле Symantec, Dr. Solo mon's Anti-Virus Toolkit, McAfee VirusScan, Sophos Anti-Virus (включая SA VI), F-Prot, Thunderbyte Anti-Virus, VET Anti-Virus, Leprechaun Cyberbuster, Norman Virus Control; одновременное сканирование несколькими различны ми антивирусными программами; проверку слов и фраз в теме и «теле» письма или вложе нии, например, наличие конфиденциальной информации, нено рмативной лексики и т. д.; проверку вложений по количеству, типу, размеру или имени файла; проверку на основе атрибутов, созданных на э тапе авто ризации пользователей, например, блокировки исполняемых файлов для о дного домена, или поиска слов в письмах от о пределенного по льзователя. И, наконец, последний этап — реагирование (Cl assification) с ред актированием сообщения. В этом случае могут иметь место: добавление текста к посланию , например, уведомления о конфиденциальности вложений: - текст может быть добавлен до или после текста письма; - поддерживается неограниченное число создаваемых по дписей; - выбор уведомления по отправителю, по получателю со держимому, например, по ключевым словам откладывание сообщений, их доставка, копирование, заархивирование, у даление или задержание на "заданное пользо вателем время; при возникновении любого события (напр имер обнаружение вируса) информационное письмо с оповещением может быть автоматически доставлено отправителю, по лучателю , администратору или на любой другой адрес. В информационное письмо могут добавить лог обработки или копию исхо дного письма; передача уведомления через SNM P или журнал прило жения (для SMS).
Рис. 16. Применение «скрытого» почтового ящика MAILsweep for Ехсhange
Обычно MAILsweeper for Exchange устанавливается на сервер Exchange для сканирования всех писем, отправляемых через этот сервер. MAILsweeper for Exchange создает новый, «скрытый» почтовый ящик для каждого имеющегося почтового ящика, и вся поч та доставляется сначала в это т новый ящик. Затем пись мо после проверки доставляется в почтовый ящик пользователя. « Скрытые» почтовые ящики могут быть о тключены. При этом письма будут сканироваться при попадании в пользо вательский ящик. MIM Esweeper Manager обеспечивает следую щие возможности по локальному и удаленному управлению: • просмотр последних полученных сообщений; • контроль задержанных сообщений (о тправка, копирова ние или у даление); • архивирование системных журналов. MIMEs weeper for Domino Опасные вложения электронной почты и вирусы обычно обн аруживаются в точке по дключения к Интернет. Однако они могу т проникнуть в корпоративную сеть не только через элек тронную почту. Сотрудники могут загрузить опасные програм мы из Интер нет, принести на дискетах и компакт-дисках или создать вну три
компании. Вну тренняя электронная почта в та ких случаях стано вится источником активно го и свободного распространения таких вложений в рамках компании. MIMEsweeper for Do mino специально разработан для компаний, использующих Lotus Domino для автоматизации своей деятельности. MIMEs weeper for Domino - э то решение для проверки безопасности содержимого Do mino Mail и баз данных Do mino. Применение MIM Esweeper for Do mino повысит безопасность вашего бизнеса за счет: защиты о т файлов запрещенного формата, например, файлов картинок пересылаемых вну три предприятия или по лученных из Интернет; • защиты о т пересылки запрещенных материалов, например, конфиденциальных сведений, путем анализа по клю чевым словам и фразам; добавления к пересылаемым вложениям уведомлений, например, о конфиденциальности вложений; защиты о т «спама» по ключевым словам и по известным доменам; управления шифрованием в базах данных Do mino и Do mino Mail. Кроме того, M IM Esweeper for Do mino обеспечит: защиту о т вирусов; защиту о т вредоносного ко да, Lotus script, Actions и Java путем анализа скриптов; защиту сети от перегрузки файлами большого размера; блокировку запуска исполняемых файлов. Таблица 3 Возможности MIMEs weeper for Domi no
Domi no E-mail Поддержка нескольких почтовых ящиков Да Архивирование почты Да Проверка на наличие вирусов Да Возможность проверки несколькими антиви - Да русными программами Контроль вредоносных скриптов для Notes и Да распознавание Java Проверка баз данных по расписанию Нет Поиск по словам и фразам Да
Domi no Databases Нет Нет Да Да Нет Да Нет
Управление файлами по типу (двоичные шаблоны) Управление файлами по имени Управление файлами по размеру Распознавание форматов сжатия Блокировка по количеству получателей Сортировка сообщений по отправителю Управление до кументами, зашифрованными в Do mino Добавление уведомлений Составление отчетов в системе отчетов Do mino Предупреждения и сигналы тревоги, в зависимости от со держания
Да
Да
Да Да Да Да Да Да
Да Да Да Нет Нет Да
Да Да
Нет Да
Да
Да
MIMEsweeper for Do mino анализирует содержание электронной почты Do mino в соответствии с политикой безо пасности компании пропускает сообщения, очищает их о т вирусов или блокирует. Базы данных проверяются на наличие вирусов запрещенных типов и имен файлов, и, если найдены какие -либо угрозы файлы могут быть у далены, исправлены или заар хивированы. MIMEsweeper for Do mino устанавливается на сервер Domino. Если в компании используется несколько серверов Do mino, MIMEsweeper fo r Domino устанавливается на каждый из них.
Рис. 17. Применение MlMesweeper for Domino.
Преимущества MIM Esweeper for Do mino: • масштабируемая архитектура; • возможности удаленного управления настройками; • политики для баз данных могут тиражироваться на все серверы компании и таким образом обеспечивать единый по дхо д к ним по всей компании.
8.20. Сканирование электронной почты с помощью MIMEsweeper for Domino [^] Сканирование электронной почты выполняется в соо твет ствии с политикой безопасности компании и состоит из сле дующих основных э тапов:
Рис 18. Сканирование электронной почты
Определение по литики (Policy Identification) Определение набора проводимых проверок (политики) по пр авилам, задаваемым пользователем : для различных о тправителей и по лучателей сообщений; для любого сообщения. Декод ирование содерж имого (Content Disassembly) Рекурсивное деко дирование для определения исходного содержимого: распознавание форматов сжатия, шифрования, а также файлов различных типов, включая: o документы; o программы;
o рисунки; o звуковые и видео форматы; распознавание пользовательских форматов данных на о снове гибких двоичных шаб лонов; определение содержимого по имени файла и его расширению. Анализ содерж имого (Content anal ysis) Анализ письма в соответствии с политикой: сканирование антивирусными программами по выбору пользователя (из предложенного списка), в том числе и о дновременная обработка несколькими антивирусными про граммами; очистка зараженных писем о т вирусов; анализ текста по ключевым словам и фразам; управление письмами в зависимости от типа присоединенных файлов; различные действия в зависимости от размера письма и вложений; добавление к письму текста на любом языке, например, уведомления о конфиденциальности со держимого письма; р аспознавание «спама» и определение атак через электрон ную почту; определение вредоносного кода, например, скрипты Java, VBscript, Notes; настраиваемое управление письмами с использованием пр авил, заданных скриптами Notes или другими программами. Реагирование (Cl assification) Выбор действия для каждого письма: удаление нежелательных вложений; архивирование писем; оповещение администратора и/или отправителя; блокировка или доставка писем. Сканирование баз д анных MIMEsweeper for Do mino анализирует базы данных либо при возникновении определенных событий, либо по расписанию. Анализ состоит из трех основных этапов.
Рис. 19. Сканирование баз данных
Декод ирование содерж имого (Content Disassembly) Декодирование для определения исхо дного содержимого: • распознавание основных форматов данных (распознаю тся те же форматы, что и при сканировании э лектронной почты); • распознавание пользовательских форматов данных на основе гибких двоичных шаблонов; • определение содержимого по имени файла и его расширению. Анализ содерж имого (Content anal ysis) Анализ баз данных в соответствии с по литикой: • сканирование антивирусными программами по выбору пользователя (из предложенного списка), в том числе и одновременная обработка несколькими антивирусными программами; • управление файлами базы данных по типу вложения, именам файлов и расширению. Реагирование (Cl assification) Выбор реакции: • удаление нежелательных вложений; • архивация; • оповещение администратора.
8.21. Применение средств контроля и регистрации событий безопасности [^] Средства обнаружения атак RealSecure Guard RealSecure Guard — первая система, использующая новую, так называемую «активную» или «inline», технологию обнаружения атак, ч то позволяет не только обнаруживать, но и б ло кировать нападения в реальном времени (в полном понимании этого термина). Так как весь сетевой трафик про хо дит че рез систему RealSecure Guard, то несанкционированные дей ствия могут быть б локированы или правилами встроенного межсетевого экрана или же обнаружены с помощью механиз ма расширенного анализа протоколов. В случае обнаружения атаки RealSecure Guard может полностью бло кировать ее, не позво ляя ей достичь своей цели. В о тличие о т др угих аналогичных средств, RealSecure Guard за счет использования специализированного драйвера при этом не снижает производи тельность сети и не замедляет работы приложений. Кроме того, RealSecure Guard может испо льзоваться для за щиты серверов и иных наиболее критичных устройств, располо женных определенных выделенных сегментах (например, Web-серверы или серверы баз данных и приложений). Применяемая технология позволяет защитить эти серверы без установки на них специальных агентов и тем более без перезагрузки э тих важ ных узлов. К достоинствам RealSecure Guard можно отнес ти: Способность предотвращать нанесение ущерба сети информации. RealSecure Guard динамически б локирует различные атаки и предо твращает нанесение ущерба критичным узлам сети. Это реализуется за счет использования статических правил межсетевого экрана и динамических сигнатур, объединенных в одном устройстве. Высокую произво дительность. RealSecure Guard позво ляет обнаруживать атаки в по лностью загруженных сетях Ethernet (10 Мбит/сек) и Fast Ethernet (100 Мбит/сек) в по лу- и полнодуплексном режимах. Простоту использования. RealSecure Guard защищает весь входящий и исходящий трафик без вмешательства опер атора, что является одним из основных требований для ко мпаний, не имеющих возможности содержать штат высококвалифициро-ванных специалистов по безопасности, работающих в круглосуточном режиме.
Наличие возможностей для осуществления мониторин га критичных систем. RealSecure Guard может быть установлен перед наиболее важными и критичными системами с целью слежения за атаками, направленными на них. Системы анализа защищенности Компания Internet Security Systems предлагает целый ряд систем анализа защищенности, о хватывающих все уровни ин формационной системы предприятия, начиная с самого ниж него, сетевого, и заканчивая уровнем прикладного ПО. Речь идет о системах анализа защищенности: • на уровне сети Internet Scanner; • серверов Systen Scanner; • рабочих станций Desktop Scanner; • на уровне СУБД Database Scanner; • для Internet-банков, порталов и провайдеров Online Scanner. Эти средства позво ляю т обнаруживать и своевременно устранять около 3000 уязвимостей в различном программно -аппаратном обеспечении — файловых серверах и рабочих стан циях, маршрутизаторах и межсетевых экранах, Web-серверах и интеллектуальных принтерах и др., функционирующих под управлением широкого спектра операционных систем (начи ная с Windows NT и Solaris и заканчивая HP UX). Распределенная ар хитектура средств анализа защищеннос ти позволяет устанавливать их компоненты таким образом, чтобы обнаруживать уязвимости как изну три, так и снаружи корпоративной сети, имитируя деятельность внешних и вну тренних злоумышленников. Достоинства систем анализа защищенности, выпущенных ко мпанией ISS, были по праву оценены более чем 7500 компа ниями во всем мире (в том числе и в России), испо льзующими их как осно вной компонент системы обеспечения сетевой безопасности. Кроме того, эти системы имеют множество на град от различных организаций и печатных изданий, работающих в области информационной безопасности. Система анализа защищенности Internet Scanner Система анализа защищенности Internet Scanner разработана американской компанией Internet Security Systems, Inc. и предназначена для обнаружения уязвимостей в различном программно-аппаратном обеспечении корпоративной сети. При помощи да н-
ной системы можно проводить регулярные всесторонние или выборочные тесты сетевых сервисов, операционных систем, распр остраненного прикладного программного обеспечения, маршрутизаторов, межсетевых экранов, Wfeb-серверов и т. п. На основе проведенных тестов система Internet Scanner вырабатывает отчеты, содержащие под робное описание каждой обнаруженной уязвимости, ее расположение на узлах корпоративной сети и рекомендации по их коррекции или устранению. Система Internet Scanner может быть использована для ана лиза защищенности любых систем, основанных на стеке протоколов TCP/ IP. Это могут быть как компьютеры, по дключен ные к локальной или глобальной сети (Internet), так и автономные компьютеры с установленной по ддержкой TCP/ IP. Система Internet Scanner содержит обширный список по тен циальных уязвимостей операционной системы Windows NT, что выгодно отличает ее от других конкурирующих продуктов.
Рис 20 Система анализа защищенности Internet ScenftW
Система Internet Scanner обеспечивает вь* СО кий уровень зяаяшэ затящеяяости за счет проведенияж^оторонних про-верок и своих следующих ключевых ВОЗМОЖНОСТИ: • большое число проводимых проверок; • идентификация операционных систем;
• обнаружение модемов; • тестирование межсетевых экранов и Web\cep Bep 0Bj • создание своих собственных проверок; • автоматическое обновление базы даннц х уязвимоствй* и компонент системы Internet Scanner через Internet; • задание степени глубины сканирования; • интеграция с системами Database Scanty RealSecure, SAF Esuite Decisions; • централизованное управление процессом сканирования; • параллельное сканирование до 128 сетевых устройств и систем; • возможность работы по расписанию и из командной строки; • многоуровневая защита собранной информации; • использование про токола ODBC; • мощная система генерации о тчетов; • различные уровни детализации отчетов; • поддержка CVE; • различные форматы отчетов; • функционирование под управлением операционных си стем Windows NT и Windows 2000; • мощная система подсказки; • простота испо льзования и интуитивно понятный графи ческий интерфейс; • невысокие системные требования к программному и аппаратному обеспечению. С помощью Internet Scanner достигается постоянная уверенность в том, что в сети отсу тствуют известные уязвимости, благодаря периодическому сканированию функционирующих сетевых устройств и используемого программного обеспечения. Эти профилактические меры позволяют своевременно обнаружить поте нциальные уязвимости и устранить их до то го момента, как ими воспользуются злоумышленники. Система Internet Scanner выпо лняет серию тестов по обнаружению уязвимостей, аналогичных тем, которые применяют злоумышленники при осуществлении атаки на корпоратив ные сети. Сканирование начинается с получения предвари тельной информации о сканируемой системе, например, раз решенных протоколах и открытых портах, версии операцион ной системы и т. п., и заканчивается попытками имитации проникновения с, испо льзованием широко известных атак, типа «подбор пароля». Для увеличения скорости проведения анализа защищенно сти крупной сети могут быть инициированы неско лько парал лельных
процессов сканирования. Ответы от сканируемых узлов обрабатываются, после чего информация об уязвимостях записывается в специальную базу данных. На основе собран-ной информации система генерации отчетов создает о тчет, содержащий различные сведения в зависимости о т выбранной степени детализации. Достоинства системы Internet Scanner были по праву оценены более чем 7500 компаниями во всем мире (в том числе и в России), использующими ее как основной компонент системы обеспечения сетевой безопасности. Кроме того, система Internet Scanner имеет множество наград от различных органи заций и журналов, работающих в области информационной безопасности.
Рис. 21. Вариант анализа защищенности крупной сети
Вариант,размещения Internet Scanner и database scanner Очень важно для систем анализа защищенности, проводя щих дистанционный анализ (в частности, для Internet Scanner и Database Scanner) - их правильное размещение в корпоративной сети. Правильное понимание то го, где стоит размещать систему анализа защищенности позволит потом контро лировать самые важные и критические ресурсы защищаемой сети. В противном случае не исключена ситуация, когда вы будете не в состоянии обнаруживать некоторые уязвимости или же проверки будут блокироваться др угими средствами защи ты. Основное правило при размещении компонентов систем анализа защищенности - располагать их в сегментах или на узлах с ценными информационными ресурсами.
Система анализа защищенности System Scanner Система анализа защищенности System Scanner (S2) разработана американской компанией Internet Security Systems, Inc. и предназначена для обнаружения уязвимостей на уровне операционной системы. Кроме того, система S2, состоящая из нескольких компонентов, проводит анализ защищенности сканируемого компьютера изнутри, в то время как, например, система Internet Scanner - снаружи. На основе проведенных тестов система System Scanner вырабатывает отчеты, содержа щие подробное описание каждой обнаруженной уязвимости, ее расположение на узлах ко рпоративной сети и рекомендации по их коррекции или устранению. Еще одно отличие System Scanner от Internet Scanner — возможность устранения обнаруженных проблем. Помимо обнаружения уязвимостей, система System Scanner позволяет создавать эталонную конфигурацию различных узлов корпоративной сети и сравнивать текущие конфигурации этих узлов с эталонными значениями. Эталонная конф игурация может быть создана для пользователей, групп, сервисов и демо нов, файлов и разделяемых ресурсов. Регулярное применение System Scanner позволяет всесторонне оценить на безопасность корпоративной сети изнутри, т. е. с точки зрения внутренних злоумышленников, являющихся наиболее распространенным источником компьюте рных инцидентов. Система System Scanner обеспечивает высокий уровень анализа защищенности за счет проведения всесторонних проверок и следующих ключевых возможностей: • большое число проводимых проверок; • создание своих собственных проверок; • автоматическое обновление базы данных уязвимостей и компонент системы System Scanner через Internet; • задание шаблонов для различных групп сканируемых уз лов; • централизованное управление процессом сканирования; • резервирование консолей управления; параллельное сканирование нескольких узлов корпоратив ной сети; • централизованное обновление компонентов системы на у даленных узлах; • создание сценариев для устранения найденных проблем; • запуск процесса сканирования и генерации отчетов по ра списанию; • возможность работы из командной строки; • контроль целостности объектов контролируемого узла; • многоуровневая защита всей собранной информации;
• интеграция с системами RealSecure и SAFEsuite Dec isions; • реагирование в реальном режиме времени;
Рис 22 Система System Scanner
мощная система генерации о тчетов; различные уровни детализации отчетов; поддержка CVE; различные форматы отчетов; мощная система подсказки; простота испо льзования и интуитивно понятный гр афический интерфейс; невысокие системные требования к программному и аппаратному обеспечению. Достоинства системы System Scanner™ были по праву оце нены более чем 7500 компаниями во всем мире (в том числе и в России), использующими ее как основной компонент системы обеспечения сетевой безопасности. Кроме того, система System Scanner™ содержит обширный список потенциальных уязвимостей операцио нных систем семейства Windows NT, Windows 2000 и Netware , что выгодно о тличает ее от других конкурирующих продуктов. Система System Scanner обычно выполняет анализ защищенности узла с дву х позиций. Во-первых, анализируются настройки операционной системы, которые могут быть испол ьзованы злоумышленниками для осуществления атаки. А во-вторых,
сканируемая система проверяется на наличие «следов», уже оста вленных злоумышленниками (т. е. система System Scanner может контролировать целостность заданных файлов и иных защищаемых ресурсов). Для увеличения скорости анализа защищенности крупной сети могут быть инициированы несколько параллельных про цессов сканирования. Ответы о т сканируемых узлов обрабатываю тся, после чего данные об уязвимостях записываются в специальную базу на основе SQL. Испо льзуя собранную информацию система генерации отчетов создает о тчет, со держащий различные сведения в зависимости о т выбранной степе ни детализации. Варианты применения систем анализа защищенности Существует несколько типовых вариантов применения систем анализа защищенности, предлагаемых компанией Internet Security Systems: инвентаризация сети; анализ редко испо льзуемых сетевых сервисов; анализ защищенности рабочих станций; обнаружение конфигураций «по умолчанию»; анализ настроек сетевого оборудования; анализ беспроводных сетей; обнаружение модемов; обнаружение неизвестных устройств; анализ настроек межсетевых экранов; анализ защищенности у даленных офисов; анализ защищенности Internet-банка или Internet – магазина. Система анализа защищенности Database Scanner Система анализа защищенности Database Scanner разработана американской компанией Internet Security Systems, Inc. и предназначена для обнаружения уязвимостей связанных с безопасностью баз данных, начиная от «слабых» паролей и несоответствия назаначенных пользователям привиле гий и заканчивая неустановленными обновлениями на ОС, под управлением которой функционирует СУБД. Встроенная база знаний (Knowledge Base), доступная непосредственно из создаваемых отчетов, рекомендует корректиру ющие действия, ко торые позволяю т устранить обнаруженные уязвимости. Система Database Scanner может быть использована для анализа
защищенности систем управления базами данных (СУБД) M icrosoft SQL Server, Oracle и Sybase Adaptive Server. Система Database Scanner реализует ряд проверок, идентифицирующих уязвимости и иные нарушения политики безопас ности, в том числе и неправильную конфигурацию, которые могут быть использованы злоумы шленником для проникно вения в корпоративную сеть. Процесс анализа защищенности осуществляется дистанционно и аналогично функционированию системы Internet Scanner, ч то облегчает труд администраторов в территориаль -но-распределенных сетях.
Рис. 23. Система Database Scanner
Отсу тствие специальных прощамм -агентов сканируе мых БД позволяет проводить аодрз защищенное у даленных филиалов и офисов. Система Database Scanner обеспечивает высокий уровень анализа защищенности за счет проведения всесадронних про верок и следующих ключевых возможностей: • большое число проводимых проверок; • анализ и выявление «слабых» паролей; • режим проникновения; • задание шаблонов для различных серверов баз данных! • централизованное управление процессом сканирований»
• автоматическое обновление компонентов системы; • интеграция с системами Internet Scanner и SAFEsuite Decisions; • параллельное сканирование нескольких серверов баз данных; • мощная система генерации о тчетов; • простота использования и интуитивно понятный графический интерфейс; • невысокие системные требования к программному и аппаратному обеспечению. Система Database Scanner функционирует под управлением ОС Windows NT и W indows 2000 и может быть использована для анализа защищенности следующих СУБД; • Oracle 7.3, 8.0.6 и 8.1.7 (для Unix, Windows NT и Windows 2000); • MS SQL Server 6.5, 7 и 2000 (для Windows NT и Windows 2000); • Sybase Adaptive Server 11.5, 11.9.2 и 12.0 (для Unix, Windows NT и Windows 2000). Регулярное применение Database Scanner позволяет обеспечить всесторонний «взгляд» на безопасность баз данных сна ружи и изнутри, т. е. со стороны как внутренних, так и внеш них злоумышленников (хакеров). Аналогично другим продук там компании ISS система Database Scanner признана и ис пользуется многими компаниями во всем мире. Как правило, с помощью системы Database Scanner выполняется серия тестов по обнаружению уязвимостей, анало гичных тем, которые применяют злоумышленники при осу ществлении атаки на системы управления базами данных. Сканирование начинается с получения предварительной ин формации о сканируемой БД, например, о разрешенных сете вых протоколах и учетных записях, версии операционной системы и т. п., и заканчивается попытками имитации проникновения, с использованием широко известных атак, типа «подбор пароля». Для увеличения скорости анализирования нескольких сер веров с базами данных могут быть инициированы неско лько параллел ьных процессов сканирования. Ответы о т сканируе мых СУБД затем будут обработаны, после чего сведения об уязвимостях записываются в специальную базу данных. На основе собранной информ ации система генерации отчетов создает о тчет, содержащий различные сведения в зависимости от выбранной степени детализации.
Риc. 24. Схема функционирования Database Scanner
Сетевой сенсор realsecure network sensor RealSecure Net work Sensor — это программное решение, которое предназначено для установки на выделенный компью тер в критичном сегменте сети, например, демилитаризован ной зоне или сегменте финансового департамента. Путем «прослушивания» сетевого трафика и сопоставления его с базой сигнатур атак сетевой сенсор обнаруживает различные нару шения политики безопасности. RealSecure Network Sensor может обнаруживать атаки в сетях TCP/ IP и SM B/NetBIOS, построенных на базе Ethernet, Fast Ethernet, Token Ring и FDDI. Для сетей, построенных на базе Gigabit Ethernet, рекомендуется использовать совместное решение компаний ISS и TopLayer Net works или сетевой сенсор BlacklCE Gigabit Sentry. Разнообразие вариантов применения и расположения се тевых сенсоров существенно расширяет область применения систем обнаружения атак, вхо дящих в семейства RealSecure и BlacklCE.
Рис. 25. Исполь зование сетевого сенсора RealSecure
Система RealSecure является о дним из лучших решений для защиты корпоративной сети и предоставляет следующие ключевые возможности* • большое число распознаваемых атак; • создание собственных сигнатур атак; • дефрагментация сетевого трафика; • невозможность обнаружения сетевого сенсора и выведения его из строя, • возможность контроля на одном компьютере нескольких сетевых интерфейсов; • задание шаблонов фильтрации трафика; « различные схемы управления модулями слежения; • обновление базы данных сигнатур атак; • дистанционное обновление ПО сенсоров; • фильтрация и анализ большого числа сетевых про токо лов, в том числе TCP, UDP и ICMP; • фильтрация сетевого трафика по про токолу, портам и IPадресам отправителя и получателя; • аварийное завершение соединения с атакующим узлом; • управление межсетевыми экранами и маршрутиза -торами; • задание сценариев по обработке атак; • генерация управляющих SNMP-последовательностей для
управления системами HP OpenView, IBM Net View HTivoliTMElO; • запись атаки для дальнейшего воспроизведения и ана лиза; • отсутствие требования использования специального аппаратного обеспечения; • интеграция с системами SAFEsuite Decisions и AlarmPo int; • многоуровневая защита собранной информации; установление защищенно го соединения между компонен-тами системами, а также другими устройствами; • наличие всеобъемлющей базы данных по всем обнару живаемым атакам; • отсутствие снижения производительности сети; • мощная система генерации о тчетов; • различные форматы отчетов; • управление всеми функциями сенсоров из командной строки; • мощная система подсказки; • расширенная регистрация системных событий; • простота использования и интуитивно понятный графический интерфейс; • невысокие системные требования к программному и аппаратному обеспечению. Варианты установки сетевых сенсоров Один из наибо лее важных аспектов, связанных с применением систем обнаружения атак - их правильное размещение в корпоративной сети. Понимание того, где стоить размещать компоненты системы обнаружения атак, позволит контроли ровать самые важные и критические ресурсы защищаемой сети В про тивном случае вы будете не в состоянии обнаруживать неко торые атаки Основное правило при размещении компонентов систем обнаружения атак расположение их в сегмен тах или на узлах с ценными информационными ресурсами. Сенсоры системы обнаружения атак RealSecure и BlacklCE функционируют на уровне сети и узла Размещение последних не вызывает никаких вопросов, так как они располагаю тся в наиболее важных узлах сети (серверах баз данных, Web-серверах и т. д.). Наибольший интерес вызывает установка сете вых сенсоров RealSecure Network Sensor, RealSecure for Nokia и BlacklCE Sentry.
Обычно сетевые сенсоры располагаются на следующих уч астках сети: • между маршрутизатором и межсетевым экраном; • в «демилитаризованной зоне» (DMZ); • до межсетевого э крана (в intranet); • в ключевых сегментах корпоративной сети; • на магистрали; • у модемной стойки или сервера удаленного д оступа. Серверный сенсор realsecure server sensor RealSecure Server Sensor - это программное решение, которое позволяет обнаруживать все атаки (т. е. на всех уровнях), на правленные на конкретный узел сети. Помимо обнаружения атак RealSecure Server Sensor может также проводить анализ защищенности и обнаруживатьуязвимости на контролируемом узле.
Рис. 26. Схема расположения серверного сенсор
RealSecure Server Sensor может функционировать под управлением операционных систем Windows NT, Windows 2000, Solaris и Linux и контролировать журналы регистрации этих ОС, а также журналы регистрации любых приложений, функционирующих под управлением этих ОС. Кроме того, RealSecure Server Sensor может обнаруживать атаки в сетях TCP/ IP и SMB/NetB IOS, построенных на базе любых сете вых ар хитектур, поддерживаемых контролируемым компьютером. Разнообразие вариантов применения серверных сенсоров существенно расширяет область применения систем обнаружения атак, вхо дящих в семейства RealSecure и BlacklCE. Система RealSecure является о дним из лучших решений для защиты корпоративной сети и предоставляет следующие ключевые возможности: • большое число распознаваемых атак; • возможность обнаружения уязвимостей на контролиру емом узле; • возможность контроля атак, направленных на конкрет ные приложения (например, Apache, Netscape Enterprise Wfeb Server, MS IIS, MS Exchange, MS SQL Server, pcAnywhere и т.д.); • создание собственных сигнатур атак; • задание шаб лонов фильтрации трафика и анализа жур налов регистрации;
• различные схемы управления модулями слежения; • имитация несуществующих приложений с целью введе ния злоумышленника в заблуждение; • расширенный анализ журналов регистрации; • возможность контроля сетевых интерфейсов 10/100 Ethernet LAN/WAN, кабельных модемов, маршрутизаторов DSL и ISDN и обычных модемов для коммутируемых линий; • возможность контроля любого числа сетевых интерфейсов, установленных в компью тер; • возможность функционирования в коммутируемых се тях и сетях с канальным шифрованием; • возможность создания правил фильтрации вхо дяще го исходящего трафика, реализуя функции персонального межсетевого экрана; • автоматическое обновление базы данных сигнатур атак и дистанционное обновление ПО сенсоров; • аварийное завершение соединения с атакующим узлом; • блокирование учетной записи атакующего пользова теля; • задание сценариев по обработке атак на языке Tel; • возможность исследования событий безопасности перед выполнением каких-либо действий и изменение вариантов реагирования после исследования; • семантическое сжатие событий безопасности; • уведомление атакующего о его обнаружении; • генерация управляю щих SNMP-последовательностей для управления системами HP Open View, IBM Net View HTivoliTMElO; • анализ журналов регистрации маршрутизаторов; • интеграция с системой Internet Scanner, System Scanner, SAFEsuite Decisions и AlarmPoint; • многоуровневая защита собранной информации; • установление защищенного соединения между компонентами системами, а также другими устройствами; • мощная система генерации о тчетов; • различные форматы отчетов; • управление всеми функциями сенсоров из командной строки; • мощная система подсказки; • наличие всеобъемлющей базы данных по всем обнаруживаемым атакам; • расширенная регистрация системных событий; • простота использования и интуитивно понятный графический интерфейс; • невысокие системные требования к программному и ап-
паратному обеспечению. Серверный сенсор обнаруживает сетевые атаки анало гично сетевому сенсору, и просматривает журналы регистрации ана логично системному сенсору. Варианты применения систем обнаружения атак Кроме применения систем обнаружения атак, предлагае мых компанией Internet Security Systems, для защиты демилитаризованной зоны, критичных сегментов сети и т. д., исхо дя из мест расположения самих этих систем, существует еще несколько вариантов их применения: Резервирование функций межсетевого экрана; Защита Web-серверов и серверов приложений (включая сервера баз данных); Контроль доступа к определенным файлам; Обнаружение неблагонадежных со трудников; Контроль действий администратора; Контроль содержимого и антивирусная защита, включая обнаружение макро-вирусов, Internet-червей, троянских коней и Java-апплетов; Контроль доступа к ресурсам Internet; Обнаружение неизвестных и несанкционированно по дключенных устройств; Анализ настроек межсетевых э кранов; Анализ сетевого трафика и информационных потоков; Анализ данных о т маршрутизаторов и другого сетевого обор удования; Сбор доказательств и расследование инцидентов безо пасности; Контроль эффективности работы ГГ-подразделений. Консоль управления realsecure workgroup manager RealSecure Work Group Manager — это программное решение, ко торое отвечает за управление всеми типами сенсоров. При помощи RealSecure WorkGroup Manager возможно: • настраивать сенсоры для обнаружения различных атак; • получать данные от сенсоров о событиях, происходящих в контролируемых сегментах и узлах, и отображать их на конс оли; • создавать отчеты по различным аспектам сетевой и системной деятельности контролируемых узлов и сегментов сетей.
Рис 27 Система обнаружения атак RealSecure WorkGroup Manager
Текущая версия системы обнаружения атак RealSecure построена с учетом новой, трехуровневой ар хитектуры, которая существенно облегчает функционирование этой системы в крупных, территориально-распределенных сетях. RealSecure WorkGroup Manager состоит из следующих компонентов: • Модуль Event Collector, отвечающий за сбор данных от сенсоров и сохранение их в базе данных событий В крупных, территориально распределенных сетях возможно использование нескольких моду лей Event Collector, объединенных единой базой событий. • База данных событий (enterprise database). Все события, собираемые менеджером событий с сенсор ов, могут сохра няться в СУБД MSDE (ограничение по размеру базы -2 Гб) или MS SQL Server. • Графическая консоль управления, отвечающая за взаимодействиями с неограниченным число сенсоров через менеджер событий. Данная ар хитектура позволяет нескольким консо лям одно временно обращаться к Event Collector с целью просмотра собранных о т о дного и того же сенсора и ге нерации отчетов по зафиксированной ими деятельности. RealSecure WorkGroup Manager позволяет эффективно уп равлять неограниченным числом сенсоров RealSecure по скольку имеет в своем распоряжении следующие ключевые возможности:
• различные схемы управления модулями слежения; • управление группами сенсоров (например, при обновле нии базы данных сигнатур или в случае применения поли тики безопасности); • многоуровневую защиту собранной информации; • может устанавливать защищенное соединене между компонентами системы RealSecure, а также другими устройствами; • мощную систему генерации отчетов; • различные форматы отчетов; • мощную систему подсказки; • всеобъемлющую базу данных по всем обнаруживаемым атакам; • доступ к у даленному системному журналу регистрации; • отображение DNS-, MAC-, NetBIOS- и IP-адресов атакующего и атакуемого компьютеров; • использование символьных имен контролируемых узлов сети; • звуковое оповещение об атаках; • простота использования и интуитивно понятный графический интерфейс; • невысокие системные требования к программному и аппаратному обеспечению. Сенсоры системы обнаружения атак RealSecure и BlacklCE функционируют на уровне сети и уровне узла. Размещение последних систем не вызывает никаких вопросов, так как они разм ещаются на наиболее важных узлах сети (серверах баз данных, Web-серверах и т. д.). Наибольший интерес вызывает установка сетевых сенсоров RealSecure Netwo rk Sensor, RealSecure for Nokia и BlacklCE Sentry. Обычно сетевые сенсоры устанавливаю тся на следующих уч астках сети: • между маршрутизатором и межсетевым экраном; • в «демилитаризованной зоне» (DMZ); • до межсетевого э крана (в intranet); • в ключевых сегментах корпоративной сети; • на магистрали; • у модемной стойки или сервера удаленного д оступа. Применение криптографических средств защиты Для обеспечения защиты электронных документов и созда ния защищенной автоматизированной системы в первую очередь используют криптографические методы защиты, котор ые позволяю т
обеспечить защиту целостности, авторства и кон фиденциальности электронной информации и реализовать их в виде программных или аппаратных средств, встраиваемых в автоматизированную систему. Однако испо льзование криптографии ни в коем случае не исключает применение организационно-технических мер за щиты. В общем случае создание защищенной автоматизированной системы — это в каждом конкретном случае процесс индивидуальный, поско льку не бывает абсолю тно одинаковых систем, а бывают лишь типовые решения, реализующие те или иные функции по защите информации. В первую очередь при создании защищенной автоматизированной системы необходимо определить модель угроз и по литику безопасности проектируемой системы. Впоследствии, исхо дя из этого, можно определится и с набором криптографических функций и организационно-технических мер, для в создаваемой системы. Ниже приведены основные функции и по защите инфор мации, реализуемые с помощью криптографических средств. Конфиденциальность информации. При передаче данных в сети обеспечивается использованием функций шифр ования. При хранении данных (на дисках, в базе данных) может ис пользоваться функция шифрования или (для обеспечения НСД к хранимой информации) функция шифрования на производном (например, от пароля) ключе. Идентификация и авторство. При сетевом взаимодействии (установлении сеанса связи) обеспечивается функциями Э ЦП (электронно-цифровой подписи) при использовании их в про цессе аутентификации (например, в соответствии с рекоменда циями Х.509). Одновременно при аутентификации должна ис пользоваться защита от переповторов. Для этих целей может быть использована функция имитозащиты с ограничениями, так как при вычислении имитовставки используется симметричный ключ шифрования, единый для дву х субъектов (объектов) системы. При электронном документообороте обеспечивается ис пользованием функций ЭЦП электронного документа. Допол нительно должна быть предусмотрена защита от навязывания, переповтора электронного до кумента и целостность справоч ников открытых ключей ЭЦП. Целостность. Обеспечивается испо льзованием функций ЭЦП электронного документа. При испо льзовании функций шифро вания (без использования ЭЦП) целостность обеспечивается имитозащитой. Для обеспечения целостности хранимых данных может быть
использована функция хеширования или имитоза щиты, но при этом не обеспечивается авторство информации. Неотказуемость от передачи э лектронного документа. Обеспечивается испо льзованием функций ЭЦП (подпись доку мента отправителем) и хранением документа с ЭЦП в течение установленного срока приемной стороной. Неотказуемость от приема электронного д окумента. Обеспечивается испо льзованием функций ЭЦП и квитированием приема документа (подпись квитанции получателем), хране нием документа и квитанции с ЭЦП в течении устано вленного срока о тправляющей стороной. Защита от переповторов. Обеспечивается использованием криптографических функций ЭЦП, шифрования или имитоза щиты с добавлением уникального идентификатора сетевой сес сии (электронного документа) с последующей их проверкой приемной стороной или разработкой специализированного про токола ау тентификации (обмена электронными до кументами). Защита от навязывания информации. Защита о т нарушителя навязывающего принимающей стороне собственную инфор мацию как переданную якобы от санкционированного по льзо вателя (нарушение авторства информации). Обеспечивается использованием функций ЭЦП с проверкой атрибутов электронного документа и открытого ключа отправителя. В случае навязывания информации при компрометации ключа обеспечивается организационнотехническими мероприятиями. На пример, созданием системы централизованного управления ключевой информацией (оповещением абонентов) или специ ализированных протоколов электронного документооборота. Защита от закладок, вирусов, мод ификации системного и прикладного ПО. Обеспечивается совместным использова нием криптографических средств, антивирусов и организаци онных мероприятий.
8.22. Создание виртуальных частных сетей (VPN) [^] Технология виртуальных защищенных сетей (VPN-технология) позволяет организовать корпоративную сеть, защи щенную от несанкционированного доступа, используя при э том любые каналы связи: коммутируемые и выделенные ка налы, локальные и глобальные сети передачи данных и т. д. Использование защищенных каналов исключает возможность перехвата информации, подключения незарегистрированного компьютера, изменение инфор-
мации и любые сете вые атаки. Защита VPN может строиться на уровне сокетов, на основе протоколов SSL и SSH, на транспортном (TCP) уровне или сетевом (IP). Для решения задач VPN защита на последнем уровне наиболее предпочтительна ввиду следую щих условий: модуль системы защиты реализуется в виде драйвера операционной системы, располагаю щегося между ip-стеком и ndis-драйвером сетевого адаптера, что позволяет контролировать весь про ходящий трафик; защита работает на уровне драйверов, ч то затрудняет атаку на средство защиты с испо льзованием сервисов операционной системы; защита прозрачна для сервисов более высокого уровня и пользовательских приложений; защита организуется между любыми двумя точками сети с использованием топологии сети; обеспечивается маскирование внутренней топологии сети. Защита информации в VPN строится с использованием следующих технических приемов (Рис. 27). шифрование исхо дного IP-пакета, ч то обеспечивает секретность содержащихся в пакете данных (поля IP-заго ловка и самих собственно данных); цифровая подпись IP-пакетов, ч то обеспечивает ау тентификацию пакета и источника-о тправителя пакета; инкапсуляция IP-пакета в новый защищенный IP-пакет с новым заголовком, содержащим IP-адрес устройства за щиты, что маскирует топологию внутренней сети.
Рис 28 Схема защиты информации в сетях VPN 170
Защита информации при передаче между виртуальными по дсетями реализуется на алгоритмах асимметричных ключей и электронной подписи, защищающей информацию от подделки. Фактически данные, подлежащие межсегментной передаче, кодируются на выхо де из о дной сети, и деко дируются на вхо де другой сети, при этом алгоритм управления ключами обеспечивает их защищенное распределение между оконечными устройствами. Все манипуляции с данными прозрачны для работающих в сети приложений. При этом возможно организовать защиту информации на любом уровне: защиту все го трафика, т. е. всей информации, передаваемой по каналу связи, например, между географически удаленными филиала ми компании; между сервером и пользователем; между клиен тами; можно организовать защищенный доступ мобильных пользователей в локальную сеть компании. Организация защищенных каналов между головным офисом и филиалами, мобильными по льзователями.
Рис. 29. Организация защищенных камолаюнии VTN
Основной задачей в подобной конфигурации является ор ганизация защищенного доступа к серверам базы данных и почтовым серверам. Для этого необ ходимо установить на маршрутизаторах в го -
ловном офисе и филиалах Cisco VPN engine, а на защищаемые рабочие и мобильные станции и серверы Cisco VPN Client. При этом должна обеспечиваться масштабируемость решений, а сама защита строится на основе маршрутизаторов Cisco с поддержкой VPN и программных VPN клиентов. Технология VPN для защиты информации, передаваемой по открытым каналам связи. Функцию защиты информации, передаваемой по откры тым каналам связи, поддерживающим протоколы TCP/IP, пр одукты семейства ViPNet вполне могу т выпо лнить для построения защищенных виртуальных частных сетей (VPN) любых конфигураций.
Рис 30. Защита информации передаваемой по открытым каналам связи
VPN-проду кты ViPNet обеспечивают: защиту (конфиденциальность, по длинность и целостность) передаваемой по сетям информации; контроль доступа в защищаемый периметр сети;. безопасный доступ пользователей VPN к ресурсам сетей общего пользования; идентификацию и ау тентификацию пользователей сете вых объектов; централизованное управление политикой корпоративной сетевой безопасности.
Технология ViPNet представляет собой сертифицированный программный комплекс, позволяющий организовать виртуальную сеть, защищенную о т несанкционированного доступа по классу 1В для автоматизированных систем и 3 классу для меж сетевых экранов. Комплекс предназначен для работы в операционных системах Wmdows95/ 98/Me/NT/2000. Полностью безопасная работа пользователей обеспечивает ся при установке средств защиты на каждый компьютер, уч аствующий в вир туальной защищенной сети. Информация в этом случае, которой данный компьютер обменивается с другими компьютерами, становится недоступной для любых других компьютеров, не участвующих в данном соединении. Инфор мация, которая расположена на самом компьютере, недоступна с любого компьютера, не участвующего в VPN. Доступ с компьютеров, участвующих в VPN, определяется наличием соответствующих связей, настройкой фильтров и полностью кон тролируем администраторами безопасности. При взаимодействии между компьютерами, включенными в VPN сеть, обеспечивается установление между такими компьютерами защищенных соединений. При этом осуществляется преобр азование всего IP — трафика между двумя компью терами в нечитаемые форматы по алгоритму, рекомендованному ГОСТ 28147 -89. Одновременно производится инкапсу ляция всех типов IP-пакетов в единый тип, что полностью скрывает структуру информационного обмена. Преобразование трафика осуществляется на симметричных ключах длиной 256 бит. Если в локальной сети возможно выделение участко в сети, где не может быть пребывания посторонних лиц, то эти груп-пы компьютеров могут защищаться совместно. В этом случае не требуется установка программных средств на каждый ком пьютер. Компьютеры виртуальной сети могут: располагаться внутри локальных се тей любого типа, поддерживающих IP-протокол; нахо диться за другими типами сетевых экранов; иметь реаль ные или виртуальные адреса; подключаться через общедоступ ные сети путем выделенных или коммутируемых соединений. Основой всех программ для виртуальной сети является ViPNetдрайвер, взаимодействующий непосредственно с драй вером сетевого интерфейса, в результате сего обеспечивается независимость программы от операционной системы. Драйвер контролирует весь IP-трафик (поступающий и исхо дящий из компьютера) и фильтрует его по многочисленным параметрам. Программный комплекс « ViPNet» включает в себя: ViPNet [Администратор] ViPNet [Координатор]
ViPNet [Клиент] ViPNet [А дминистратор] создает инфраструктуру сети, осу ществляет мониторинг и управление ее объектами. Он так же формирует первичную ключевую и парольную информацию для об ъектов сети, сертифицирует ключевую информацию, сформирова нную самими объектами сети. ViPNet [Координатор] выполняет: - маршрутизацию защищенных пакетов при взаимодействии объектов сети между собой; - регистрацию и предоставление информации о состоянии об ъектов сети; - организацию работы защищенных компью теров локаль ной сети в VPN от имени одного адреса; - туннелирование пакетов о т заданных незащищенных компьютеров ло кальной сети; - фильтрацию открытых пакетов в соответствии с заданной политикой безопасности; - организацию работы защищенных компью теров локаль ной сети через сетевые экраны других произво дителей. ViPNet [Клиент] обеспечивает защиту информации при ее передаче по открытым каналам сетей общего пользования,а так же защиту от доступа к ресурсам компьютера из сетей общего пользования. VPN[А дминистратор] включает в себя программы Центр Управления Сетью и Ключевой Центр. Центр Управления Сетью (ЦУС) предназначен для созда ния и управления конфигурации сети: и управления ею : - построение конфигурации виртуальной сети (сетевые объекты и связи между ними, включая межсетевые); - изменение конфигурации сети; - формирование и рассылка защищенных адресных справочников, защищенных таб лиц маршрутизации и инфо рмации о ключевых связях абонентов для Ключевого Центра безопасности; - определение прав доступа к ресурсам каждого пользователя. Ключевой Центр (КЦ) предназначен для обеспечения клю чевой информацией абонентов, абонентских пунктов и серве ров. КЦ создает ключевые дискеты для абонентов и ключевые наборы для абонентских пунктов. КЦ осуществляет: - формирование и обновление первичной ключевой и парольной информации для объектов и пользователей сети; - сертификацию цифровых подписей, сформированных на об ъектах сети.
Для установки ViPNet [Администратор] необ ходим IBMсовместимый компьютер с операционной системой Windows'95, Windows'98 или Windows NT 4.0/ 2000 и не менее 20 Мбайт свободного места на жестком диске. ViPNet [Коорд инатор] ViPNet [Координатор] - многофункциональный модуль, осуществляющий в зависимости о т настроек следующие функции: - Сервер IP-адресов обеспечивает работу с динамическими 1Рдресами; - Почтовый сервер обеспечивает маршрутизацию почто вых конвертов и управляющих сообщений ЦУСа и КЦ и абонентских пунктов; - Сервер туннель обеспечивает работу абонентских пунк тов защищенной сети о т имени одного адреса; обеспечивает туннелирование пакетов от незащищенных пакетов локальной сети; - обеспечивает фильтрацию о ткрытых пакетов в соответствии с заданной по литикой защиты. Функциональность ViPNet [Координатора] определяется Центром управления сетью и формируемыми им справо чниками и маршрутными таблицами. В зависимости от конфигурации VPN возможны следую щие варианты функционирования ViPNet [Координатора]: Вариант 1VPN строится в рамках одной не фрагментиро ванной локальной сети. Вариант 2 VPN до лжна объединить неско лько локальных сетей с защищенными компьютерами (фрагментов локаль ной сети) и удаленные защищенные компьютеры. Все ком пьютеры имеют реальные IP - адреса, доступные о т любого объекта VPN. Вариант 3 VPN до лжна объединить неско лько ло кальных сетей (фрагментов локальной сети), а также удаленные защи щенные компьютеры. Компью теры локальной сети имею т внутренние или реальные адреса. В локальных сетях стоят сетевые экраны других производителей. Вариант 4 VPN до лжна объединить неско лько ло кальных сетей (фрагментов локальной сети), имеющих защищенные и незащищенные компьютеры, и удаленные защищенные компьютеры. Компьютеры локальной сети имеют внутренние или реальные а дреса. Ставится задача: обеспечить работу объектов VPN локальной сети от имени одного адреса внутри фрагментированной локальной сети, через выделенный или коммутируемый канал, а для отдельных незащищенных компьютеров обеспечить туннелирование от-
крытых пакетов в за щищенное соединение. В локальных сетях стоят сетевые э краны других производителей. Вариант 5 VPN до лжна объединить неско лько локальных сетей (фрагментов локальной сети) и удаленные защищенные компьютеры, при этом защита вну три локальной сети (фрагмента локальной сети) не требуется. Для установки ViPNet [Координатора] необхо дим IBM-совместимый компьютер с операционной системой Wmdows'95, Windows'98 или Windows NT 4.0/ 2000 и не менее 20 Мбайт сво бодного места на жестком диске. ViPNet [Клиент] ViPNet [Клиент] - модуль, реализующий на рабочем месте следующие функции: 1. Персональный сетевой экран — позволяет защитить компьютер от попыток несанкционированного доступа как из глобальной, так и из локальной сети, управление досту пом к данным компьютера из локальной или глобальной сети, определение адреса злоумышленников, пытающихся по лучить доступ к информации на Вашем компьютере, обеспечение режима устано вления соединений то лько по инициативе пользователя. 2. Установление защищенных соединений с другими компьютерами, оснащенными ViPNet [Клиентом], для любых стандартных сетевых приложений; (преобразование IP-пакетов в нечитаемые форматы с добавлением в них инфор мации для обеспечения целостности, контроля времени, идентификации и скрытия первоначальной структуры пакета, блокировка пакетов, целостность ко торых нарушена или истекло время отпра вки). 3. Услуги защищенных служб реального времени для организации цирку лярного обмена сообщениями, проведения ко нференций, защищенных аудио- и видео- переговоров обмен сообщениями или организация цирку лярного обмена сообщениями, в процессе ко торого организатор такого обмена видит все сообщения, в то время как участники об мена сообщений друг друга не видят проведение защищенных конференций оперативное видение по дтверждения доставки и прочтения сообщений, проведение защищен ных аудио- и видео- переговоров. 4. Сервис защищенных поч товых услуг — защищенная « дело вая почта» с возможностями аутентификации отпра вителя и получателя, а так же контролем за прохождением и использованием документа передачи электронных со общений по открытым
каналам связи с защитой в пределах всего маршрута следования от отправителя до получателя, защита прикрепленных к сообщениям файлов, идентификация о тправителя с использованием электронной подписи, встроенной в общую систему безопасности, передача сообщения только тем получателям, для ко то рых оно предназначалось, подтверждение получения и использования сообщений, а также даты, времени получения и личности получателей, ведение учетной нумерации сообщений Для установки ViPNet [Клиента] необ хо дим IBM -совместимый компьютер с операционной системой Windows'95, W mdows'98 или Windows NT 4.0/ 2000 с модемом или сетевой картой и не менее 20 Мбайт свободного места на жестком диске. Приклад ные системы комплекса ViPNet В ViPNet комплексе реализованы разнообразные приклад ные системы для работы на клиентском месте. Это Деловая почта, Диспетчер внешних программ, Защищенные службы реального врем ени. Деловая почта — это сочетание строгого делопроизводства и обычной файловой системы, «электронной подпи си» и шифрования, высокой автоматизации процедур свя зи и по дтверждения доставки сообщения. Диспетчер — э то программа, обеспечивающая в автоматическом режиме выполнение процедур электронной подписи, шифрования и рассылки по заданным адресам файлов, подготовленных другими программами пользователя. Службы реального времени позволяю т осуществлять различ ные виды защищенного сервиса в режиме реального времени. К э тим службам относятся: - Служба циркулярного обмена сообщениями в реальном масштабе времени. Она обеспечивает оперативный об мен информацией между участниками сети. При этом абонентам не доступна информация друг друга. - Служба конференций аналогична пре дыдущей службе, но все участники обмена видят информацию друг друга. В обеих службах обеспечивается полная информированность пользователя о доставке и прочтении сообщений, завершении сеанса работы. Возможно оперативное по дключение и отключение абонентов от сеанса обмена. Возможно ведение одновременно нескольких независи мых сеансов обмена. Веду тся протоколы обмена, с возможностью их со хранения и печати. - Служба речевого обмена обеспечивает ведение защи щенных
телефонных переговоров через локальную и гло бальную сеть, если компьютеры имеют стандартные звуковую карту, микрофон и звуковые колонки или теле фонную трубку с интерфейсом для по дсоединения к зву ковой плате. - Служба видеообмена, которая обеспечивает ведение за щищенных видео-переговоров в режиме реального времени. Эта служба функционирует, если компьютер оснащен видеокамерой. Логика работы ViPNet-сети Для того чтобы компьютеры, включенные в виртуальную защищенную сеть, увидели друг друга в глобальной сети, на о дном или нескольких компьютерах, имеющих постоянный IP-адрес, должны быть установлены программы ViPNet [Координатор]. На каждый компьютер ViPNet-сети устанавливается ПО ViPNet [Клиент]. Каждый компью тер с ViPNet [Клиентом] бу дет посылать на ViPNet [Координатор] информацию о своем включении и об изменении IP-адреса, получать с него информацию о других связанных с ним компьютерах. Если ViPNet [Координаторов] несколько, то эти они обмениваются между собой необходимой информ ацией о подключении и о тключении абонентов. Конфигурация и управление вир туальной защищенной сетью осуществляется с помощью программ ViPNet [Администратора]. Обмен управляющей информацией между объектами сети (справочники, ключи, программное обеспечение и др.), а так же обмен почтовой информацией производится с помощью специального транспортного протоко ла над TCP/IP, а также через ViPNet [Координатор]. Технические характеристики комплекса ViPNet представлены ниже в таб л. 3.
Таблица 3 Параметр
Значение
Пропускная способность
OCWmdowsNT Канал 10 М бит Pentium III/ 450 - 9.5М бит/с Канал 100 М бит Pentium III/ 450 -20М бит/с Pentium III/700 - 28М бит/с ОС Linux (без ViPNet [Turbo 100]) Канал 100М бит Pentium III/ 700 - 40М бит ОС Linux (с ViPNet [TURBO 100]) Канал ЮОМ бит Pentium III/ 700 96М бит 30-80 байт
Накладные расходы на поддер жание туннеля Увеличение размеров пакета М аксимальное количество сетевых интерфейсов, тип интерфейсов Снижение трафика М аксимальное число клиентов для (одного ViPNet [Администратора] М аксимальное число клиентов для одного ViPNet [Координатора]
40-80 байт 32 LAN 5-10 % DialUp 12-15 % Не ограничено Windows — 50 Linux - 300
Преимущества применения технологии ViPNet
ViPNet — программный комплекс, что определяет гибкость его применения. Для его внедрения не требуется специального оборудования. Нет необ ходимости изменять топологию существующей сети. Технология позво ляет легко подбирать набор необхо димых комплектаций для удовле творения по требностей клиента. Драйвер ViPNet работает на уровне IP-пакетов, до того, как они передаются стандар тному стеку TCP/IP, поэтому он контролирует весь IP-трафик, поступающий в сеть и из сети, и обеспечивает прозрачную защиту для любых прило жений. Наличие сер тификата Гостехкомиссии позво ляет использовать техноло гию ViPNet в государственных и иных
структурах, где законодательство требует применение сертифицированных средств защиты о т НСД. Используемые симметричные ключи длиной 256 бит га рантинуют высокую степень защиты информации. В техноло гии ViPNet реализован персональный сете вой экран, что дает возможность осуществлять защиту ресу рсов, непосредственно на рабочей станции. Эта тех нология позволяет без дополнительных расхо дов защи щать мобильного пользователя PC, разделять дос туп между PC внутри одной локальной сети, ставить систему на отдельные компьютеры в распределенных локальных сетях. Технология ViPNet позволяет обеспечить защищенное, удаленное обновление версий программного обеспечения, справочников доступа и ключей рабочих станций виртуальной сети. В техно логии ViPNet реализован оригинальный режим защиты «бумеранг», который предоставляет пользователю возможность установить инициативное соединение с каким-либо о ткрытым ресурсом в сети Интернет/Интранет и при этом исключить возможные информационные атаки от других источников, соединение с которыми не было инициировано пользователем. Технология имеет набор собственных программных пр иложений, для осуществления защищенного документооборота и менеджмента.
8.23. Система централизированного управления RealSecure Site Protector [^] Система RealSecure SiteProtector, разработанная компанией Internet Security Systems, Inc., является средством управле ния всей системой информационной безопасности кру пной компании. Система RealSecure SiteProtector обеспечивает не только централизованный сбор и анализ информации от различных средств защиты, испо льзуемых в организации, но и управление ими, вклю чая их контроль, в реальном режи ме времени.
Рис. 31. Система централизованного управления всей системой информацио нной безопасности компании RealSecure SiteProtector
Система RealSecure SiteProtector позволяет собирать дан ные от систем анализа защищенности, систем обнаружения атак, межсетевых э кранов и других средств защиты, располо женных в различных местах территориально-распределенной корпоративной сети, ч то позволяет «окинуть взглядом» безопасность всей сети в целом. При помощи данной системы персонал, о твечающий за обеспечение информационной безопасности, сможет концентрировать свое внимание на основных проблемах, связанных с уязвимостью наиболее критичных участков и узлов корпоративной сети. Обсуждаемая версия системы RealSecure SiteProtector позволяет управлять с единой консо ли следующими средствами: • системы анализа защищенности на уровне сети Internet Scanner; • сенсоры системы обнаружения атак RealSecure — Net work Sensor, Server Sensor и RealSecure for Nokia; • BlacklCE Agent (в версии 1.1); • BlacklCE Sentry (в версии 1.1); • BlacklCE Sentry Gigabit (в версии 1.1); • BlacklCE Guard (в версии 1.1). В новых версиях системы RealSecure SiteProtector будут поддерживаться и остальные продукты компании Internet Security Systems, а также ряд других средств по защите информации, произведенных другими компаниями — межсетевые экраны (включая персональные), антивирусные средства, си стемы построения VPN и т. д.
Модульная ар хитектура системы RealSecure SiteProtector позволяет по дключать к ней различные модули (p lug-in), расширяя спектр ее применения за счет добавления новых возможностей по управлению информационной безопасностью предприятия. Один из таких моду лей, Security Fusion Module, позволяет коррелировать информацию об атаках и уязвимостях, обнару женных системами анализа защищенности и обнаружения атак компании ISS. Данный модуль прогнозирует также веро ятность успешного нанесения ущерба атакам, реализуемым внешними и вну тренними злоумышленниками. В зависимости от сопутствующих атаке или уязвимости событий, модуль Security Fusion может повысить или понизить степень риска данной атаки или уязвимости, что позволит не обращать на них внимания администратора или, наоборот, привлечь его. Мощные возможности анализа, реализованные в системе RealSecure SiteProtector, позволяю т своевременно ответить натакие интересующие любого администратора безопасности вопросы, как: • текущее состояние безопасности; • «горячая десятка» злоумышленников, атак и уязвимос-тей в вашей организации; • ресурсы, часто подвергающиеся атаке или нахо дящиеся по д действием атаки в данный момент; • наиболее уязвимые узлы вашей сети; • скоординированные атаки; • успешные атаки злоумышленников. Расширенная система разграничения доступа позволяет разделить обязанности по управлению и контролю за различ ными компонентами системы RealSecure SiteProtector. Например, администратор безопасности может конфигурировать систему RealSecure SiteProtector и управляемые ею компоненты (RealSecure, Internet Scanner и т. д.), оператор - отслеживать события о т этих компонент в реальном режиме времени, а ана литики - делать отчеты и анализировать собранные данные. Система RealSecure SiteProtector автоматизирует процесс удаленной инсталляции компонент, входящих в семейство RealSecure , что приводит к существенному облегчению труда администратора и высокой масштабируемости решений ком пании ISS. Данный механизм реализуется за счет техно логии Package Installation Manager, которая позволяет устанавливать на удаленные узлы сенсоры RealSecure и агенты System Scanner без «личного присутствия» администратора. База данных сигнатур, уязвимостей и других обнаруживаемых событий системы RealSecure SiteProtector содержит подробную
информацию о каждом из них, включая: • пошаговые рекомендации по устранению возможности их реализации и использования, • подверженных атаке или уязвимости операционных системах и приложениях, • примеры ложных срабатываний, • дополнительные ссылки на патчи и обновления, устраняющие данные проблемы и т. д. Сбор данных может осуществляться как интерактивно (по запросу администратора), так и по расписанию или после наступившего события. Система RealSecure SiteProtector поддерживает единое время для всех своих агентов, что поз воляет независимо от часовых поясов, в которых установле ны контролируемые системы защиты, анализировать собираемые события безопасности и обнаруживать скрытые взаимосвязи, Единая база данных событий безопасности ( RealSecure SiteProtector Enterprise Database) хранит всю информацию, собираемую управляемыми компонентами. Также в данной БД хранятся результаты исследования и знания группы экспертов X-Force компании ISS. Именно данная группа специалистов изучает новые уязвим ости в программно-аппаратном обеспечении и методы, используемые злоумышленниками для реа лизации различных атак. Указанная база данных может функционировать по д управлением СУБД MS SQL Server или Oracle. Система RealSecure SiteProtector эффективно работает в условиях динамического изменения адресов (по протоколу DHCP) и абсолютно точно идентифицирует контролируемые узлы даже в случае изменения их адреса. RealSecure SiteProtector обладает мощной системой генерации отчетов, позволяющей создавать их в у добном для пони мания виде. Эти о тчеты могу т быть экспортированы в более чем 30 различных форматов представления данных (HTM L, Excel, ODBC, Lotus, Word, CSV и т. д.). Вся информация в отчетах может быть отсортирована по различным признакам (на пример, фильтрация событий, связанных с атакой, по адресу источника или получателя, дате/времени события, названию и степени риска события, сенсору или варианту реагирования). Помимо функции фильтрации данных в отчетах RealSecure SiteProtector позволяет создавать отчеты по событиям, которые произошли во время отсутствия оператора на рабочем месте или в то время, когда консоль управления была выключена. В RealSecure SiteProtector могут быть созданы более 90 различных отчетов дву х следующих категорий:
Отчеты, объединяющие информацию об уязвимостях, атаках и событиях безопасности, полученных от межсете вых экранов. Основанные на разнородной информацииэти о тчеты содержат рейтинги безопасности узлов корпоративной сети, сравнения э тих рейтингов и т. п. Отчеты, консолидирующие сведения о т указанных средств защиты. На основе этих данных можно получать отчеты об узлах, защищенность которых не проверялась; периодически повторяющихся атаках; скоординированных и распределенных атаках; атаках, пропущенных межсетевыми экранами; наиболее часто атакующих и атакуемых узлах и т. д. Аналогично сбору данных, генерация о тчетов также может быть выполнена интерактивно, по расписанию или в результа те наступившего события. После генерации, созданные отчеты могут быть со хранены на локальном диске, в сети (в том числе и Internet) или разосланы всем заинтересованным лицам в защищенном от несанкционированного ознакомления виде. Информация в отчетах представлена в удобном для понимания виде и может быть экспортирована в различные форматы представления данных (например, Crystal Report, HTM L, Wsrd). В системе RealSecure SiteProtector реализован механизм X-Press Update, который позволят автоматически и своевременно получать обновления базы данных уязвимостей, атак и событий безопасности о т межсетевых экранов или иных компонентов (например, новых отчетов) с Web-сервера по защищенному от несанкционированного доступа каналу.
8.24. Оснащение объекта техническими средствами защиты и контроля информации [^] Оказание услуг по защите объектов о т у течки информации по техническим каналам является одним из основных направлений деятельности специализированных компаний. В насто ящее время специалисты таких компаний способны оказывать полный комплекс услуг в области защиты речевой информации на объекте заказчика. Защита информации - задача, понятно, комплексная. Нельзя защищаться по одному каналу, пренебрегая другими. Для эффективной защиты нужно закрывать все реально существующие на объекте каналы утечки информации.
Требования к системе защиты речевой информации в пределах помещения. Такая система защиты должна обеспечить: • Оперативное выявление активных радиомикрофонов, занесенных в помещение, имеющих традиционные каналы передачи информации (FM, SSB, дельта-моду ляция). • Противо действие выявленным радиомикрофонам с традиционным каналом передачи информации. • Противо действие кабельным микрофонам. • Оперативное выявление каналов передачи радиостето скопов (FM, SSB, дельта-моду ляция). • Противо действие кабельным и радиостетоскопам. • Оперативное выявление УЗ-передатчиков, использую щих для передачи сеть 220 В/50 Гц. • Противо действие сетевым УЗ-передатчикам. • Противо действие направленным микрофонам. • Противо действие « лазерному» съему информации. • Оперативное выявление нелегально используемых дик тофонов. • Противо действие нелегальной записи информации на диктофон. • Блокировку ПЭМ ИН офисного оборудования. • Блокировку ведения фотовизуальной и оптико -электронной разведки. • Разграничение доступа в помещение. • Аудио-видеомониторинг и регистрацию процесса переговоров. Кроме предложенных технических мер по блокировке ка налов утечки информации в помещении, необ ходимо: • провести работы по акустической изоляции (заделать име ющиеся щели и отверс тия); • наклеить на стекла защитные пленки, исключающие пря мой просмотр обстановки из-за границ объекта; • проводить поисковые работы по выявлению технических средств перехвата речевой информации перед проведением особо важных переговоров; • исключить возможности перехвата информации, обрабатываемой на ПЭ ВМ, за счет использования аппаратуры регистрации и анализа побочных излучений компьютера; • возможности перехвата информации в телефонных ли ниях за счет использования нарушителем соответствующей аппаратуры. Система защиты должна также обеспечить:
• Противо действие системам перехвата информации, об рабатываемой на ПЭ ВМ, по каналу ПЭМИН. • Противо действие попыткам несанкционированного до ступа к информации, хранящейся на жестком диске ПЭ ВМ. • Противо действие перехвату информации, передаваемой по телефонным линиям. При проведении работ по созданию системы защиты информ ации Первым этапом является изучение объекта. На нем Заказчик представляет Испо лнителю информацию, касающуюся функционирования своего объекта. На основе предоставленной информации осуществляется инженерный анализ объекта. В результате этих работ делаю тся выво ды о наиболее уязвимых с точки зрения защиты информации местах строительных конструкций объекта. Инженерный анализ является теоретичес ким этапом работ. Обычно исхо дная информация Заказчика не дает полного представления об объекте. Особенно это касается описания помещений и установленных в них технических средств. С целью выявления всех каналов утеч ки информации на объе кте Заказчика производится инс трументальная проверка. Э та работа состоит из определения, естественных и искусственных каналов утечки информации: Выявление естественных (функциональных) каналов утечки информации заключается в определении по тенци альной возможности перехвата информации из помещений объекта. Естественные каналы объективно присутствуют на любом объекте и обусловлены различными физическими процессами обработки и передачи информации. Несмотря на то, что данные каналы существую т вне зави симости от действий нарушителя, их выявление и оценка очень важны для построения эффективной системы защи ты информации. Выявление искусственных (специальных) каналов утеч ки информации заключается в обнаружении на объекте по дслушивающих устройств и систем. Эти каналы созда ются нарушителем специально с целью перехвата информации и неизбежно ведут к утрате информации. Хотя для последу ющей разработки системы защиты информации данный вид работ не особенно важен, в любом случае необхо димо знать, прослушивается объект или нет. Следующим шагом по созданию оптимальной системы защиты информации является разработка частной «модели на-
рушителя». Исхо дной информацией для данного вида работ являются результаты инструментальных проверок и описания обстановки на объекте и вокруг него. Важной информацией для разработки модели нарушителя являю тся данные анали тической группы, касающиеся существующих и доступных средств и методов пер ехвата информации, случаев реального хищения информации, сведения оперативного характера о конкурентах, обстановке в колле ктиве и т. д. В хо де работ оцениваются реальные оперативные те хнические возможности нарушителя по перехвату информации с объекта. Под техническими возможностями подразумевается пер ечень различных технических средств, ко торыми может воспользоваться нарушитель в хо де проведения разведопераций. Результатов всех вышеперечисленных работ достаточно для начала следующего этапа - анализа рисков, в ходе которого выявляются все реальные угрозы информационной безопасности объекта. Далее производится их классификация по нескольким критериям: вероятности появления, возможному ущербу и т. д. Таким образом, Заказчик получает полные данные об уровне информационной безопасности своего объекта с указанием основных направлений, откуда могу т исхо дить (или исхо дят) угрозы. На э том первый этап создания системы защиты информации объекта заканчивается. Следующий этап работ — разработка требований к системе защиты информации, которые должны учитывать цели и зада чи, поставленные перед системой, технические требования Заказчика и, конечно, реальные угрозы информационному ресурсу объекта (анализ рисков). Ha основе уже этих требований осуществляется непосредственно разработка системы защиты информации, с использованием наиболее передовых и перспективных мето дов и средств защиты информации. Как и любая другая , система защиты инфо рмации также состоит из нескольких взаимосвязанных частей. Наиболее значимыми являются ее организаци онная и техническая составляющие. Первая из них касается правовых, административных и не которых других вопросов в деятельности фирмы, для него разрабатываются приказы, инструкции и прочие документы, направленные на регламентацию работы фирмы в области информационной безопасности. Нужно учитывать важность да нных мероприятий, так как никакая система защиты не в состоянии нормально функционировать, если она не имеет административноправовой поддержки. Техническая составляющая - э то выбор технических средств защиты информации, отвечающих предъявленным выше требова-
ниям. В конце концов создается проект оснащения конкретных по мещений необхо димой защитной аппара турой различного назначения. Затем устанавливается стои мость требующихся технических средств и услу г по их уста новке и настройке (смета расходов). В итоге заказчик получает обоснованный проект систем ы защиты информации и может приступать к его реализации. Предложенный порядок действий реализуется с те ми предприятиями, ко торые не используют в своей деятель ности сведения, составляю щие государственную тайну, поскольку в противном случае алгоритм работ несколько меня ется. А именно: в него добавляю тся аттестация объекта ин форматизации, специсследование технических средств и вы дача предписаний по их эксплуатации. Распределенные системы наблюдения Подобные системы масштаба одного или неско льких предпр иятий, учреждений, магазинов и др.; в одном или нескольких городах необ ходимы для того, ч тобы обеспечивать: - контроль безопасности на про ходных и въездах; - о хранное наблю дение периметра и территории; - безопасность производственных процессов; - общую безопасность в служебных, складских и других помещениях; - контролирование разгрузочных и погрузочных работ и других быстротекущих процессов. Реализовать все эти функции возможно, если: 1. Расположенные в разных местах предприятия компо ненты распределенной системы с максимально доступной скоростью будут предоставлять информацию как общей службе безопа сности, так и о тделам на местах, контроль ным органам и руководству. 2. Для сильно разнесенных в пространстве предприятий, и др угих объектов, не имеющих распределенной сети до ступа с высокоскоростными каналами связи, всегда воз можно будет ее (сети) специальное и своевременное создание. Будет в наличии необ хо димое техническое оборудование: A. Видеосерверы с сетевыми функциями в индустриаль ном, стандартном или компактном исполнении. Высоко скоростное сетевое оборудование для сетей Ethernet 100 Mbit. Программное обеспечение Sivineya UNI-system. Видеокамеры и аксессуары в зависимости о т конкретных требований. Б. Видеосерверы со встроенными сетевыми возможностями (сетевые адаптеры или модемы). Сетевое оборудование для ко м-
мутируемых сетей, выделенные или использующи еся телефонные линии связи, выделенные Internet каналы, другие цифровые линии связи. Программное обеспечение Sivineya UNI-system. B. Видеосерверы со встроенными сетевыми возможностя ми. Сетевое оборудование для выделенных каналов связи. Программное обеспечение Sivineya UNI-system. Для организации цифровых каналов связи. 1. Модемы для коммутируемых телефонных линий - ско рость передачи до 56 кбит/с — расстояние не ограничено. 2. Модемы xDSL для выделенных линий со скоростю передачи до 8 Мбит/с до 7 км. 3. Коаксиальные кабельные сети Ethernet со скоростю передачи до 10 Мбит/с до 300 м. 4. Коаксиальные кабельные сети Iolanet со скоростю передачи до 25 Мбит/с до 1200 м. 5. Кабельные сети «витая пара» Ethernet со скоростю передачи до 100 Мбит/с до 100 м. 6. Оптоволоконные сети FiberOptic со скоростю передачи до нескольких Гбит/с до неско льких со тен километров. 7. Радио оборудование со скоростю передачи до 11 Мбит/с до 25 км. 8. Оптическое беспроводное оборудование со скоростю пер едачи до 155Мбит/с несколько километров. 9. Спу тниковое оборудование со скоростю передачи до не скольких Мбит/с расстояние не ограничено. 10. Другие средства. Все расстояния здесь указаны для соединений без повтори телей и усилителей. Sivineya™ UNI-system - одна из таких распределенных си стем наблюдения, представляю щих собою соответствующее комплексное решение для предприятий от среднего размера до глобальных корпораций. С помощью такой системы где бы Вы ни были, и как далеко ни находились бы Ваши предприятия друг от друга, Вы всегда сможете оценить ситуацию в целом, вникну ть в детали и вовремя остановить нарушения. Испо льзование готовых сетевых те хнологий на базе глобаль ных сетей W EB минимизирует затраты на объединение в комплекс сети предприятий в масштабах города, страны или глобально. Системы аудиорегистрации Эхолот Специалистам известно, что применение только компьютер ных
систем видеорегистрации малоэффективно без аудиозапи си с последующем анализом тех или иных событий зафиксированным недремлющим оком цифровой системы видеонаблюде ния. Для решения данной задачи на рынке систем безопасности, имеется немало разнообразных цифровых аудио и видео регистраторов, о тличающихся по цене, просто те использования и уп равления. В качестве основных критериев выбора в таких случаях должны выступать: надежность системы цифровой видео и аудиорегистрации, зако нченная конфигурация ее (протести -рованность и адаптированность системы под решение конкретной задачи), возможность получении своевременной технической поддержки со стороны производителя, и конечно разумная ценовая политика на данный вид про дукции. На российском рынке широко известна сегодня по требителю как наиболее надежная и доступная система цифровой видео - и аудиорегистрации система компании DSSL. Программно-аппаратный комплекс этой компании для аудиорегистрации Э холо т - новое слово в аналогичных систе мах данного класса (см. таб л. 4). У этой системы лучшее и уни кальное соотношение цена-качество. Цифровая система аудиорегистрации Эхо лот - это программно-аппаратный комплекс, испо льзующий новейшие техно логии обработки и ана лиза аудио данных. Задачи, решаемые системой Э холо т: • контроль и оценка работы персонала; • документирование сдело к и соглашений, создание ар хи ва переговоров; • контроль утечки информации; • оценка внештатных ситуаций, восстановление картины развития событий; • анализ рекламной кампании. Контролируемые источники информации: • телефонные линии (ау дио, факсимиле); • радиоканалы (аудио интерфейс); • различные анало говые и цифровые датчики, микрофоны. Преимущества комплекса: • высокая надежность и стабильность работы; • расширяемость, легкость установки и удобство э ксплуатации; • постоянное совершенствование аппаратной части и пр ограммного обеспечения; • бесплатное обновление версий ПО и техническая под держка о т произво дителя. Варианты комплектации: • комплекс 2—12 каналов на базе стандар тных зву ковых плат;
• комплекс до 32 каналов на базе специализированных многоканальных плат ввода аналоговых сигналов с АЦП; • дополнительно поставляемые комплектующие и ПО: архивный накопитель — встроенный дисковод или CD диск для автоматического создания и хранения ар хивов, собранных по вашему усмотрению по интервалу дат, по номеру канала, по источнику. защита по питанию — комплектация блоком бесперебойного питания, при аварии корректно закрывает все файлы, исключая потерю данных из -за пропадания на пряжения питания. воспроизведение и запись с удаленной точки - работа с архивом и воспроизведение данных на другом компью тере (сетевом), регистрация от у даленного источника. Рабочие характеристики: • хранение всех записей в виде базы данных с у добным представлением на э кране даты, времени, номера и имени канала, определенного вхо дящего или набранного абонен том телефонного номера; • сортировка, отбор записей по заданным критериям, не зависимая настройка каналов; • просмотр событий источника по всем каналам в реаль ном времени • архивация записей на сменные носители; • автоматическая активизация и остановка процесса запи си по настройкам; • автоматическая регистрация всех параметров соедине ния; • использование любого редактора для перевода инфор мации в текстовый формат; • поддержка сетевой (распределенной) ар хитектуры; • выравнивание уровня записи; • выбор подходящего алгоритма сжатия данных по каждо му каналу (до 2,24 мб/час) и часто ты «оцифровки» сигнала (8000,11025,22050, 44100 Гц); • наглядный, дружественный интерфейс; • контроль степени запо лнения носителей; • вход в «звуковую дорожку» с любого места и быстрый «групповой» просмотр. Система построена на базе стандартного компьютера и представлена двумя базовыми версиями: 1. комплектация 1 — 6 звуковыми картами для записи о т 2 до 12 аналоговых источников; 2. комплектация платой ввода аналоговых сигналов для за писи
до 32 источников. В многопользовательском исполнении число записывае мых каналов ограничено сетевой архитектурой. Для таких си стем возможно создание нескольких дополнительных рабочих мест по о бработке и воспроизведению информации. Системы комплектую тся встроенными накопителями на сменных дисках, записываемыми CD для создания долговременного архи ва хранения данных. Таблица 4 Основные технические характеристики комплекса Э хо лот. Операционная система Т/2000/МЕ/98 Защита от несанкционированно го доступа Входное сопротивление канала
Аппаратная/программная
Частотный диапазон
300 - 3400 Гц
1МОм
Динамический диапазон, дБ, не менее Не менее 60 Подключение Поток записи данных по каналу (при максимальном сжатии), байт/с Алгоритм сжатия Разделение между каналами
Параллельно источнику 600 Любые доступные алгоритмы Windows Не менее 60 дБ
Главной особенностью данной системы является совмест ная работ ее с цифровой системой видеорегистрации, Siv ineya, что позволяет осуществлять успешный аудио- и видеоконтроль объектов. Аппаратное построение системы Э холот может быть выполнено в дву х вариантах: как на базе стандартных ау -диобластеров, так и в виде одноплатового решения на базе L-card, причем, на одну плату будет прихо диться до 32 каналов, при этом програм мная часть бу дет оставаться неизменной.
Рис. 32. План-схема организации системы аудиорегистрации Эхолот
Основные достоинства системы очевидны: высокое качество записи аудиосигналов с использованием новейших алго ритмов сжатия аудиоданных; наличие программно-аппаратного комплекса для определения как вхо дящих, так и исхо дящих телефонных номеров и факсов; быстрое масштабирование системы и ее стабильная, не требующая больших ресурсов от системы в целом р абота. Следует также сказать и о том, что Э холо т имеет телефон ный адаптер на два канала помогающий записывать как городские, так и внутренние телефонные линии, простой и ин туитивно понятный интерфейс программы. Система обладает возможностью быстрого наращивания себя, при э том качество обработки сигналов, останется неизменно высоким, есть также возможность запис и с использованием голосового старта и параллельная работа в тандеме с цифровой системой видеорегистрации «Sivineya ™». А такие свойства, как мгновенный доступ к архиву, поиск и возможность сохранения для по следующей обработки и анализа аудиофайлов, «скрытые» версии ПО - обеспечиваю т конфиденциальность работы с систе мой Эхоло т. К настоящему времени разработано достаточное большое число отечественных и зарубежных програм мно-технических средств защиты в ИИСУП. Выбор тех или иных из них должен осущест вляться в результате тщательно го анализа: особенностей конкретно го предприятия; выбранной политики безопасности; принятого на предприятии характера управления; возможности использования каких-либо средств, опре-
деляющих степень защиты предприятия; уровня соответствия выбранных программно-технических средств документам и рекомендациям, разработанным Госте хкомиссией при Президенте РФ и другими государст венными органами по защите информации.
9.Система защиты информации в SAP R/3 [^] 9.1. Служба безопасности SAP R/3 [^] Система защиты информации в SAP R/3 должна обеспечивать: аутентификацию (установление по длинности пользова ния), авторизацию его (разрешения, по лномочия), целостность, требования секретности, имеющейся или обрабатывае мой информации; безотказную работу системы информационного обслуживания, разнообразные операции по необ ходимым ревизиям и регистрациям (Рис. 33). Аутентификация (установление подлинности), авториза ция (разрешения, полномочия) пользователя произво дится на уровне соединения: - между клиентским местом R3 и системой (сервером приложений ) R3: SAPgui SAP System (Application Server) Целостность, секретность обеспечивается на уровне со единений: - между двумя сегментами ЛВС: SAProuter SAProuter - между внешней программы и системой R3: Ext. Program SAP System RFC Ext. Program SAP System CPIC - между двумя системами R3: SAP System SAP System RFC SAP System SAP System CPIC - между системой R3 и внешней не -SAP R3 системой: SAP System Ext. RFC Program RFC SAP System Ext. CPIC Program CPIC - между системой R3 и системной печатью : - SAP System SAPlpd - между Интернет-системами и системой AP R3: - ITS SAP System Регистрация и ревизия осуществляю тся с помощью Центра сертификации и контроля системы.
Рис. 33. Структурная схема служб безопасности R/3
9.2. Подключение ядра шифрования фирмы CryptoPro к компонентам mySAP.com через модифицированный MSNC-адаптер [^] MSNC-адаптер предназначен для подключения ядра шифрования фирмы CryptoPro к компонентам mySAP.co m для создания безопасного соединения между компонентами систе мы. Структурная схема подключения MSNC-адаптера к компонентам mySAP.co m показана на рис. 34.
Рис. 34. Схема подкл ючения ядра шифрования фирмы CryptoFYo к компоне нтам mySAP.com компании SAP с помоь ю MSNC-адаптера
MSNC-адаптер основан на Win32-интерфейсе SSPI Schannel. Это позволяет использовать в качестве ядра шифро вания любые средства шифрования, имеющие соответствующий интерфейс. Именно таким способом подключается продукт фирмы CryptoPro. Сам адаптер представляет собой соединение дву х независимых модулей — SNC-wrapper и GSS-биб лиотека. SNC-wrap -рег — э то библиотека, с помощью которой можно построить SNC-адаптер на любом GSS-модуле. GSS-моду ль - э то биб лиотека, реализующая GSS-интерфейс к функциональности SSPI-Schannel. К особенностям адаптера следует отнести его распределен ную архитектуру. По сути его реализация может состоять из дву х ко мпонент: RPC GSS-клиента и RPC GSS-сервера. Эта особенность позволяет (с ориентацией на Windows-платформу) подключать алгоритмы шифрования к серверам приложе ний SAP R/3 развернутым на Unix-системах. Однокомпонентная версия MSNC-адаптера может испо льзоваться для подключения к компонентам SAPGUI, SAPLPD, SA PROUTER, SAP ITS. Распреде ленная реализация используется для активации безопасного сетевого соединения (SNC) на серверах приложений my SAP.co m. MSNC-адаптер — программное средство защиты информации, предназначенное для связи распределенных компонентов системы mySA P.co m с ядром шифрования «КриптоП-ро CSP». В качестве такового он обеспечивает безопасную сетевую связь между компонентами системы mySAP.co m (SAP System, SAPgui, SAProuter, SAPlpd, ITS, RFC-connections), а также выполнение следующих функциональных вы зовов: • инициализация M SNC-адаптера; • создание среды единственного предъявления пар оля; • обеспечение безопасного контекста; • безопасность сообщений; • поддержка сервисных функций. MSNC-адаптер использует в своей работе средство криптографической защиты, сер тифицированное государственным органом по защите информации и функционирующее в следу ющих операционных системах: • Windows 98, • Windows 2000, • Windows NT 4.0. MSNC-адаптер поддерживает интерфейс Microsoft Security Support Provider Interface (SSPI) и использует Security Channel (Schannel) для обращения к сервису криптографических функций. MSNC-адаптер использует также Центр Сертификации от-
крытых ключей Х.509 — Microsoft Certification Authority для обеспечения: • генерации секретных (256 бит) и открытых (1024 бита) ключей ЭЦП и шифрования; • формирования секретных ключей на различных типах носителей; • генерации ключей с различными параметрами в соответствии с ГОСТ Р 34.10-93 («Информационная техноло гия. Криптографическая защита информации. Система электронной цифровой подписи на базе асимметричного криптографического алгоритма.»). MSNC-адаптер применяются для: • хеширования данных в соответствии с ГОСТ Р 34.11-93 («Информационная технология. Криптографическая за щита информации. Функция хэ ширования»); • шифрования данных во всех режимах, определенных ГОСТ 28147—89 (« Системы обработки информации. Защита крипто графическая»); • имитозащиты данных в соответствии с ГОСТ 28147-89; формирования электронной цифровой подписи в соответ ствии с ГОСТ Р 34.10-93; • реализации мер защиты от НСД ключевой информации пользователя. Тестирование MSNC-адаптера и SNC-соединений с компонентами mySAP.co m производится по программе тестирова ния SAP TestPlan. В основу тестирования положена программа SAP GssTest. Тестирование проводится в наиболее «жестких» режимах максимальный диапазон буфера при тестировании функции ши фрования, с включенной опцией симуляции пользовательских ош ибок и ошибок приложения.
9.3. Создание центра сертификации Windows 2000 на базе криптографического ядра фирмы CryptoPro [^] В этом случае на сервере СА производится инсталляция ПО Центра Сертификации на базе служб сертификации Windows 2000 Server, (структурная схема его представлена на рис. 35). Центр Сертификации отвечает за выпуск цифровых сертификатов и управление ими. Центр Сер тификации позво ляет решать такие задачи, как: • обработка запросов на сертификаты (вхо дной м оду ль); • проверка правомочности обращающихся за сертифика том (модуль по литики);
• создание и выпуск сертификатов для запросивших сертификат и прошедших проверку на правомочность (ядро служб сертификации); • периодическая публикация списков отозванных сертификатов (выхо дной моду ль); • сохранение всех транзакций с сертификатами в «следе» аудита (база данных сертификатов). Компоненты служб сер тификации до лжны работать совме стно с интерфейсом CryptoAPI и криптопровайдером CryptoPRO CSP. Чтобы стало возможным, производится инсталляция ПО CryptoPro CSP на сервере СА для обеспечения таких крипто-услуг, как:
Рис. 35. Структурная схема Центра Сертификации на базе криптограф ического ядра фирмы CryptoFro
авторизация и подтверждение юридической значимости электронных документов при обмене ими между пользова телями, посредством процедур формирования и провер ки электронной цифровой подписи (ЭЦП) в соответствии с отечественными стандар тами ГОСТ Р 34.10-94, ГОСТ Р 34.11-94; соблюдение конфиденциальности и контроль целос тно сти информации посредством ее шифрования и имитоза-щиты в соответствии с ГОСТ 28147-89; контроль целостности, системного и прикладного про -
граммного обеспечения с целью его защиты от несанкционированного изменения или от нарушения правильности его функционирования; управление ключевыми элементами системы в соо тветствии с регламентом средств защиты. Основные функции, реализуемые «CryptoPro CSP» : генерация секретных (256 бит) и открытых (1024 бита) ключей ЭЦП и шифрования; формирование секретных ключей на различные типы нос ителей; возможность генерации ключей с различными параметрами в соответс твии с ГОСТ Р 34.10-93 (« Информационная технология. Криптографическая защита информации. Система элек тронной цифровой подписи на базе асимметричного крипто графического алгоритма»); • хеширование данных в соответствии с ГОСТ Р 34.11—93 («Информационная техно логия. Криптографическая за щита информации. Функция хэ ширования»); • шифрование данных во всех режимах, определенных ГОСТ 28147-89 («Системы обработки информации. Защита криптографическая»); • имитозащита данных в соответствии с ГОСТ 28147-89; формирование электронной цифровой по дписи в соответствии с ГОСТ Р 34.10-93; • опциональное использование пароля (пин -ко да) для дополнительной защиты ключевой информации; • реализация мер защиты от НСД ключевой информации пользователя. Длина ключей шифрования: • сессионный ключ для шифрования по ГОСТ 2814789-256 бит; • секретный ключ — 256 бит; • открытый ключ — 1024 бита. Типы ключевых носителей: • дискета 3,5»; • процессорные карты MPCOS-EM V и российские ин теллектуальные карты (РИК) с использованием считыва теля смарт карт GemPlus GCR-410; • таблетки Touch-Memory DS1993 - DS1996 с испо льзованием устройств Аккорд 4+, электронный замок «Со боль» или устройство ч тения таб лето к Touch-Memory DA LLAS; • USB-ключ eToken;
• реестр Windows. Для обеспечения безопасного трафика (между клиентом и сервером) процесса аутентификации и шифрования производится инсталляция ПО CryptoPro TLS на сервере С А. «CryptoPro TLS» - это протокол, базирующийся на протоко ле TLS v. 1 и российских стандар тах крипто графической защиты, и реализованный в Сре дстве Криптографической Защиты Информ ации (СКЗ И). Протокол предназначен для обеспечения криптогр афическими средствами ау тентифика ции отправителя (клиента) адресата (сервера), контроля целостности и шифрования данных информационного обмена. Аутентификация опционально может быть о дносторонней (ау тентификация сервера клиентом), взаимной (встреч ная аутентификация сервера и клиента) или вообще не ис пользоваться. В механизме защиты реализации протокола « CryptoPro TLS» применяются криптографические алгоритм ы шифрования в соответствии с Г ОСТ 28147-89, обмена ключей по алго ритму ДиффиХеллмана и хэ ширования в соответствии с ГОСТ Р 34.11 -94. В случае использования клиентом эфемерной пары секретного/открытого ключей для верификации о ткрытого ключа эф емерной пары применяются алгоритмы выработки и про верки электронной цифровой подписи в соответствии с ГОСТ Р 34.10-94 или ГОСТ Р 34.10-2001. Программное обеспечение «CryptoPro TLS» - э то реализа ция протокола TLS с использованием криптографических функций «CryptoPro CSP» для обеспечения процессов: аутентификации и шифрования трафика между кли ентом и сервером; шифрования информации; контроля целостности информации. Производится также инсталляция центра сертификации (Windows 2000 + CryptoPro) как корневого изолированного центра сертификации. Осуществляется настройка службы сертификатов стандар та Х.509 на основе шаблонов и в соответствии с политикой. И, наконец, осуществляется в интересах информационной безопасности проверка работы SNC соединений с испо льзо ванием центра сертификации.
9.4. Настройка служб безопасности R/3 [^] Если используется безопасная сетевая связь ( Secure Network Co mmunicat ions-SNC) и внешняя программа защиты то для на-
стройки служб безопасности R/ 3 можно использовать среду (окружение, environment) единственного предъявления пароля ( Single Sign-On). Среда единственного предъявления пароля до лжна быть установлена внешней программой защиты ( SNC использует э ту среду). С единственным предъявлением пароля ваши по льзователи должны ау тентифицироваться только однажды, даже если они работают на неско льких системах. С э той целью пользователи по дключаю тся к внешней программе защиты; программа защиты создает «мандат» (credential) информации для пользователей, который далее обеспечивает доступ к различным другим системам R/ 3. Ко гда пользователь обращается к системе, которая защищена пр ограммой защиты, например, системой R/3, он автоматически вхо дит в эту систе му поскольку последняя располагает соответству ю щей аутен-тификационной информацией о нем, принимаемой от программы. Программа не посылает никакой парольной инфор мации по сети, а лишь о дну проверочную информацию (verification), аутентифицирующую пользователя. SNC обеспечивает не только единственное предъявление пар оля; но также дополнительную целостность и защиту сек ретности передаваемых данных. Однако для э того требуется ис-по льзование SAP-сертификатов внешней программы защиты. Для среды «единственного предъявления пароля» по д W indows NT, можно использовать M icrosoft NTLMSSP (NT LA N Manager Security Support Provider) в качестве поставщика безо пасности. В зависимости от используемой SNC программы безопасности можно применять и смарт-карты для аутентифика -ционных целей (необ ходима правда, именно внешняя программа по безопасности, чтобы использовать смарт-карты, посколь ку не каждая программа по безопасности поддерживает их). Со смарт-картами ау тентификационная информация пользова теля со храняется на его или ее персональной карте (плате). Та кие кар ты также нередко защищаются с помощью PIN (Personal Identificat ion Nu mber — персонального идентификационного номера). В таких случаях, поскольку пользователь владеет картой, а также знает PIN, шансы на то, что кто-то скопирует или конфискует информацию минимальны. При аутентификации со смарт-картой, нет необ ходимости передавать парольную информацию по сети. Хотя ау тентификация имеет место вне сис темы R/3 с единственным предъявлением пароля, защита пол номочий все еще происхо дит в пределах системы R/3. Система полномочий. R/ 3 выпо лняет проверку по лномочий, когда по льзователи пытаю тся выпо лнять программы или транзакции. При проверках полномочий R/ 3 у достоверяется в том, ч то пользователь имеет соответствующие разрешения в своей главной
записи пользователя (user master records), перед тем, как позво лить пользователю двигаться дальше. Имеется несколько различных типов проверок полномочий, которые включаю т: Авторизацию запуска транзакции R/3. По льзователь до лжен иметь соответствующее разрешение для запуска транзакции. Э то применяется к транзакциям, запускаемым из меню или вы зываемым из командной строки. Специфическую авторизацию для транзакции. Помимо проверки полномочия на запуск транзакции, SAP транзакции защищены дополнительной проверкой полномочий. Когда создаю тся собственные транзакции, можно назначать дополнительную проверку полномочий. Один из методов состоит в том, чтобы назначить специфичную авто ризацию для транзакции. Он по лезен в том случае, если нужно защитить транзакцию с единственной авторизацией. Если дело обстоит не так, то необ ходимо пользоваться другими доступными методами. Проверку полномочий (authority-check) на уровне программ. Таким образом, можно защищать индивидуальные программы на уровне кода. Программы SAP используют этот метод также для защиты собственных разработок. Классы отчетов и таблицы групп авторизации. Дополнительно к проверке полномочий по программам или транзакциям, можно назначать отчеты по классам отчетов и по таблицам групп авторизации. Другими словами, пользова тели могут обращаться то лько к тем классам отчетов и группам таблиц, для ко торых они имеют соответствую щие разрешения. Централизованное администрирование пользов ателей. Генератор конфигурации позволяет автоматизировать некоторые процессы и обеспечивает большую гибкость в авторизации. Он позволяет конфигурировать назначения авторизации (полномочий) согласно рабочим ролям, группам деятельности и задачам. Генер атор конфигурации использует нисхо дящий подход для генерации назначений авторизации, начиная с главного меню компании и опускаясь вниз до уровня инди видуальной главной записи пользователя (user master record). Определяется рабочая модель правил, создаются группы деятельности и решается, в каких транзакциях и функциях нуждается каждая роль. Генератор конфигурации обр абатывает и многое другое - включая выбор необхо димых объектов авторизации для различных задач.
Сетевые службы также мож но эффективно использовать в целях защиты. Красноречивый пример - SAProuter. SAProuter - прокси-сервер уровня приложений, который можно использовать вместе с сетевым устройством защиты (firewall) для борьбы с неавторизированным доступом. Сетевое устройство защиты ( firewall) используется в том числе и для запрета нежелательного до ступа к внутренней сети. Правда, желательных соединений, должны быть открыты соответствующие каналы доступа в сетевом устройстве защиты (firewall), через которые эти запросы будут про хо дить. Э ту задачу и призван выпо лнить SA PROUTER как второй эшелон защиты, который сможет управлять досту пом в пределах внутренней сети. SAProuter может принимать или о тклонять запросы, исхо дящие от определенного пользова теля или машины; может также направить запрос то лько на определенную машину. Испо льзуя SAPROUTER вместе с сетевым устройством защиты (firewall), можно эффективно защитить локальную сеть системы R/3 от неавторизированного доступа. В этом же направлении использую тся и такие пр ограммнотехнические средства, как программы внешнего интерфейса SAPgui и др., внешние RFC-программы, сервер печати SAPlpd. Ревизия и регистрация (Audi ting and Logging) на базе Це нтра регистрации. Ревизия и регистрация - важные процессы, также связанные с защитой. Помимо необходимости со хранять некоторую информацию для чисто юридических целей ревизии и журналы регистрации также могут оказаться необ ходимыми при защите системы и событий в самом трэкинга в слу чае возникновения с этим проблем. R/3 сохраняет разнообразные файлы регистрации для системного администрирова ния, мониторинга, решения разнообразных других проблем и аудиторских целей. Информа ционная система контроля (Audit Info System) и файлы регистрации контроля безопасности (Security Audit Log) являю тся частью служб безопасности R/3. Дополнительные файлы регистрации включаю т в себя обячно системные файлы регистрации, статистические отче ты в CCMS (Co mputing Center Management System — вычислительный центр управления системой), документы замены для бизнесобъектов и прикладной регистрации. Безопасные Internet-приложения R/3 с использованием MS NC-ад аптера. Компоненты Internet — приложений (Internet Application Co mponents - IAC) R/ 3 позволяю т по ль зователям выполнять бизнес-функции в R/3, используя браузер Интернет (World Wide Web browser) как интерфейс пользователя вместо SAPgui.
IAC можно использовать для конфигу рирования Web-интерфейсов пользователя на корпоративном уровне идентификации (corporate identity). Возможна также разработка своих собственных компонент Internet - приложений (Internet Application Co mponents). Сервер Internet Transaction Server (ITS) служит для связи между системой R/3 и сетью , эффективной связи несмотря на их технические различия. SNC обеспечивает защиту связей между распределенными компонентами системы R/3. Каждый компонент R/ 3 имеет свой программный уровень, называемый SNC уровнем, который позволяет R/3 интегрироваться с внешней про граммой защиты.R/ 3 связывается с внешней программой, используя стандар тный интерфейс GSS-APIV2 (Generic Security Services Application Programming Interface Version 2 - универ сальный сервис безопасности прикладного программного интерфейса версии 2). GSS-A PI V2 был разработан SAP при участии Internet Engineering Task Force (IETF). Опция SNC позво ляет интегрировать внешние программные средства защиты с R/3 и испо льзовать особенности программы безопасности, ко торые не являются непосредственно доступными в R/3. Поэтому бывает необ хо димо выбирать программные средства защиты, отвечающие требованиям государственных органов по защите информации и ко торые обеспечивают: единственное предъявление пароля; аутентификацию со смарт-картой; шифрование потоков данных между компонентами R/3 (целостность и защита секретности). Внешняя программа защиты не включена в программное обе спечение SAP R/3. Поэтому при внедрении системы SAP R/ 3 появилась необ ходимость включения о течественной внешней програ ммы защиты и сертификации фирмой SAP. В качестве внешней программы защиты, о твечающим требованиям фирмы SAP и требованиям по защите информации государственных органов, было выбрано криптографическое ядро фирмы КриптоПро, аттестованное Государственным органом по защите информации. Для подключения крипто графического ядра к компонентам mySA P.co m разработан программный модифицированный адаптер, названный MSNCадаптером. Начиная с версии 4.0, приложения R/3 могут использовать механизмы безопасного хранения и перемещения (SSF) для защиты произвольных данных в системе R/3. Приложения R/ 3 могут использовать механизмы (Secure Store & Forward Mechanisms) SSF, чтобы гарантировать целостность данных, аутентификацию и ко нфиденциальность. Э ти данные оказы ваются защищенными, даже если они покидают систему R/3. SSF механизм также обеспечен
отечественными криптографическими средствами фирмы «КриптоПро», аттестованны ми Государственным органом по защите и нформации. Для по дключения крипто графических средств испо льзуется MSNC- адаптер.
9.5. Задачи администрирования системы R/3 [^] Одна из важнейших задач администрирования системы R/ 3 обеспечение ее секретности и безопасности системы. Цель э та имеет многоуровневый характер, так как достичь по лной секретности и безопасности всей системы возможно только в том случае, если обеспечен необхо димый режим секретности и безопасности на уровнях: сервера презентации; сети; технических средств и операционной системы; базы данных; пользователей R/ 3. Вну три системы R/3 высокий уровень защиты о т несанкционированного доступа обеспечивается с помощью концеп ции полномочий SAR Концепция по лномочий имеет разрешающий по отношению к объектам смысл и характеризуется: использованием комплексных объектов; иерархической структурой разрешений (мето д ссыло к при создании и изменении полномочий) и распределения задач (ведение полномочий, присвоение их пользователям и т. д.). С использованием данной концепции полномочий SAP была разработана следующая техно логия представления по лномочий в системе R/ 3: определенные полномочия распространяются только на определенные группы по льзователей, при э том каждый пользователь может принадлежать то лько к одной группе пользователей, либо не принадлежать ни к какой группе; полномочия присваиваются только одному типу пользователей, и при вхо де по льзователя в систему осуществляется проверка указанного по льзователя на возможность выполнения им тех или иных задач; должны осуществляться допо лнительные проверки на наличие полномочий при работе с прикладными программами и перед запуском транзакций; действия, направленные на определенные объекты, на пример, на использование данных бу хгалтерско го учета не-
пременно должны быть «по дзащитными», т. е. по льзователь может провести операцию над объектом бу хгалтерского учета , если только у него есть все полномочия на такую операцию. На уровне сервера презентации уровень секретности и безопасности обеспечивается в результате того, что : Неактивные в течение определенного администратором системы времени пользователи автоматически «отключаются» от системы R/3. Делается это, для того, ч тобы никто не мог воспользоваться открытой сессией когда рабочее место остается без присмотра. Благодаря накладываемым администратором определенным ограничениям пароль, вводимый пользователем при вхо де в систему R/ 3, (например, запрещается некото рая комбинация символов в пароле, ограничивается количество неуспешных попыток вво да самого пароля, минимальная длина пароля и т. д.). Путем регулярных проверок на наличие вирусов. Осуществлением защиты от несанкционированного до ступа на уровне операционной системы PC. На уровне сети это же достигается через: деление сети предприятия на несколько подсетей; выделение подсети серверной группы R/3 о т остальной с ети пре дприятия; использование Firewall system; использование SAProuter как части, или дополнения к Firewall system. Ha уровне технических средств и операционной системы: Система R/3 позво ляет иметь на уровне операционной системы только одного пользователя на сервере приложений и дву х пользователей на центральной инстанции. Эти пользователи до лжны быть защищены паролями, которые регулярно меняются и никаких других по льзователей (кро ме суперпользователя операционной системы) не должно быть в это время в продуктивной системе R/3. Файловые системы, директории, файлы на уровне опе рационной системы должны иметь соответствующие права доступа. Сервер R/3 должен быть физически защищен от несанкционированного доступа и возможного разрушения. На уровне пользователей R/3 долж ны осуществляться: защита о т несанкционированного доступа путем наст ройки параметра, отвечающего за пароль суперпользовате ля сис-
темы R/ 3 SAP, регулярный мониторинг неуспешных попыток входа с систему, просмотра полного списка ее сообщений и пользователей и т. д. Разработчик БД и администратор несут ответственность за защиту данных на уровне БД. Поэтому: БД имеет своего собственного суперпользователя и пользователя-администратора. Пароли этих по льзовате лей должны регулярно обновляться только средствами БД. Система R/3 создает и испо льзует только одного пользо вателя на уровне БД. Пароль э того пользователя должен быть защищен о т несанкционированного использования. Необ ходимо соблюдать все меры безопасности при хра нении копий (backup) БД. Удаленный доступ к БД должен быть разрешен только в необхо димых случаях и только по чтению . Доступ к БД должен осуществляться то лько средствами R/3 и исключать доступ к системным таб лицам R/ 3.
10. Сертификация информационных систем [^] 10.1. Основные характеристики технических средств защиты от несанкционированного доступа [^] Основными характеристиками технических средств защи ты являю тся: степень полноты и качество о хвата ПРД реализованных СРД; состав и качество обеспечивающих средств для СРД; гарантии правильности функционирования СРД и обес печивающих ее средств. Полно та и качество о хвата ПРД оценивается по наличию че тких, непротиворечивых, заложенных с СРД правил доступа к об ъектам доступа и мерам их надежной идентификации. При оценке состава и качества обеспечивающих средств для СРД учитываю тся средства идентификации и опознании субъ ектов и порядок их испо льзования, полно та учета дейс твий субъектов и способы поддержания привязки субъекта к его про цессу. Гарантии правильности функционирования оцениваю тся по способам проектирования и реализации СРД и обеспеч ивающих ее српств (формальная и неформальная верификация), а также по с оставу и качеству препятс твующих об хо ду СРД средств (по ддержание целостности СРД и обеспечивающих средств, восстановление после сбоев, отказов и попыток НСД, контроль дис трибуций, возможность тестирования на э тапе эксплуатации). Оцениваемые ИИСУП или СВТ должны быть тщательно документированы. В состав документации включаются «Руко водство пользователя по использованию защитных механиз мов» и «Руководство по управлению средствами защиты». Для ИИСУП и СВТ, претендующих на высокий уровень защищенности, оценка осуществляется при наличии проектной документации (эскизный, технический и рабочий про екты, а также описания процедур тестирования и их результатов). Оценка защищенности СВТ проводится в соответствии с По ложением о сертификации средств и систем вычислитель ной те хники и связи по требованиям защиты информации, Временным положением по организации разработки, изготов ления и эксплуатации программных и технических средств за щиты информации от
несанкционированного доступа в авто матизированных системах и средствах вычислительной техни ки и другим документам.
10.2. Требования по защите информации от несанкционированного доступа для автоматизированных систем [^] Защита информации от НСД является составной частью об щей проблемы обеспечения безопасности информации. Ме роприятия по защите информации от НСД должны осу ществляться во взаимосвязи с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств раз ведки и промышленного шпионажа. В общем случае комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках автоматизированной СЗИ НСД, у словно состоящей из следующих четырех подсистем: подсистема управления доступом; подсистема регистрации и учета; криптографическая по дсистема; подсистема обеспечения целостности.
10.3. Требования к автоматизированным системам защиты третьей группы (см. табл. 5) [^] Обозначения: «-» - нет требований к данному классу; «+» - есть требования к данному классу. Таблица 5 Подсистемы и требования
Класс ЗБ
Класс ЗА
1. Подсистема управления доступом 1.1. Идентификация, проверка подлинности и контроль доступа субъектов: • систему + + • к терминалам, ЭВМ , узлам сети ЭВМ , каналам связи, внешним устройствам ЭВМ • к программам • к томам, каталогам, ф айлам, записям, полям записей 1.2. Управление потоками информации -
2. Подсистема регистрации и учета 2.1. Регистрация и учет: • входа (выхода) субъектов доступа в (из) системы (узел сети) • выдачи печатных (графических) выходных документов • запуска (завершения) программ и процессов (зад аний, задач) • доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи • доступа программ субъектов доступа к термина лам, ЭВМ , узлам сети ЭВМ , каналам связи, внешним устройствам ЭВМ , программам, томам, каталогам, фа йлам, записям, полям записей • изменение полномочий субъектов доступа • создаваемых защищаемых объектов доступа 2.2. Учет носителей информации 2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей 2.4. Сигнализация попыток нарушения защиты 3. Криптографическая подсистема 3.1. Шифрование конфиденциальной информации 3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах 3.3. Использование аттестованных (сертифицированных) криптографических средств 4. Подсистема обеспечения целостности 4.1. Обеспечение целостности программных средств и обрабатываемой информации 4.2. Физическая охрана средств вычислительной те хники и носителей информации 4.3. Наличие администратора (службы) защиты информации в АС 4.4. Периодическое тестирование СЗИ НСД 4.5. Наличие средств восстановления СЗИ НСД 4.6. Использование сертифицированных средств защиты
+
+
-
+
-
-
-
-
-
-
+ -
+ +
-
-
-
-
-
-
+
+
+
+
-
-
+ + -
+ + +
Требования к классу защищенности ЗБ Подсистема управления доступом ■ Должны осуществляться идентификация и проверка подлинности субъектов доступа на вхо де в систему по па ролю условно-постоянного действия, длиной не менее шести буквенноцифровых символов. Подсистема регистрации и учета ■ Должна осуществляться регистрация вхо да (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхо да из системы или останова не пр оводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются дата и время вхо да (выхода) субъекта доступа в систему (из сис темы) или загрузки (останова) системы. ■ Должен произво диться учет всех защищаемых носителей информации с помощью их любой маркировки и с за несением учетных данных в журнал (учетную карточку). Подсистема обеспечения целостности ■ Должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды. При э том: - целостность СЗИ НСД проверяется при загрузке систе мы по наличию имен (идентификаторов) компонент СЗИ; - целостность программной среды обеспечивается отсу тствием в АС средств разработки и о тладки программ. ■ Должна осуществляться физическая о храна СВТ (устройств и носителей информации), предусматривающая контроль до ступа в помещения А С посторонних лиц, нали чие надежных препятствий для несанкционированного проникновения в п омещения АС и хранилище носителей информации, особенно в нерабочее время. ■ Должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тестовых программ, имитирующих попытки НСД. ■ Должны быть в наличии средства восстановления СЗ И НСД, предусматривающие ведение дву х копий программ ных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.
Требования к классу защищенности ЗА Подсистема управления доступом ■ Должны осуществляться идентификация и проверка подлинности субъектов доступа на входе в систему по па ролю условно-постоянно го действия, длиной не менее ше сти буквенно-цифровых символов. Подсистема регистрации и учета ■ Должна осуществляться регистрация входа (выхода) субъ ектов доступа в систему (из системы), либо регистрация за грузки и инициализации операционной системы и ее про граммного останова. Регистрация выхо да из системы или останова не проводится в моменты аппаратурного отключе ния АС. В параметрах регистрации указываются: - дата и время входа (выхо да) субъекта доступа в систему (из системы) или за грузки (останова) системы; - результат попытки входа: успешная или неуспешная (при НСД). ■ Должна осуществляться регистрация выдачи печатных (графических) документов на « твер дую» копию. Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа порядковым номером и учетными реквизитами АС с указанием на последнем ли сте документа общего количества листов (страниц). В параметрах регистрации указываются: - дата и время выдачи (обращения к подсистеме выхо да); - краткое со держание документа (наименование, вид, ко д, шифр) и уровень его конфиденциальности; - спецификация устройств выдачи (логическое имя (но мер) внешнего устройства). ■ Должен произво диться учет всех защищаемых носите лей информации с помощью их любой маркировки и с занесением учетных данных в журнал (учетную карточку). ■ Должно производиться несколько видов учета (дублирующих) с регистрацией выдачи (приема) носителей информации. ■ Должна осуществляться очистка (обнуление, обезличивание) освобождающихся областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется двукратной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защи щаемых данных (файлов). Подсистема обеспечения целостности ■ Должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также
неизменность программной среды. При э том: - целостность СЗ И НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗ И; - целостность программной среды обеспечивается о тсутствием в АС средств разработки и о тладки программ. ■ Должна осуществляться физическая о храна СВТ (устройств и носителей информации), предусматривающая по стоянное наличие охраны территории и здания, где размещается АС, с помощью технических средств о храны и специально го персонала, использование строгого пропускного режима, специальное оборудование помещений АС. ■ Должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тестовых программ, имитирующих попытки НСД. ■ Должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение дву х копий программ ных средств СЗИ НСД и их периодическое обновление и контроль работоспособности. ■ Должны испо льзоваться сер тифицированные средства защиты. Их сертификацию проводят специальные сер тификационные центры или специализированные предприя тия, имеющие лицензию на проведение сертификации средств защиты СЗ И НСД.
10.4. Требования к автоматизированным системам защиты второй группы (см. табл. 6) [^] Обозначения: «-» — нет требований к данному классу; «+» — есть требования к данному классу. Таблица 6 Подсистемы и требования
Класс 2Б Класс 2А
1. Подсистема управления доступом 1.1. Идентификация, проверка подлинности и контроль доступа субъектов: • систему + + • к терминалам, ЭВМ , узлам сети ЭВМ , каналам свя- + зи, внешним устройствам ЭВМ • к программам + • к томам, каталогам, ф айлам, записям, полям зап и+ сей 1.2. Управление потоками информации + 2. Подсистема регистрации и учета 2.1. Регистрация и учет:
• входа (выхода) субъектов доступа в (из) системы (узел сети) • выдачи печатных (графических) выходных документов
+
-
-
+
• запуска (завершения) программ и процессов (зад аний, задач) • доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, пер едачу по линиям и каналам связи • доступа программ субъектов доступа к термина лам, ЭВМ , узлам сети ЭВМ , каналам связи, внешним устройствам ЭВМ , программам, томам, каталогам, файлам, записям, полям записей • изменение полномочий субъектов доступа • создаваемых защищаемых объектов доступа 2.2. Учет носителей информации 2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ [и внешних накопителей 2.4. Сигнализация попыток нарушения защиты 3. Криптографическая подсистема 3.1. Шифрование конфиденциальной информации 3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах 3.3. Использование аттестованных (сертифицированных) криптографических средств 4. Подсистема обеспечения целостности 4.1. Обеспечение целостности программных средств и обрабатываемой информации 4.2. Физическая охрана средств вычислительной те хники и носителей информации 4.3. Наличие администратора (службы) защиты информации в АС 4.4. Периодическое тестирование СЗИ НСД 4.5. Наличие средств восстановления СЗИ НСД 4.6. Использование сертифицированных средств защиты
-
+
-
+
-
+
+ -
+ + +
-
-
-
+
-
+
+
+
+
+
-
+
+ + -
+ + +
Требования к классу защищенности 2Б Подсистема управления доступом ■ Должны осуществляться идентификация и проверка под линности субъектов доступа на вхо де в систему по иденти -
фикатору (коду) и паролю условно-постоянно го действия, длиной не менее шести буквенно-цифровых символов. Подсистема регистрации и учета ■ Должна осуществляться регистрация вхо да (выхо да) субъектов доступа в систему (из системы), либо регистра ция загрузки и инициализации операционной системы и ее программного останова. Регистрация выхо да из системы или останова не проводится в моменты аппаратурного о тключения А С. В параметрах регистрации указываю тся: - дата и время вхо да (выхо да) субъекта доступа в систему (из системы) или загрузки (останова) системы; - результат попытки вхо да: успешная или неуспешная (при НСД). ■ Должен производиться учет всех защищаемых носите лей информации с помощью их любой маркировки и с занесением учетных данных в журнал (учетную карточку). Подсистема обеспечения целостности ■ Должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды. При э том: - целостность СЗ И НСД проверяется при загрузке систе мы по наличию имен (идентификаторов) компонент СЗИ; - целостность программной среды обеспечивается отсу тствием в АС средств разработки и отладки программ во время обработки и (или) хранения защищаемой инфор мации. ■ Должна осуществляться физическая о храна СВ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, нали чие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время. ■ Должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тестовых программ, имитирующих попытки НСД. ■ Должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение дву х копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности. Требования к классу защищенности 2А Подсистема управления доступом ■ Должны осуществляться идентификация и проверка под линности субъектов доступа на вхо де в систему по иденти -
фикатору (коду) и паролю условно-постоянного дейс твия, длиной не менее шести буквенно-цифровых символов. ■ Должна осуществляться идентификация терминалов, ЭВМ, узлов сети Э ВМ, каналов связи, внешних устройств Э ВМ по их логическим адресам (номерам). ■ Должна осуществляться идентификация программ, то мов, каталогов, файлов, записей, полей записей по именам. ■ Должно осуществляться управление по токами инфор мации с помощью меток конфиденциальности. При этом уровень ко нфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на них инф ормации. Подсистема регистрации и учета ■ Должна осуществляться регистрация входа (выхо да) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхо да из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываю тся: ■ дата и время вхо да (выхо да) субъекта доступа в систему (из системы) или загрузки (останова) системы; ■ результат попытки вхо да: успешная или неуспешная (при НСД); ■ идентификатор (ко д или фамилия) субъекта, предъяв ляемый при попытке доступа. ■ Должна осуществляться регистрация выдачи печатных (графических) документов на «твердую» копию. Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа порядковым номером и учетными реквизитами АС с у казанием на последнем листе документа общего количества листов (страниц). В параметрах регистрации указываются: - дата и время выдачи (обращения к подсистеме выхо да); краткое содержание документа (наименование, вид, код, шифр) и уровень его конфиденциальности; - спецификация устройств выдачи (ло гическое имя (но мер) внешнего устройства); - идентификатор субъекта доступа, запросившего до ку мент. ■ Должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназна ченных для обработки защищаемых файлов. В параметрах регистрации указываются: - дата и время запуска;
- имя (идентификатор) программы (процесса, задания); - идентификатор субъекта доступа, запросившего про грамму (процесс, задание); - результат запуска (успешный, неуспешный — несанкционированный). ■ Должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, зада ний) к защищаемым файлам. В параметрах регистрации указываются: - дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная — несанкционированная) ; - идентификатор субъекта доступа; - спецификация защищаемого файла. ■ Должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным за щищаемым объектам доступа: терминалам, Э ВМ, узлам сети Э ВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, запи сям, полям записей. В параметрах регистрации указыва ются: - дата и время попытки доступа к защищаемому объекту с указанием ее результата (успешная, неуспешная — несанкционированная); - идентификатор субъекта доступа; - спецификация защищаемого объекта (логическое имя, номер). ■ Должен осуществляться автоматический учет создавае мых защищаемых файлов с помощью их дополнительной маркиро вки, используемой в подсистеме управления до ступом. Маркировка должна о тражать уровень конфиден циальности объекта. ■ Должен произво диться учет всех защищаемых носите лей информации с помощью их любой маркировки и с занесением учетных данных в журнал (учетную карточку). ■ Должно производиться несколько видов учета (дублиру ющих) с регистрацией выдачи (приема) носителей инфор мации. ■ Должна осуществляться очистка (обнуление, обезличи вание) освобождающихся областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется двукратной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защи щаемых данных (файлов). Криптографическая подсистема ■ Должно осуществляться шифрование всей конфиденци альной информации, записываемой на совместно исполь зуемые различными субъектами доступа (разделяемые) но сители дан-
ных, в каналах связи, а также на съемные носители данных (дискеты, CD и т. п.) до лговременной внеш ней памяти для хранения за пределами сеансов работы санкционированных суб ъектов доступа. При этом должны выполняться автоматическое освобождение и очистка областей внешней памяти, содержавших ранее незашифрованную информацию. ■ Доступ субъектов к операциям шифрования и криптографическим ключам должен дополнительно контролиро ваться подсистемой управления доступом. ■ Должны испо льзоваться сер тифицированные средст ва криптографической защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сер тификации криптографических средств защиты. Подсистема обеспечения целостности ■ Должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды. При э том: - целостность СЗИ НСД проверяется при загрузке систе мы по наличию имен (идентификаторов) компонент СЗ И; - целостность программной среды обеспечивается отсут ствием в АС средств разработки и о тладки программ. ■ Должна осуществляться физическая о храна СВТ (устройств и носителей информации), предусматривающая постоянное наличие о храны территории и здания, где размещается АС, с помощью технических средств о храны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений АС. ■ Должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тестовых программ, имитирующих попытки НСД. ■ Должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение дву х копий программных средств СЗИ НСД и их перио дическое обновление и контроль работоспособности. ■ Должны использоваться сер тифицированные средства защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприя тия, имеющие лицензию на проведение сертификации средств защиты СЗИ НСД.
10.5. Требования к автоматизированным системам защиты первой группы (см.табл. 7) [^] Обозначения: «-» — нет требований к данному классу; «+» — есть требования к данному классу. Таблица 7 Подсистемы и требования
Классы 1Д 1Г 1В
• к программам • к томам, каталогам, ф айлам, записям, полям записей 1.2. Управление потоками инфор мации 2. Подсистема регистрации и учета 2.1. Регистрация и учет: • входа (выхода) субъектов досту па в (из) системы (узел сети) • выдачи печатных (графических) выходных документов • запуска (завершения) программ и процессов (заданий, задач) • доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линия м и каналам связи • доступа программ субъектов доступа к терминалам, ЭВМ , узлам сети ЭВМ , каналам связи, внешним устройствам ЭВМ , программам, то мам, каталогам, файлам, записям, полям записей
-
+ +
+ +
+ +
+ +
-
-
+
+
+
1Б 1А 1. Подсистема управления доступом 1.1. Идентификация, проверка подлинности и контроль доступа субъектов: • систему + + + + • к терминалам, ЭВМ , узлам сети ЭВМ , каналам + + + + связи, внешним устройствам ЭВМ
+
+
+
+
+
-
+
+
+
+
-
+
+
+
+
-
+
+
+
+
-
+
+
+
+
• изменение полномочий субъектов доступа
-
-
+
+
+
• создаваемых защищаемых объектов доступа 2.2. Учет носителей информации 2.3. Очистка (обнуление, обезличивание) освобождаемых областей one ративной памяти ЭВМ и внешних накопителей
-
-
+
+
+
+
+ +
+ +
+ +
+ +
2.4. Сигнализация попыток нарушения защиты
-
-
+
+
+
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации 3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов)на разных ключах
-
-
-
+
+
-
-
-
-
+
3.3. Использование аттестованных (сертифицированных) криптографических средств
-
-
-
+
+
4. Подсистема обеспечения целостности 4.1. Обеспечение целостности программных средств и обрабатываемой (информации
+
+
+
+
+
4.2. Физическая охрана средств вычислительной техники и носителей информации 4.3. Наличие администратора (службы) защиты информации в АС 4.4. Периодическое тестирование СЗИ НСД 4.5. Наличие средств восстановления СЗИ НСД
+
+
+
+
+
-
-
+
+
+
+ +
+ +
+ +
+ +
+ +
4.6. Использование сертифицированных средств защиты
-
-
+
+
+
Требования к классу защищенности 1Д Подсистема управления доступом ■ Должны осуществляться идентификация и проверка подлинности субъектов доступа на вхо де в систем у по паролю условно-постоянного действия, длиной не менее шести буквенноцифровых символов. Подсистема регистрации и учета ■ Должна осуществляться регистрация вхо да (выхо да) субъектов доступа в систему (из системы), либо регистра ция загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из сис темы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указыва ются: - дата и время вхо да (выхо да) субъекта доступа в систему (из системы) или загрузки (останова) системы; - результат попытки вхо да: успешная или неуспешная — несанкционированная; - идентификатор (код или фамилия) субъекта, предъяв ленный при попытке доступа. ■ Должен произво диться учет всех защищаемых носите лей информации с помощью их маркировки и с занесением учетных
данных в журнал (учетную кар точку). ■ Учет защищаемых носителей должен проводиться в жур нале (карто теке) с регистрацией их выдачи (приема). Подсистема обеспечения целостности ■ Должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды. При э том: - целостность СЗ И НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ; - целостность программной среды обеспечивается ис пользованием трансляторов с языком высокого уровня и отсутствием средств модификации объектного ко да пр ограмм в процессе обработки и (или) хранения защи щаемой информации. ■ Должна осуществляться физическая о храна СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, нали чие надежных препя тствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время. ■ Должно проводиться периодическое тестирование функ ций СЗИ НСД при изменении программной среды и персонала АС с помощью тестовых программ, имитирующих попытки НСД. ■ Должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение дву х копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности. Требования к классу защищенности 1Г Подсистема управления д оступом ■ Должны осуществляться идентификация и проверка по длинности субъектов доступа на входе в систему по иденти фикатору (ко ду) и паролю условно-постоянно го действия, длиной не менее шести буквенно-цифровых символов. ■ Должна осуществляться идентификация терминалов, Э ВМ, узлов сети Э ВМ, каналов связи, внешних устройств ЭВМ по их логическим адресам (номерам). ■ Должна осуществляться идентификация программ, то мов, каталогов, файлов, записей, полей записей по именам. ■ Должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа. Подсистема регистрации и учета
■ Должна осуществляться регистрация вхо да (выхо да) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного о станова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения А С. В параметрах регистрации указываю тся: - дата и время входа (выхо да) субъекта доступа в систему (из системы) или загрузки (останова) системы; - результат попытки входа: успешная или неуспешная (при НСД); - идентификатор (код или фамилия) субъекта, предъяв ляемый при попытке доступа; - код или пароль, предъявленный при неуспешной по пытке. ■ Должна осуществляться регистрация выдачи печатных (графических) документов на « твер дую» копию. Выдача должна сопровождаться автоматической маркировкой каж дого листа (страницы) документа порядковым номером и учетными реквизитами АС с указанием на последнем ли сте документа общего количества листов (страниц). В параметрах регистрации указываются: - дата и время выдачи (обращения к подсистеме выхода); спецификация устройства выдачи (ло гическое имя или номер внешнего устройства ); - краткое содержание до кумента (наименование, вид, ко д, шифр) и уровень его конфиденциальности; - идентификатор субъекта доступа, запросившего до ку мент. ■ Должна осуществляться регистрация запуска (заверше ния) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации указываются: - дата и время запуска; - имя (идентификатор) программы (процесса, задания); - идентификатор субъекта доступа, запросившего про грамму (процесс, задание); - результат запуска (успешный, неуспешный - несанкционированный). ■ Должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, зада ний) к защищаемым файлам. В параметрах регистрации указываются: - дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная — несанкционированная) ;
- идентификатор субъекта доступа; - спецификация защищаемого файла. ■ Должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным за щищаемым объектам доступа: терминалам, Э ВМ, узлам сети Э ВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указыва ются: - дата и время попытки доступа к защищаемому объекту с указанием ее результата (успешная, неуспешная — несанкционированная) ; - идентификатор субъекта доступа; - спецификация защищаемого объекта (логическое имя, но мер). ■ Должен произво диться учет всех защищаемых носите лей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную кар точку). ■ Учет защищаемых носителей должен проводиться в жур нале (карточке) с регистрацией их выдачи (приема). ■ Должна осуществляться очистка (обнуление, обезличи вание) освобождающихся областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется двукратной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защи щаемых данных (файлов). Подсистема обеспечения целостности ■ Должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды. При э том: - целостность СЗ И НСД проверяется при загрузке систе мы по контрольным суммам компонент СЗИ; - целостность программной среды обеспечивается испо льзованием трансляторов с языком высокого уровня и о тсутствием средств модификации объектного кода м программ в процессе обработки и (или) хранения защищаемой информации. ■ Должна осуществляться физическая о храна СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, нали чие надежных препятствий для несанкционированного проникновения в п о мещения АС и хранилище носителей информации, особенно в нерабочее время. ■ Должно проводиться перио дическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с
помощью тестовых программ, имитирующих попытки НСД. ■ Должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение дву х копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности. Требования к классу защищенности 1В Подсистема управления д оступом ■ Должны осуществляться идентификация и проверка подлинности субъектов доступа на вхо де в систему по идентификатору (коду) и паролю условно-постоянного действия, длиной не менее шести буквенно-цифровых символов. ■ Должна осуществляться идентификация терминалов, ЭВМ , узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по их логическим адресам (номерам). ■ Должна осуществляться идентификация программ, то мов, каталогов, файлов, записей, полей записей по именам. ■ Должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей до ступа. ■ Должно осуществляться управление потоками информации с помощью меток конфиденциальности. При этом ур овень конфиденциальности накопителей до лжен быть не ни же уровня конфиденциальности записываемой на них ин формации. Подсистема регистрации и учета ■ Должна осуществляться регистрация вхо да (выхо да) субъектов доступа в систему (из системы), либо регистра ция загрузки и инициализации операционной системы и ее программного останова. Регистрация выхо да из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываю тся: дата и время вхо да (выхо да) субъекта доступа в систему (из системы) или загрузки (останова) системы; результат попытки вхо да: успешная или неуспешная — несанкционированная; идентификатор (ко д или фамилия) субъекта, предъявляемый при попытке доступа; код или пароль, предъявленный при неуспешной по пытке. ■ Должна осуществляться регистрация выдачи печатных (графических) документов на «твердую» копию. Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) до кумента порядковым номером и учетными реквизитами АС с указанием на последнем листе документа общего
количества листов (страниц). В пара метрах регистрации указываются: дата и время выдачи (обращения к подсистеме выхо да); краткое со держание документа (наименование, вид, ко д, шифр) и уровень его конфиденциальности; спецификация устройств выдачи (логическое имя (номер) внешнего устройства); идентификатор субъекта доступа, запросившего до ку мент; объем фактически выданного документа (количество страниц, листов, копий) и резу льтат выдачи: успешный (весь объем), неуспешный. ■ Должна осуществляться регистрация запуска (заверше ния) программ и процессов (заданий, задач ), предназна ченных для обработки защищаемых файлов. В параметрах регистрации указываются: дата и время запуска; имя (идентификатор) программы (процесса, задания); идентификатор субъекта доступа, запросившего про грамму (процесс, задание); результат запуска (успешный, неуспешный - несанкционированный). ■ Должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, зада ний) к защищаемым файлам. В параметрах регистрации указываются: дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная - несанкционированная) ; идентификатор субъекта доступа; спецификация защищаемого файла; имя программы (процесса, задания, задачи), осуществляющей доступ к файлу; вид запрашиваемой операции (чтение, запись, удаление, выпо лнение, расширение и т. п.). ■ Должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, Э ВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам Э ВМ, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указываю тся: дата и время попытки доступа к защищаемому объекту с указанием ее результата (успешная, неуспешная —
несанкционированная) ; идентификатор субъекта доступа; спецификация защищаемого объекта (логическое имя, номер); имя программы (процесса, задания, задачи), осуществляющей доступ к защищаемому объекту; вид запрашиваемой операции (ч тение, запись, монтирование, захват и т. п.). ■ Должна осуществляться регистрация изменений полно мочий субъектов доступа и статуса объектов доступа. В па раметрах регистрации указываю тся: дата и время изменения полномочий; идентификатор субъекта доступа (администратора), осуществившего изменения. ■ Должен осуществляться автоматический учет создавае мых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления до ступом. Маркировка до лжна о тражать уровень конфиден циальности объекта. ■ Должен производиться учет всех защищаемых носите лей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную кар точку). ■ Учет защищаемых носителей до лжен прово диться в жур нале (карто теке) с регистрацией их выдачи (приема). ■ Должно производиться несколько видов учета (дублиру ющих) защищаемых носителей информации. ■ Должна осуществляться очистка (обнуление, обезлич ивание) освобождающихся областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется двукратной произвольной записью в освобождаемую область памя ти, ранее использованную для хранения защищаемых дан ных (файлов). ■ Должна осуществляться сигнализация попыток нарушения защиты. Подсистема обеспечения целостности ■ Должна быть обеспечена целостность программных средств СЗ И НСД, обрабатываемой информации, а также неизменность программной среды. При э том: целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ; целостность программной среды обеспечивается использованием трансляторов с языком высокого уро вня и отсу тствием средств модификации объектного
кода разработки и о тладки программ. ■ Должна осуществляться физическая о храна СВТ (устройств и носителей информации), предусматривающая по стоянное наличие о храны территории и здания, где размещается А С, с помощью технических средств о храны и спе циального персонала, использование строгого пропускного режима, специальное оборудование помещений АС. ■ Должен быть предусмотрен администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы СЗ И НСД. Админис тратор должен иметь свой терминал и необ ходимые средства оперативного контроля и воздействия на безопасность АС. ■ Должно проводиться перио дическое тестирование функций СЗИ НСД с помощью специальных программных средств не реже одного раза в год. ■ Должны быть в наличии средства восстановления СЗ И НСД, предусматривающие ведение дву х копий программных средств СЗИ НСД и их перио дическое обновление и контроль работоспособности. ■ Должны испо льзоваться сертифицированные средства защиты. Их сертификацию проводят специальные сертифи кационные центры или специализированные предприятия, имеющие лицензию на проведение сер тификации средств защиты СЗИ НСД. Требования к классу защищенности 1Б Подсистема управления доступом ■ Должны осуществляться идентификация и проверка по длинности субъектов доступа на вхо де в систему по идентиф икатору (ко ду) и паролю временного действия, длиной не м енее восьми буквенно-цифровых символов. ■ Должна осуществляться идентификация терминалов, Э ВМ, узлов сети Э ВМ, каналов связи, внешних устройств Э ВМ по физическим адресам (номерам). ■ Должна осуществляться идентификация программ, то мов, каталогов, файлов, записей, полей записей по именам. ■ Должен осуществляться контроль доступа субъектов к за щищаемым ресурсам в соответствии с матрицей доступа. ■ Должно осуществляться управление потоками инфор мации с помощью меток конфиденциальности. При э том уровень конфиденциальности накопителей до лжен быть не ниже уровня конфиденциальности записываемой на них информ ации.
Подсистема регистрации и учета ■ Должна осуществляться регистрация вхо да (выхо да) убъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы ее программного останова. Регистрация выхо да из сис темы или останова не проводится в моменты аппаратурного отключения А С. В параметрах регистрации указыва ются: дата и время вчоча (выхо да) субъекта доступа в систему (из системы) или злрузки (останова) системы; результат попытки вхо да: успешная или неуспешная — несанкционированная; идентификатор (ко д или фамилия) субъекта, предъявляемый при попытке доступа; код или пароль, предъявляемый при неуспешной по пытке. ■ Должна осуществляться регистрация выдачи печатных графических) документов на «твер дую» копию. Выдача олжна сопровождаться автоматической маркировкой аждого листа (страницы) документа порядковым номером учетными реквизитами АС с указанием на последнем ли сте документа общего количества листов (страниц). Вместе выдачей документа должна автоматически оформляться четная кар точка документа с указанием даты выдачи до кумента, учетных реквизитов документа, краткого содержания (наименования, вида, шифра, кода) и уровня конфи денциальности документа, фамилии лица, выдавшего до кумент, количества страниц и копий документа (при не полной выдаче документа — фактически выданного количества листов в графе «Брак»). В параметрах регис трации казываю тся: дата и время выдачи (обращения к по дсистеме выхода); краткое содержание документа (наименование, вид, код, шифр) и уровень его конфиденциальности; спецификация устройств выдачи (логическое имя (но мер) внешнего устройства); идентификатор субъекта доступа, запросившего доку мент; объем фактически выданного документа (колич ество страниц, листов, копий) и резу льтат выдачи успешный (весь объем), неуспешный. ■ Должна осуществляться регистрация запуска (заверше ния) всех программ и процессов (заданий, задач ) в АС.
В параметрах регистрации указываются: дата и время запуска; имя (идентификатор) программы (процесса, задания); идентификатор субъекта доступа, запросившего про грамму (процесс, задание); результат запуска (успешный, неуспешный - несанкционированный). ■ Должна осуществляться регистрация попыток доступа рограммных средств (программ, процессов, задач, зада ний) к защищаемым файлам. В параметрах регистрации ука зываются: дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная — несанкционированная) ; идентификатор субъекта доступа; спецификация защищаемого файла; имя программы (процесса, задания, задачи), осуществляющей доступ к файлу; вид запрашиваемой операции (чтение, запись, у дале ние, выпо лнение, расширение и т. п.). ■ Должна осуществляться регистрация попыток доступа рограммных средств к следующим дополнительным защищаемым объектам доступа: терминалам, Э ВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ВМ, программам, томам, каталогам, файлам, записям, олям записей. В параметрах регистрации указываю тся: дата и время попытки доступа к защищаемому объекту с указанием ее результата (успешная, неуспешная — несанкционированная) ; идентификатор субъекта доступа; спецификация защищаемого объекта (логическое имя, номер); имя программы (процесса, задания, задачи), осуществляющей доступ к защищаемому объекту; вид запрашиваемой операции (чтение, запись, монтирование, захват и т. п.). ■ Должна осуществляться регистрация изменений по лно мочий субъекта доступа и статуса объектов доступа. В пара метрах регистрации указываются : дата и время изменения полномочий; идентификатор субъекта доступа (администратора), осуществившего изменения; идентификатор субъекта, у ко торого произведено из-
менение полномочий и вид изменений (пароль, код, профиль и т. п.). спецификация объекта, у которого проведено изменение статуса защиты и вид изменения (код защиты, уровень конфиденциальности). ■ Должен осуществляться автоматический учет создаваемых защищаемых файлов, инициируемых защищаемых то мов, катало гов, областей операционной памяти Э ВМ, выделяемых для обработки защищаемых файлов, внешних устройств ЭВМ, каналов связи, ЭВМ , узлов сети ЭВМ, фраг ментов сети с помощью их дополнительной маркировки, ис пользуемой в подсистеме управления доступом. Маркировка должна о тражать уровень конфиденциальности объекта. ■ Должен производиться учет всех защищаемых носите лей информации с помощью их маркировки. ■ Учет защищаемых носителей должен проводиться в жур нале (карто теке) с регистрацией их выдачи (приема). ■ Должно производиться неско лько видов учета (дуб лирующих) защищаемых носителей информации. ■ Должна осуществляться очистка (обнуление, обезличивание) освобождающихся областей оперативной памяти Э ВМ и внешних накопителей. Очистка осуществляется двукратной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защи щаемой информации. ■ Должна осуществляться сигнализация попыток наруше ния защиты на терминал администратора и нарушителя. Криптографическая подсистема ■ Должно осуществляться шифрование всей конфиденциальной информации, записываемой на совместно используемые различными субъектами доступа (разделяемые) но сители данных, в каналах связи, а также на съемные носители данных (дискеты, CD и т. п.) до лговременной внешней памяти для хранения за пределами сеансов работы санкционированных субъектов доступа. При этом должна выпо лняться принудительная очистка областей внешней памяти, с одержавших ранее незашифрованную информацию. ■ Доступ субъектов к операциям шифрования и крипто графическим ключам должен дополнительно контролироваться подсистемой управления доступом. ■ Должны использоваться сертифицированные средства криптографической зашиты. Их сертификацию проводят специальные сер тификационные центры или специализи рованные
предприятия, имеющие лицензию на проведе ние сертификации криптографических средств защиты. По дсистема обеспечения целостности . ■ Должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизме нность программной среды. При э том: целостность СЗИ НСД проверяется по контр ольным суммам всех компонент СЗИ как в процессе загрузки, так и динамически в процессе работы АС; целостность программной среды обеспечивается качеством приемки программных средств в АС, предназна ченных для обработки защищенных файлов. ■ Должна осуществляться физическая о храна СВТ (устройств и носителей информации), предусматривающая по стоянное наличие о храны территории и здания, где размещается А С, с помощью технических средств о храны и спе циального персонала, использование строгого пропускного режима, специальное оборудование помещений АС. ■ Должен быть предусмотрен администратор (служба) за щиты информации, ответственный за ведение, нормальное функционирование и контроль работы СЗИ НСД. Администратор до лжен иметь свой терминал и необ ходимые сре дства оперативного контроля и воздействия на безопасность АС. ■ Должно проводиться периодическое тестирование функций СЗИ НСД с помощью специальных программных средств не реже одного раза в квар тал. ■ Должны быть в наличии средства восстановления СЗ И НСД, предусматривающие ведение дву х копий программ ных средств СЗ И НСД и их периодическое обновление и контроль работоспособности, а также оперативное восстановление функций СЗИ НСД при сбоях. ■ Должны использоваться сертифицированные средства защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации средств защиты СЗ И НСД. Требования к классу защищенности 1А Подсистема управления доступом ■ Должны осуществляться идентификация и про верка подлинности субъектов доступа на вхо де в систему по биомет-
рическим характеристикам или специальным устройствам (жетонам, кар там, электронным ключам) и паролю временного действия, длиной не менее восьми буквенно -цифровых символов. ■ Должна осуществля ться аппаратурная идентификация и проверка подлинности терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по уникаль ным встроенным устройствам ■ Должна осуществляться идентификация и проверка под линности программ, томов, каталогов, файло в, записей, по лей записей по именам и контрольным суммам (паролям, ключам) ■ Должен осуществляться контроль доступа субъектов к за щищаемым ресурсам в соответствии с матрицей доступа. ■ Должно осуществляться управление потоками информа ции с помощью меток конфиденциальности При этом уровень конфиденциальности накопителей должен быть не ни же уровня конфиденциальности записываемой на них ин формации. Подсистема регистрации и учета ■ Должна осуществляться регистрация входа (выхо да) убъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее рограммного останова. Регистрация выхода из системы ли останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываю тся: дата и время вхо да (выхо да) субъекта доступа в систему (из системы) или загрузки (останова) системы; результат попытки вхо да: успешная или неуспешная — несанкционированная; идентификатор (код или фамилия) субъекта, предъявляемый при попытке доступа; код или пароль, предъявляемый при неуспешной попытке. ■ Должна осуществляться регистрация выдачи печатных графических) документов на «твердую» копию. Выдача олжна сопровождаться автоматической маркировкой аждого листа (страницы) документа порядковым номером учетными реквизитами АС с указанием на последнем ли сте документа общего количества листов (страниц). Вместе выдачей документа должна автоматически оформляться четная кар точка документа с указанием даты выдачи доку мента, учетных реквизитов документа, краткого содержа ния (наименования, вида, шифра, кода) и уровня конфи денциальности документа, фамилии лица, выдавшего документ, количества страниц и копий доку-
мента (при неполной выдаче документа — фактически выданного количества листов в графе «Брак»). В параметрах регистрации казываю тся: дата и время выдачи (обращения к по дсистеме выхода); краткое содержание документа (наименование, вид, код, шифр) и уровень его конфиденциальности; спецификация устройств выдачи (логическое имя (но мер) внешнего устройства); идентификатор субъекта доступа, запросившего документ; объем фактически выданного документа (количество страниц, листов, копий) и резу льтат выдачи успешный (весь объем), неуспешный. ■ Должна осуществляться регистрация запуска (заверше ния) всех программ и процессов (заданий, задач) в А С. В па раметрах регистрации указываю тся: дата и время запуска; имя (идентификатор) программы (процесса, задания); идентификатор субъекта доступа, запросившего про грамму (процесс, задание); результат запуска (успешный, неуспешный — несанкционированный); полная спецификация соответствующего файла «образа» программы (процесса, задания) - устройство (том, аталог), имя файла (расширение). ■ Должна осуществляться регистрация попыток доступа рограммных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации казываю тся: дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная -несанкционированная) ; идентификатор субъекта доступа; спецификация защищаемого файла; имя программы (процесса, задания, задачи), осущес твляющей доступ к файлу; вид запрашиваемой операции (чтение, запись, удаление, выпо лнение, расширение и т. п.). ■ Должна осуществляться регистрация попыток доступа рограммных средств к следующим допо лнительным за ищаемым объектам доступа: терминалам, Э ВМ, узлам се ти ЭВМ, линиям (каналам) связи, внешним устройствам ВМ ,
программам, томам, каталогам, файлам, записям, о лям записей. В параметрах регистрации указываю тся: дата и время попытки доступа к защищаемому объекту с указанием ее результата (успешная, неуспешная — несанкционированная) ; идентификатор субъекта доступа; спецификация защищаемого объекта (ло гическое имя, номер); имя программы (процесса, задания, задачи), осуществляющей доступ к защищаемому объекту; вид запрашиваемой операции (чтение, запись, монтирование, захват и т. п.). ■ Должна осуществляться регистрация изменений полно мочий субъекта доступа и статуса объектов доступа. В пара метрах регистрации указываются: дата и время изменения полномочий и статуса; идентификатор субъекта доступа (администратора), осуществившего изменения; идентификатор субъекта, у которого произведено изменение полномочий и вид изменений (пароль, код, профиль и т. п.); спецификация объекта, у которого проведено измене ние статуса защиты и вид изменения (код защиты, уровень конфиденциальности). ■ Должен осуществляться автоматический учет создавае мых защищаемых файлов, инициируемых защищаемых то мов, катало гов, областей операционной памяти Э ВМ, выде ляемых для обработки защищаемых файлов, внешних устройств ЭВМ, каналов связи, ЭВМ , узлов сети Э ВМ, фрагментов сети с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта. ■ Должен производиться учет всех защищаемых носите лей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную кар точку). ■ Учет защищаемых носителей должен проводиться в жур нале (карто теке) с регистрацией их выдачи (приема). ■ Должно производиться неско лько видов учета (дублирующих) защищаемых носителей информации. ■ Должна осуществляться очистка (обнуление, обезличи вание) освобождающихся областей оперативной памяти Э ВМ и внешних накопителей. Очистка осуществляется двукратной произвольной записью в освобождаемую область памяти, ра-
нее использованную для хранения защи щаемой информации. ■ Должна осуществляться надежная сигнализация попы ток нарушения защиты на терминал администратора и нарушителя. Криптографическая подсистема ■ Должно осуществляться шифрование всей конфиденциальной информации, записываемой на совместно используемые различными субъектами доступа (разделяемые) но сители данных, в каналах связи, а также на съемные носители данных (дискеты, CD и т. п.) до лговременной внешней памяти для хранения за пределами сеансов работы санкционированных субъектов доступа. При этом должна выпо лняться принудительная очистка областей внешней памяти, с одержавших ранее незашифрованную информацию. ■ Должны использоваться разные крипто графические ключи для шифрования информации, принадлежащей раз личным субъектам доступа (группам субъектов). ■ Доступ субъектов к операциям шифрования и крипто графическим ключам должен дополнительно контролиро ваться подсистемой управления доступом. ■ Должны испо льзоваться сер тифицированные средства криптографической защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведе ние сертификации криптографических средств защиты. Подсистема обеспечения целостности ■ Должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизме нность программной среды. При э том: целостность СЗИ НСД проверяется по имитовставкам алгоритма ГОСТ 28147-89 или по контрольным суммам другого аттестованного алгоритма всех компонент СЗИ как в процессе загрузки, так и динамически в процессе функционирования АС; целостность программной среды обеспечивается качеством приемки любых программных средств в А С, предназначенных для обработки защищенных файлов. ■ Должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая по стоянное наличие о храны территории и здания, где размещается АС, с помощью технических средств о храны и специального персонала, использование строгого пропускного режима, специаль-
ное оборудование помещений АС. ■ Должен быть предусмотрен администратор (служба) за щиты информации, ответственный за ведение, нормальное функционирование и контроль работы СЗ И НСД. А дминистратор должен иметь свой терминал и нео б хо димые средства оперативного контроля и воздействия на безо пасность АС. ■ Должно проводиться периодическое тестирование функций СЗИ НСД с помощью специальных программных средств не реже одного раза в квар тал. ■ Должны быть в наличии средства восстановления СЗ И НСД, предусматривающие ведение дву х копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности, а также оперативное вос становление функций СЗИ НСД при сбоях. ■ Должны использоваться сертифицированные средства защиты. Их сер тификацию проводят специальные сертификационные центры или специализированные предприя тия, имеющие лицензию на проведение сертификации средств защ иты СЗИ НСД. Организационные мероприятия в рамках СЗИ НСД в АС, о брабатывающих или хранящих информацию, являю щуюся собственностью государства и отнесенную к категории секретной, должны отвечать государственным требованиям по обеспечению режима секретности проводимых работ. При обработке и хранении в АС информации, не отнесенной к категории секретной, в рамках СЗИ НСД рекомендуются следую щие организационные мероприятия: ■ выявление конфиденциальной информации и ее до ку ментальное оформление в виде перечня сведений, подле жащих защите; ■ определение порядка установления уровня полномочий суб ъекта доступа, а также круга лиц, ко торым это право предоставлено; ■ установление и оформление правил разграничения до ступа, т. е. совокупности правил, регламентирующих права доступа субъектов к объектам; ■ ознакомление субъекта доступа с перечнем защищаемых сведений и его уровнем полномочий, а также с организаци оннораспорядительной и рабочей документацией, определяющей требования и порядок обработки конфиденци альной информации; ■ получение от субъекта доступа расписки о неразглаше нии
доверенной ему конфиденциальной информации; ■ обеспечение охраны объекта, на котором расположена защищаемая АС (территория, здания, помещения, храни лища информационных носителей), путем установления соответствующих постов, технических средств о храны или любыми другими способами, предотвращающими или су щественно затрудняющими хищение СВТ, информационных носителей, а также НСД к СВТ и линиям связи; ■ выбор класса защищенности АС в соответствии с особенностями обработки информации (технология обработки, конкретные условия э ксплуатации АС) и уровнем ее конфиденциальности; ■ организация службы безопасности информации (ответственные лица, администратор АС), осуществляю щей учет хранение и выдачу информационных носителей, паролей, ключей, ведение служебной информации СЗИ НСД (гене рацию паролей, ключей, сопровождение правил разграни чения доступа), приемку включаемых в АС новых программных средств, а также контроль за хо дом технологического процесса обработки конф иденциальной информации и т. д. ■ разработка СЗИ НСД, включая соответствующую организационно-распорядительную и эксплуатационную документацию; ■ осуществление приемки СЗИ НСД в составе АС. При разработке А С, предназначенной для обработки или хр анения информации отнесенной к категории секретной не об ходимо ориентироваться на классы защищенности АС не ниже (по группам) ЗА, 2А, 1А, 1Б, 1В и использовать сертифи цированные СВТ: ■ не ниже 4 класса — для класса защищенности А С 1В; ■ не ниже 3 класса — для класса защищенности А С 1Б; ■ не ниже 2 класса — для класса защищенности А С 1 А.
10.6. Требования по защите информации от несанкционированного доступа для средств вычислительной техники [^] Данные показатели со держат требования защищенности СВТ о т НСД к информации. Показатели защищенности СВТ применяются к общесистемным программным средствам и операционным системам (с учетом архитектуры ЭВМ). Кон кретные перечни показателей определяют классы защищен ности СВТ. Уменьшение или изменение перечня показателей, соот-
ветствующего конкретному классу защищенности СВТ, не допу скается. Каждый по казатель описывается совокупностью требований. Дополнительные требования к показателю защищенности СВТ и соответствие этим дополнительным требованиям оговаривается особо. Требования к показателям реализуются с помощью программно-технических средств. Совокупность всех средств защиты составляет комплекс средств защиты. Документация КСЗ должна быть неотъемлемой частью конструкторской документации на СВТ. Всего семь классов защищенности СВТ о т НСД к инфо рмации. Са мый низкий класс - седьмой, самый высокий — первый. Классы подразделяю тся на четыре группы, отличающиеся ка чественным уровнем зашиты: ■ первая группа содержит только один седьмой класс; ■ вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы; ■ третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы; ■ четвертая группа характеризуется верифицированной защитой и содержит то лько первый класс. Выбор класса защищенности СВТ для автоматизированных систем создаваемых на базе защищенных СВТ, зависит от грифа конфиденциальности обрабатываемой в АС информации, условий эксплуатации и расположения системы. Применение в комплекте СВТ средств криптографической защиты информации по ГОСТ 28147-89 может быть исполь зовано для повышения гарантий качества защиты. Требования к показателям защищенности Показатели з ащищенности Перечень показателей по классам защищенности СВТ пр иведен в таб лице. 8, где использованы следующие условные обозначения: «-» — нет треботний к данному классу; «+» — имеются новые или дополнительные требования; «=» — требования совпадают с требованиями к СВТ предыдущего класса. Приведенные в данном разделе наборы требований к пока зателям каждого класса являю тся минимально необ ходимыми. Седьмой класс присваиваю т СВТ, защищенность которых оказалась ниже уровня требований шестого класса.
Требования к показателям защищенности шестого класса Дискреционный принцип контроля д оступа КСЗ до лжен контролировать доступ поименованных субъ ектов (пользователей) к поименованным объектам (файлам, программам, томам и т. д.). Для каждой пары (субъект - объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т. д.), т. е. тех , ко торые явля ются санкционированными для данного субъекта (индивида или группы индивидов) по отношению к данному ресурсу СВТ (объекту). КСЗ должен содержать механизм, претворяющий в жизнь дискреционные правила разграничения доступа. Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов). Механизм, реализующий дискреционный принцип контро ля доступа, до лжен предусматривать возможности санкционированного изменения ПРД, в том числе возможность санкцио нированного изменения списка пользователей СВТ и списка за щищаемых объектов. Права изменять ПРД до лжны предоставляться выделен ным субъектам (администрации, службе безопасности и т. д.). Идентификация и аутентификация КСЗ до лжен требовать от по льзователей идентифициро вать себя при запросах на доступ. КСЗ до лжен подвергать проверке подлинность идентификации — осуществлять аутентификацию. КСЗ должен располагать необ хо димыми Таблица 8 Наименование показателя Дискреционный принцип контр оля доступа М андатный принцип контроля доступа Очистка памяти Изоляция модулей М аркировка документов Защита ввода и вывода на отчу ждаемый физический носитель информации
Класс защищенности 6
5
4
3
2
1
+
+
+
=
+
=
-
-
+
=
=
=
-
+ -
+ + + +
+ = = =
= + = =
= = = =
Сопоставление пользователя с устройством Идентификация и аутентиф икация +
-
+
=
=
=
=
+
-
=
=
Гарантии проектирования Регистрация Взаимодействие пользователя с КСЗ Надежное восстановление Целостность КСЗ Контроль модификации Контроль дистрибуции Гарантии архитектуры Тестирование Руководство для пользователя Руководство по КСЗ Тестовая документация
-
+ -
+ + -
+ + +
+ = =
+ = =
+ + + + -
+ + = + + +
+ + = = + +
+ + + = + + +
=
= = = = + = = = = +
Конструкторская (проектная) документация
+ + + = + + +
данными для идентификации и аутентификации. КСЗ дол жен препятствовать доступу к защищаемым ресурсам неидентифицированных пользователей и пользователей, по д линность идентификации ко торых при ау тентификации не по дтвердилась. Тестирование В СВТ шесто го класса должны тестироваться: ■ реализация дискреционных ПРД (перехват явных и скрытых запросов, правильное распознавание санкцио нированных и несанкционированных запросов на доступ, средства защиты м еханизма разграничения доступа, санк ционированные изменения ПРД); ■ успешное осуществление идентификации и ау тентификации, а также их средств защиты. Руководство д ля пользователя Документация на СВТ до лжна включать в себя краткое ру ководство для пользователя с описанием способов использо вания КСЗ и его интерфейса с пользователем. Руководство по комплексу средств защиты Данный документ адресован администратору защиты и до лжен содержать:
■ описание контролируемых функций; ■ руководство по генерации КСЗ; ■ описание стар та СВТ и процедур проверки правильнос ти старта. Тестовая д окументация Должно быть предоставлено описание тестов и испыта ний, которым подвергалось СВТ и резу льтатов тестирова ния. Конструкторская (проектная) д окументация Должна содержать общее описание принципов работы СВТ, схему КСЗ, описание интерфейсов КСЗ с пользователем и интерфейсов частей КСЗ между собой, описание механиз мов идентификации и аутентификации. Требования к показателям пятого класса защищенности Дискреционный принцип контроля д оступа Данные требования совпадаю т с аналогичными требованиями шестого класса. Дополнительно должны быть предусмотрены средства управления, ограничивающие расширение прав на доступ. Очистка памяти При первоначальном назначении или при перераспределе нии внешней памяти КСЗ должен предо твращать доступ субъ екта к остаточной информации. Идентификация и аутентификация Данные требования полностью совпадаю т с анало гичными требованиями шесто го класса. Гарантии проектирования На начальном этапе проектирования СВТ должна быть по строена модель защиты. Модель до лжна в ключать в себя ПРД к объектам и непротиворечивые правила изменения ПРД. Регистрация КСЗ должен быть в состоянии осуществлять регистрацию следующих событий: ■ использование идентификационно го и аутентификационного механизма; ■ запрос на доступ к защищаемому ресурсу (открытие файла,
запуск программы и т. д.); ■ создание и уничтожение объекта; ■ действия по изменению ПРД. Для каждого из этих событий до лжна регистрироваться следующая информация: ■ дата и время; ■ субъект, осуществляю щий регистрируемое действие; ■ тип события (если регистрируется запрос на доступ, то следует отметить на какой именно объект и тип доступа); ■ успешно ли осуществилось событие (обслужен запрос на доступ или нет). КСЗ до лжен со держать средства выборочного ознакомления с регистрационной информацией. Целостность комплекса средств защиты В СВТ пятого класса защищенности должны быть предусмотрены средства перио дического контроля за целостностью пр ограммной и информационной части КСЗ. Тестирование В СВТ пятого класса защищенности должны тестироваться : ■ реализация ПРД (перехват явных и скрытых запросов на доступ, правильное распознавание санкционированных и несанкционированных запросов средства защиты меха низма разграничения доступа, санкционированные изменения ПРД); ■ успешное осуществление идентификации и аутентифи кации, а также их средства защиты; ■ очистка памяти; ■ регистрация событий, средства защиты регистрированной информации, возможность санкционированного озна комления с ней; ■ работа механизма, осуществляющего контроль за цело стностью КСЗ Руководство пользователя Данное требование совпадает с аналогичным требованием шестого класса. Руководство по комплексу средств защиты Данный документ адресован администратору защиты и до лжен содержать: ■ описание контролируемых функций; ■ руководство по генерации КСЗ;
■ описание стар та СВТ, процедур проверки правильности старта, процедур работы со средствами регистрации. Тестовая д окументация Должно быть предоставлено описание тестов и испытаний, которым подвергалось СВТ, и результатов тестирования. Конструкторс кая и проектная докуме нтация Должна содержать: ■ описание принципов работы СВТ, ■ общую схему КСЗ; ■ описание интерфейсов КСЗ с пользователем и интер фейсов модулей КСЗ; ■ модель защиты; ■ описание механизмов контроля целостности КСЗ, очистки памяти, идентификации и аутентнфюящяи. Требования к показателям защищенности четвертого класса Дискреционный принцип контроля д оступа
Данные требования совпадаю т с анало гичными требованиями пятого класса. Дополнительно КСЗ до лжен содержать механизм, претворяющий в жизнь дискреционные ПРД как для явных действий по льзователя, так и для скрытых, обеспечивая тем самым защиту объектов от НСД (т. е. о т доступа, не допустимого с точки зре ния заданного ПРД). Под «явными» здесь подразумеваются действия, осуществляемые с использованием системных средств — системных макрокоманд, инструкций языков высокого уровня и т. д., а под «скрытыми» — иные действия, в том числе с исполь зованием собственных программ работы с устройствами. Дискреционные ПРД для систем данного класса являю тся до полнением мандатных ПРД. Мандатный принцип контроля доступа Для реализации этого принципа должны сопоставляться кла ссификационные метки каждого субъекта и каждого объекта, отражающие их место в соо тветствующей иерар хии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории се кретности и т. п.), являющиеся комбинациями иерархических и неиерар хических категорий. Данные метки должны служить основой мандатного
принципа разграничения доступа. КСЗ при вво де новых данных в систему до лжен запрашивать и получать от санкционированного по льзователя классификационные метки э тих данных. При санкционированном занесе нии в список пользователей нового субъекта до лжна проверять ся соответствующая ему классификационная метка. Внешние классификационные метки (субъектов, объектов) должны точ но соответс твовать внутренним меткам (вну три КСЗ). КСЗ должен реализовывать мандатный принцип контроля до ступа применительно ко всем объектам при явном и скры том доступе со с тороны любого из субъектов: ■ субъект может читать объект, то лько если иерар хическая классификация в классификационном уровне субъекта не меньше, чем иерархическая классификация в классификациионном уровне объекта, и неиерар хические категории в клас сификационном уровне субъекта включают в себя все иерар хические категории в классификационном уровне объекта; ■ субъект осуществляет запись в объект, только если клас сификационный уровень субъекта в иерархич еской классификации не больше, чем классификационный уровень объекта в иерар хической классификации, и все иерар хические категории в классификационном уровне субъекта включа ются в иерархические категории в классификационном уровне объекта. Реализация мандатных ПРД до лжна предусматривать возможности сопровождения: изменения классификационных уровней субъектов и объектов специально выделенными субъ ектами. В СВТ должен быть реализован диспетчер доступа, т. е. средство, осуществляющее перехват всех обращений субъектов к об ъектам, а также разграничение доступа в соответс твии с за данным принципом разграничения доступа. При этом решение о санкци онированное™ запроса на доступ до лжно приниматься только при одновременном разрешении его и дискреционными и мандатными ПРД. Таким образом, должен контролироваться не только единичный акт доступа, но и потоки информации. Очистка памяти При первоначальном назначении или при перераспределе нии внешней памяти КСЗ до лжен затруднять субъекту доступ к остаточной информации. При перераспределении оператив ной памяти КСЗ должен осуществлять ее очистку. Изоляция модулей При наличии в СВТ мультипрограммирования в КСЗ до л жен
существовать программно-технический механизм, изоли рующий программные модули одного процесса (одного субъ екта) от программных модулей других процессов (других субъектов), т. е. в оперативной памяти ЭВМ программы разных по льзователей до лжны быть защищены друг от друга. Маркировка документов При выво де защищаемой информации на документ в нача ле и конце проставляю т штамп № 1 и заполняю т его реквизи ты в соответствии с Инструкцией № 0126-87 (п. 577). Защита ввод а и вывода на отчужд аемый физический носитель информации КСЗ должен различать каждое устройство вво да-вывода и каждый канал связи произвольно используемые или идентифицированные («помеченные»). При вводе с «помеченного» устройства (выво да на «помеченное» устройство) КСЗ должен обесп ечивать соответствие между меткой вво димого (выво ди мого) объекта (классификационным уровнем) и меткой устройства. Такое же соответствие до лжно обеспечиваться при работе с «помеченным» каналом связи. Изменение в назначении и разметке устройств и каналов должны осуществляться то лько по д контролем КСЗ. Сопоставление пользователя с устройством КСЗ до лжен обеспечивать выво д информации как на за прошенное пользователем произвольное устройство, так и идентифицированное (при совпадении маркиро вки). Идентифицированный КСЗ до лжен включать в себя меха низм, посредством которого санкционированный пользователь надежно сопоставляется с выделенным устройством. Идентификация и аутентификация КСЗ должен требовать от пользователей идентифициро вать себя при запросах на доступ, должен проверять подлин ность идентификатора субъекта — осуществлять ау тентифи кацию. КСЗ до лжен располагать необ хо димыми данными для идентификации и ау те нтификации и препятствовать вхо ду в СВ Т не идентифицированного пользователя или пользо вателя, чья подлинность при аутентификации не по дтверди лась. КСЗ должен обладать способностью надежно связывать полученную идентификацию со всеми действиями данного по льзователя.
Гарантии проектирования Проектирование КСЗ до лжно начинаться с построения модели защиты, содержащей: ■ непротиворечивые ПРД; ■ непротиворечивые правила изменения ПРД; ■ правила работы с устройствами ввода и вывода инфор мации, с каналами связи. Регистрация Данные требования включают аналогичные требования пято го класса защищенности. Дополнительно должна быть предусмотрена регистрация всех попыток доступа, всех действий оператора и выделенных пользователей (администраторов защиты и т. п.). Целостность комплекса средств защиты Программы КСЗ должны занимать в отдельную часть опе ративной памяти. Тестирование В четвертом классе защищенности должны тестироваться: ■ реализация ПРД (перехват запросов на доступ, правиль ное распознавание санкционированных и несанкцио нированных запросов в соответствии с дискреционными и мандатными правилами, верное сопоставление меток субъектов и объектов, запрос меток вновь вводимой информации, средства защиты механизма разграничения доступа, санкционированное изменение ПРД); ■ невозможность присвоения субъектом себе новых прав; ■ очистка оперативной и внешней памяти; ■ работа механизма изо ляции процессов в оперативной пам яти; ■ маркировка документов; ■ защита ввода и выво да информации на отчуждаемый физический носитель и сопоставление по льзователя с устройством; ■ идентификация и аутентификация, а также их средства защиты; ■ запрет на доступ несанкционированного пользователя; ■ работа механизма, осуществляющего контроль за целостностью СВТ; ■ регистрация событий, средства защиты регистрируемой информации и возможность санкционированного ознакомления с этой информацией.
Руководство д ля пользователя Данное требование совпадает с аналогичным требованием шестого и пятого классов. Руководство по комплексу средств защиты Данные требования полностью совпадаю т с аналогичными требованиями пятого класса. Тестовая д окументация Должно быть представлено описание тестов и испытаний, которым подвергалось СВТ, а также и результатов тестирования. Конструкторская (проектная) д окументация Должна содержать описание: ■ общих принципов работы СВТ; ■ общей схемы КСЗ; ■ внешних интерфейсов КСЗ и интерфейсов модулей КСЗ; ■ моделей защиты; ■ диспетчера доступа; ■ механизма контроля целостности КСЗ; ■ механизма очистки памяти; ■ механизма изоляции программ в оперативной памяти; ■ средств защиты ввода и вывода на отчуждаемый физический носитель информации и сопоставления пользователя с устро йством; ■ механизма идентификации и аутентификации; ■ средств регистрации. Требования к показателям третьего класса защищенности Дискреционный принцип контроля д оступа Данные требования полностью совпадаю т с требованиями пятого и четвертого классов. Мандатный принцип контроля доступа Данные требования полностью совпадают с аналогичным тр ебованием четвертого класса. Очистка памяти Для СВ Т третьего класса защищенности КСЗ до лжен осуществлять очистку оперативной и внешней памяти. Очистка до лж на производиться пу тем записи маскирующей информации в память при освобождении последней (перераспределении).
Изоляция модулей Данные требования по лностью совладаю т с аналогичным требованием четвертого класса. Маркировка документов Данные требования полностью совпадаю т с аналогичным тр ебованием четвертого класса. Защита ввод а и вывода на отчужд аемый физический носитель информации Данные требования полностью совпадаю т с аналогичным требованием четвертого класса. Сопоставление пользователя с устройством Данные требования полностью совпадаю т с аналогичным тр ебованием четвертого класса. Идентификация и аутентификация Данные требования полностью совпадаю т с аналогичным требованием четвертого класса. Гарантии проектирования На начальном этапе проектирования КСЗ должна строить ся модель защиты, задаю щая принцип разграничения доступа и механизм управления доступом. Эта модель должна содер жать: ■ непротиворечивые правила изменения ПРД; ■ правила работы с устройствами ввода и вывода; ■ формальную модель механизма управления доступом. Должна предлагаться высокоуровневая спецификация части КСЗ, реализующего механизм управления доступом и его ин терфейсов. Эта спецификация до лжна быть верифицирована на соответствие заданным принципам разграничения доступа. Регистрация Данные требования полностью совпадают с аналогичным тр ебованием четвертого класса. Взаимодействие пользователя с комплексом средств защиты Для обеспечения возможностей лучшего изучения, анализа, верификации и модификации КСЗ должен быть хорошо структурирован, его конструкция до лжна быть модульной и ло гич ной при этом. Интерфейс пользователя и КСЗ также должен быть опре-
делен (вхо д в систему, запросы пользователей и КСЗ и т. п.). Должна быть обеспечена надежность такого интерфейса. Каждый интерфейс пользователя и КСЗ должен быть логи чески изолирован от таких же других интерфейсов. Надежное восстановление Процедуры восстановления после сбоев и отказов обор удования должны обеспечивать полное восстановление свойств КСЗ. Целостность комплекса средств защиты Необ ходимо осуществлять периодический контроль за це лостностью КСЗ. Программы должны выполняться в о тдельной части оперативной памяти. Это требование должно подвер гаться верификации. Тестирование СВТ должны по двергаться такому же тестированию, что и СВТ четвертого класса. Дополнительно должны тестироваться: ■ очистка памяти; ■ работа механизма надежно го восстановления. Руководство д ля пользователя Данные требования полностью совпадаю т с аналогичным требованием четвертого класса. Руководство по комплексу средств защиты Документ адресован администратору защиты и должен со держать: ■ описание контролируемых функций; ■ руководство по генерации КСЗ; ■ описание старта СВТ, процедур проверки правильности старта, процедур работы со средствами регис трации; ■ руководство по средствам надежного восстановления. Тестовая д окументация В документации должно быть представлено описание тес тов и испытаний, ко торым подвергалось СВТ, а также результатов тестирования. Конструкторская (проектная) д окументация Требуется такая же документация, ч то и для СВТ четверто го класса. Дополнительно необ ходимы:
■ верификация соответствия высокоуровневой спецификации КСЗ модели защиты; ■ высокоуровневая спецификация КСЗ и его интерфейсов. Требования к показателям второго класса защищенности Дискреционный принцип контроля д ост упа Данные требования включаю т аналогичные требования третьего класса. Дополнительно требуется, чтобы дискреционные правила ра зграничения доступа были эквивалентны мандатным правилам (т. е. всякий запрос на доступ до лжен быть одновременно санкционированным или несанкционированным и по дискреционным, и по мандатным ПРД). Мандатный принцип контроля доступа. Данные требования полностью совпадаю т с аналогичным требованием третьего класса. Очистка памяти Данные требования полностью совпадаю т с аналогичным тр ебованием третьего класса. Изоляция модулей При наличии в СВТ мультипрограммирования в КСЗ до л жен существовать программно-технический механизм, изоли рующий программные модули одного процесса (одного субъ екта) от программных модулей других процессов (других субъектов), т. е. в оперативной памяти ЭВМ программы разных по льзователей до лжны быть изолированы друг от друга. Гарантии изо ляции должны быть основаны на ар хитектуре СВТ. Маркировка документов Данные требования по лностью совладают с анало гичным тр ебованием четвертого класса. Защита ввод а и вывода на отчужд аемый физический носитель информации Данные требования полностью совпа дают с анало гичным требованием третьего класса. Сопоставление пользователя с устройством Данные требования полностью совпадаю т с аналогичным требованием четвертого и третьего классов.
Идентификация и аутентификация Требование полностью совпадает с анало гичным требованием четвер того и третьего классов. Гарантии проектирования Данные требования включаю т аналогичные требования третьего класса. Дополнительно требуется, чтобы высокоуровневые спецификации КСЗ были о тображены последовательно в специф икации одного или нескольких нижних уровней, вплоть до реализа ции высокоуровневой спецификации КСЗ на языке программирования высокого уровня. При этом методами верификации должно осуществляться доказательство соответствия каждого такого отображения спецификациям высокого уровня (вер хнего для данного отображения). Это т процесс может включать в себя как о дно отобр ажение (высокоуровневая спецификация — язык программирования), так и последовательность о тображений в промежуточные спецификации с понижением уровня, впло ть до языка программирования. В результате верификации соответствие каждого уровня предыдущему должно достигаться вследствие соответствия реализации высокоуровневой спецификации КСЗ модели защиты, изображенной на чертеже. Регистрация Данные требования полностью совпадаю т с аналогичным требованием четвертого и третьего классов. Взаимодействие пользователя с комплексом средств защиты Данные требования полностью совпадаю т с аналогичным тр ебованием третьего класса. Надежное восстановление Данные требования полностью совпадают с аналогичным требованием третьего класса. Целостность комплекса средств защиты Данные требования полностью совпадают с аналогичным тр ебованием третьего класса. Контроль мод ификации При проектировании, построении и сопровождении СВТ должно быть предусмотрено управление конфигурацией СВТ, т. е.
контроль изменений в формальной модели, специфика циях (разных уровней), до кументации, исхо дном тексте, версии в объектном ко де Должно обеспечиваться соответствие между документацией и те кстами программ. Должна осуществляться сравниваемость генерируемых версий Оригиналы программ должны быть защищены. Контроль дистрибуции Должен осуществляться контроль точности копирования в СВТ при изго товлении копий с образца Изготовляемая ко пия должна гарантированно повторять образец. Тестирование СВТ второго класса должны тестироваться так же, как и СВТ третьего класса. Допо лнительно до лжен тестир оваться контроль дистрибуции Руководство д ля пользователя Данные требования полностью совпадают с аналогичным требованием четвертого и третьего классов Руководство по комплексу средств защиты Данные требования включаю т аналогичные требования тре тьего класса. Дополнительно должны быть представлены руководства по надежному восстановлению , по работе со средствами контроля модификации и дистрибуции. Тестовая д окументация Должно быть представлено описание тестов и испытаний, которым подвергалось СВТ, а также результатов тестирования. Конструкторская (проектная) д окуме нтация Требуется такая же документация, что и для СВТ третьего класса. Дополнительно должны быть описаны гарантии процесса пр оектирования и эквивалентность дискреционных и мандат ных ПРД. Требования к показателям первого класса защищенности Дискреционный принцип контроля д оступа Данные требования полностью совпадают с аналогичными требованием второго класса.
Мандатный принцип контроля доступа Данные требования полностью совпадаю т с анало гичными требованием второго класса. Очистка памяти Данные требования полностью совпадаю т с аналогичным требованием второго класса. Изоляция модулей Данные требования полностью совпадаю т с аналогичным требованием второго класса. Маркировка документов Данные требования полностью совпадаю т с аналогичным тр ебованием второго класса. Защита ввод а и вывода на отчужд аемы й физический носитель информации Данные требования полностью совпадаю т с аналогичным тр ебованием второго класса. Сопоставление пользователя с устройством Данные требования полностью совпадаю т с аналогичным тр ебованием второго класса. Идентификация и ауте нтификация Данные требования полностью совпадаю т с аналогичным тр ебованием второго класса. Гарантии проектирования Данные требования включаю т аналогичные требования второго класса. Дополнительно требуется верификация соответст вия объектного ко да тексту КСЗ на языке высокого уровня. Регистрация Данные требования полностью совпадаю т с аналогичным тр ебованием второго класса. Взаимодействие пользователя с комплексом средств защиты Данные требования полностью совпадаю т с аналогичным тр ебованием второго класса.
Надежное восстановление Данные требования полностью совпадаю т с аналогичным тр ебованием второго класса. Целостность комплекса средств защиты Данные требования полностью совпадаю т с аналогичным тр ебованием второго класса. Контроль мод ификации Данные требования полностью совпадают с аналогичным требованием второго класса. Контроль дистрибуции Данные требования полностью совпадают с аналогичным требованием второго класса. Гарантии архитектуры КСЗ должен об ладать механизмом, гарантирующим перехват диспетчером доступа всех обращений субъектов к объектам. Тестирование Данные требования полностью совпадаю т с аналогичным тр ебованием второго класса. Руководство пользователя Данные требования полностью со впадаю т с аналогичным требованием второго класса. Руководство по комплексу средств защиты Данные требования полностью совпадаю т с аналогичным тр ебованием второго класса. Тестовая д окументация Данные требования полностью совпадаю т с аналогичным тр ебованием второго класса. Конструкторская (проектная) д окуме нтация Требуется такая же документация, ч то и для СВТ второго класса. Дополнительно разрабатывается описание гарантий про цесса проектирования.
10.7. Требования к межсетевым экранам. Показатели защищенности межсетевых экранов [^] Общие положения Показатели защищенности МЭ отражают требования к средствам защиты, обеспечивающим безопасное взаимодействие сетей ЭВМ, А С путем контроля межсетевых пото ков ин формации, и управления ими. Конкретные перечни таких по казателей определяю т классы защищенности МЭ. Деление МЭ на соответствующие классы по уровням контроля межсетевых информационных потоков необ ходимо в целях разработки и применения обоснованных и эко номически оправданных мер по достижению требуемого уровня защиты информации при взаимодействии сетей ЭВМ , АС. Дифференциация подхо да к выбору функций защиты в МЭ о пределяется А С, для защиты ко торой применяется данный экран. Всего установлено пять классов защищенности МЭ. Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации. Самый низкий класс защищенности - пятый, применяемый для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый — 1Г, третий - 1В, второй — 1Б, самый высокий — первый, применяемый для безопасного взаимодействия А С класса 1А с внеш ней средой. Требования, предъявляемые к МЭ, не исключают требований, предъявляемых к СВТ и АС и описанных в предыдущих разделах. При включении МЭ в А С определенного класса защищенности класс защищенности совокупной А С, по лученной из исхо дной путем добавления в нее МЭ, не должен понижаться. Для АС класса ЗБ, 2Б должны применяться МЭ не ниже 5 класса. Для АС класса ЗА, 2А в зависимости о т важности обраб атываемой информации должны применяться МЭ следующих классов: ■ при обработке информации с грифом «секретно» — не ниже 3 класса; ■ «совершенно секретно» - не ниже 2 класса; ■ «особой важности» — не ниже 1 класса. Показатели защищенности Перечень показателей по классам защищенности МЭ приведен в таб л. 9. Обозначения: « — « — нет требований к данному классу; « + « — новые или дополнительные требования;
« = « — требования совпадают с требованиями к СВ Т предыдущего класса. Таблица 9 Показатели защищенности
Классы защищенности 5
4
3
2
1
+
+
+
+
=
Идентификация и аутентиф икация Регистрация Администрирование: идентификация и аутен- + тификация
+ =
+ + +
= + +
+ = +
Администрирование: регистрация + Администрирование: простота использования -
+ -
+ +
= =
= +
Целостность Восстановление Тестирование Руководство администратора защиты
+ + + +
= = + =
+ = + =
+ + + =
+ = + =
Тестовая документация
+ +
+ =
+ +
+ =
+ +
Управление доступом (фильтрация данных и трансляция адресов)
Конструкторская (проектная) документация
Требования к пятому классу защищенности межсетевых экранов Управление доступом МЭ должен обеспечивать фильтрацию на сетевом уровне. Решение по фильтрации может приниматься для каждого сетевого пакета независимо на основе, по крайней мере, сете вых адресов отправителя и по лучателя или с учетом др угих эквивалентных атрибутов. Администрирование: идентификация и аутентификация МЭ должен обеспечивать идентификацию и аутентифика цию администратора МЭ при его локальных запросах на до ступ. МЭ должен предоставлять возможность для идентифика ции и аутентификации по идентификатору (ко ду) и паролю условно - постоянного дейс твия. Администрирование: регистрация МЭ должен обеспечивать регистрацию вхо да (выхо да) администратора МЭ в систему (из системы) либо загрузки и инициализация системы и ее программного останова. Регистрация выхода из системы не проводится в моменты аппаратурного отключения МЭ.
В параметрах регистрации указываются: ■ дата, время и код регистрируемого события; ■ результат попытки осуществления регистрируемого события - успешная или неуспешная; ■ идентифика тор администратора МЭ, предъявленный при попытке осуществления регистрируемого события. Целостность МЭ должен содержать средства контроля за целостностью своей программной и информационной части. Восстановление МЭ должен предусматривать процедуру восстановление после сбоев и отказов оборудования, ко торая до лжна обеспе чивать восстановление свойств МЭ. Тестирование В МЭ должна обеспечиваться возможность регламентного тестирования: ■ реализации правил фильтрации; ■ процесса идентификации и аутентификации адм инистратора МЭ; ■ процесса регистрации действий администратора МЭ; ■ процесса контроля за целостностью программной и информационной части МЭ; ■ процедуры восстановления. Руководство администратора межсетевых экранов Документ содержит: ■ описание контролируемых функций МЭ; ■ руководство по настройке и конфигурированию МЭ; ■ описание старта МЭ и процедур проверки правильности старта; ■ руководство по процедуре восстановления. Тестовая д окументация Должна содержать описание тестов и испытаний, которым подвергался МЭ, и результаты тестирования. Конструкторская (проектная) документация Должна содержать: ■ общую схему МЭ; ■ общее описание принципов работы МЭ; ■ описание правил фильтрации;
■ описание средств и процесса идентификации и ау те нтификации; ■ описание средств и процесса регистрации; ■ описание средств и процесса контроля за целостностью пр ограммной и информационной части МЭ; ■ описание процедуры восстановления свойств МЭ. Требования к четвертому классу защищенности межсетевых экранов У правление д оступом Данные требования полностью включают аналогичные требования пятого класса. Дополнительно МЭ должен обеспечивать 1 : ■ фильтрацию пакетов служебных протоколов, служ ащих для диагностики и управления работой сетевых уст ройств; ■ фильтрацию с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых ад ресов; ■ фильтрацию с учетом любых значимых полей сетевых пакетов. Регистрация МЭ должен обеспечивать возможность регистрации и учета фильтруемых пакетов. В параметры регистр ации включаются адрес, время и результат фильтрации. Администрирование: идентификация и аутентифик ация Данные требования полностью совпадаю т с аналогичными требованиями пятого класса. Администрирование: регистрация Данные требования включаю т анало гичные требования пятого класса. Далее дополнительные требования выделены курс ивом Дополнительно МЭ должен обеспечивать регистрацию запуска программ и процессов (заданий, задач). Целостность Данные требования полностью совпадают с аналогичными тр ебованиями пятого класса.
Восстановление Данные требования полностью совпадаю т с анало гичными тр ебованиями пятого класса. Тестирование В МЭ до лжна обеспечиваться возможность регламентного тестирования: ■ реализации правил фильтрации; ■ процесса регистрации; ■ процесса идентификации и аутентификации адм инистратора МЭ, ■ процесса регистрации действий администратора МЭ; ■ процесса контроля за целостностью программной и информационной части МЭ; ■ процедуры восстановления. Руководство администратора МЭ Данные требования полностью совпадаю т с аналогичными тр ебованиями пятого класса. Тестовая д окументация Должна содержать описание тестов и испытаний, которым по двергается МЭ, и результаты тестирования. Конструкторская (проектная) д окументация Данные требования полностью совпадают с аналогичными тр ебованиями пятого класса по составу документации. Требования к третьему классу защищенности межсетевых экранов Управление доступом Данные требования полностью включают аналогичные треб ования четвертого класса. Дополнительно МЭ должен обеспечивать: ■ фильтрацию на прикладном уровне запросов к прикладным адресам. При этом, по крайней мере, учитываются приклад ные адреса отправителя и получателя; ■ фильтрацию с учетом даты/времени; ■ фильтрацию на транспортно м уровне запросов на установ ление виртуальных соединений. При это м, по крайней мере, учи тываются транспортные адреса отправителя и получателя.
Идентификация и аутентификации. МЭ должен обеспечивать возможность аутентификации входящих и исходящих запросов методами, устойчивыми к пас сивному и/ил и активному прослушиванию сети. Регистрация Данные требования включают аналогичные требования четве ртого класса. Дополнительно МЭ должен обеспечивать: ■ регистрацию и учет запросов на установление виртуальных соединений; ■ локальную сигнализацию попыток нарушения правил фильтрации. Администрирование: идентификация и аутентифик ация Данные требования включают аналогичные требования пя того класса. Дополнительно МЭ должен препятствовать доступу не идентифицированного субъекта или субъекта, подлинность иде нтификации которого при аутентификации не подтвердилась. При удаленных запросах администратора МЭ на доступ идентификация и аутентификация должны обеспечиваться метод ами, устойчивыми к пассивному и активному перехвату информации. Администрирование: регистрация Данные требования полнос тью включаю т аналогичные требования четвертого класса. Дополнительно МЭ должен обеспечивать регистрацию дей ствий администратора МЭ по изменению правил фильтрации. Администрирование: простота использования Многокомпонентный МЭ должен обеспечивать возможно сть дистанционного управления своими компонентами, в том числе возможность конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации. Целостность Данные требования полностью включаю т аналогичные треб ования пятого класса. Дополнительно должен обеспечиваться контроль целостности программной и информационной части МЭ по контрольным су ммам.
Восстановление Данные требования полностью совпадают с аналогичными тр ебованиями пятого класса. Тестирование В МЭ должна обеспечиваться возможность регламентного тестирования: ■ реализации правил фильтрации; ■ процесса регистрации; ■ процесса идентификации и аутентификации запр осов; ■ процесса идентификации и аутентификации адм инистратора МЭ; ■ процесса регистрации действий адм инистратора МЭ; ■ процесса контроля за целостностью программной и информационной части МЭ; ■ процедуры восстановления. Руководство администратора межсетевых экранов Данные требования по лностью совпадаю т с аналогичными требованиями пятого класса. Тестовая д окументация Должна содержать описание тестов и испытаний, которьда подвергался МЭ, и результаты тестирования. Конструкторская (проектная) д окументация Данные требования полностью включаю т аналогичные треб ования пятого класса по составу документации. Дополнительно документация должна содержать описание средств и процесса централизованного управления ко мпонента ми МЭ. Требования ко второму классу защищенности межсетевых э кранов Управление доступом Данные требования включают анало гичные требования третьего класса. Дополнительно МЭ должен обеспечивать: возможность сокрытия субъектов (объектов) и/или при кладных функций защищаемой сети; возможность трансляции сетевых адресов.
Идентификация и аутентификация Данные требования полностью совпадаю т с аналогичными требованиями третьего класса. Регистрация Данные требования включаю т анало гичные требования третьего класса. Дополнительно МЭ должен обеспечивать: дистанционную сигнализацию попыток нарушения пр авил фильтрации; регистрацию и учет запрашиваемых сервисов при кладного уровня; программируемую реакцию на события в МЭ. Администрирование: идентификация и аутентификация МЭ должен обеспечивать идентификацию и ау тентифи кацию администратора МЭ при его запросах на доступ. МЭ должен пр едоставлять возможность для идентификации и аутентификации по идентификатору (ко ду) и паролю вре менного действия. МЭ должен препятствовать доступу не идентифицированного субъекта или субъекта, по длинность идентификации которого при ау тентификации не по дтвердилась. При удаленных запросах на доступ администратора МЭ идентификация и аутентификация до лжны обеспечиваться методами, устойчивыми к пассивному и активному перехвату информации. Администрирование: регистрация Данные требования полностью совпадают с аналогичными тр ебованиями третьего класса. Администрирование: простота использования Данные требования полностью совпадают с аналогичными тр ебованиями третьего класса. Целостность МЭ должен со держать средства контроля за целостностью сво ей программной и информационной части по контрольным суммам как в процессе загрузки, так и динамически. Восстановление МЭ должен предусматривать процедуру восстановления после сбоев и отказов оборудования, ко торая до лжна обеспечивать оперативное восстановление свойств МЭ.
Тестирование В МЭ должна обеспечиваться возможность регламентно го тестирования: ■ реализации правил фильтрации; ■ процесса идентификации и аутентификации; ■ процесса регистрации; ■ процесса идентификации и аутентификации администратора МЭ; ■ процесса регистрации действий администратора МЭ; ■ процесса контроля за целостностью программной и информационной части МЭ; ■ процедуры восстановления. Руководство администратора межсетевых экранов Данные требования полностью совпадаю т с анало гичными тр ебованиями пятого класса. Тестовая д окументация Должна содержать описание тестов и испытаний, ко торым по двергался МЭ, и результаты тестирования. Конструкторская (проектная) д окументация Данные требования полностью совпадаю т с анало гичными требованиями третьего класса по составу документации. Требования к первому классу защищенности межсетевых э кранов Управление доступом Данные требования полностью совпадают с аналогичными требованиями второго класса. Идентификация и аутентификация Данные требования полностью включают аналогичные треб ования второго класса. Дополнительно МЭ должен обеспечивать идентификацию и аутенти фикацию всех субъектов прикладного уровня. Регистрация Данные требования полностью совпадаю т с аналогичными тр ебованиями второго класса.
Администрирование: идентификация и аутентифик ация МЭ должен обеспечивать идентификацию и аутентифика цию администратора МЭ при его запросах на доступ. МЭ должен пр едоставлять возможность для идентификации и аутентифика ции по биометрическим характеристикам или специальным устройствам (жетонам, картам, электронным ключам) и паролю временного действия. МЭ должен препятствовать доступу не иденти фицированного субъекта или субъекта, по длинность идентифи кации которого при аутентификации не подтвер дилась. При удаленных запросах на доступ администратора МЭ иде нтификация и аутентификация должны обеспечиваться методами, устойчивыми к пассивному и активному перехвату информации. Администрирование: регистрация Данные требования по лностью совпадаю т с аналогичными тр ебованиями третьего класса. Администрирование: простота использования Многокомпонентный МЭ должен обеспечивать возможность централизованного управления своими компонентами, в то м числе конфигурированием фильтров, проверкой взаимной согласованности всех фильтров, анализа регистрационной информации. Должен быть предусмотрен графический интерфейс для управления МЭ. Целостность МЭ должен содержать средства контроля за целостностью своей программной и информационной части по контроль ным суммам аттестованно го алгоритма как в процессе загрузки, так и динамически. Восстановление Данные требования по лностью совпадаю т с аналогичными тр ебованиями второго класса. Тестирование В МЭ должна обеспечиваться возможность регламентного тестирования: ■ реализации правил фильтрации; ■ процесса идентификации и аутентификации; ■ процесса регистрации; ■ процесса идентификации и аутентификации адм инистратора МЭ;
■ процесса регистрации действий администратора МЭ; ■ процесса централизованно го управления компонентами МЭ и графического интерфейса для управления МЭ; ■ процесса контроля за целостностью программной и информационной части МЭ; ■ процедуры восстановления. Руководство админис тратора межсетевых экранов Данные требования полностью совпадают с анало гичными требованиями пятого класса. Тестовая д окументация Должна содержать описание тестов и испытаний, ко торым подвергался МЭ, и результаты тестирования. Конструкторская (проектная) д окументация Данные требования по лностью совпадаю т с анало гичными тр ебованиями третьего класса по составу до кументации. Дополнительно: документация должна содержать опи сание графического интерфейса для управления МЭ.
11. Направления работ по созданию систем
комплексной защиты информационной системы предприятия [^] Информационная система предприятия - э то организаци-онноупорядоченная совокупность информационных ресурсов (цир кулирующей информации, баз данных, ар хивов и т. д.), информацио нной инфраструктуры (программного обеспечения, интерфейсов, протоколов управления), информационных технологий и ар хитектуры, реализующая информационные процессы для удовлетворения потребностей ее пользователей. Основными видами информации, циркулирующей в ИС и обе спечивающей информационные процессы являю тся: ■ исходные данные, т. е. данные, поступившие в ИС на хранение и обработку от пользователей, абонентов и взаимодействующих ИС; ■ производственные данные, т. е. данные, полученные в ИС в процессе обработки исхо дных данных; ■ нормативно-справочные, служебные и вспомогатель ные данные; ■ программы, используемые для обработки данных и функционирования ИС; ■ алгоритмы, методы и модели, на основе ко торых разрабатывались программы; ■ техническая, технологическая и другая документация, нахо дящаяся на объектах ИС; ■ команды и данные, поступающие из системы управле ния ИС. Современные достижения в области компьютерной техни ки и создании глобальных систем и сетей связи, существенно обострили проблему борьбы с широкой гаммой возможных случайных и преднамеренных воздействий нарушителя на нормальное функционирование, передаваемню в них информацию и обеспечивающие эти процессы программы. Ситуация здесь настолько серьезная, ч то обеспечение информационной безопасности ИС превратилось с егодня в о дну из важнейших проблем в этой об ласти. Причем, сама информационная безопасность не сводится исключительно к предотвращению утечки информации, несанкционированных и непреднамеренных воздействий нарушителя на защищаемую инфо рмацию пользователей. Очень важно также во-время обнаружить и устранить последствия преднамеренного воздействия нарушителя на информационную сферу и функционирование ИС. Дело еще осложняется дополнимельно в виду наличия так называе мых уязви-
мых мест в ИС, ч то значительно помогает нарушите лям преодолевать средства предо твращения их воздействия и вносить определенные (не обнаруживаемые средствами ИС) изменения в пр ограммы вычислительных средств, в данные, хранимые на объектах ИС и используемые для обеспечения то го или иного процесса функционирования, в цирку лирующую, хранимую или обрабатываемую информацию управления с це лью у ху дшения характеристик функционирования ИС. Под обеспечением самой же информационной безопасности ИС понимается деятельность, направленная на: ■ предотвращение у течек защищаемой информационной сф еры ИС и возможных последствий от несанкционирован ных и непреднамеренных воздейс твий нарушителя на ИС; ■ обнаружение последствий о т непредотвращенных воз действий нарушителя на информационную сферу ИС; ■ локализацию мест воздействия нарушителя на информационную сферу ИС; ■ ликвидацию обнаруженных последствий воздействия нар ушителя, т. е. восстановление режима функционирова ния ИС. При этом под воздействием нарушителя, т. е. нарушителя, использующего информационное оружие, понимаются дейст вия (манипуляции) над информационными ресурсами ИС с по мощью особых компью терных средств (в том числе закладок, вирусов и т. п. в программных средствах ИС), способных у худшить качественные характеристики функционирования ИС.
11.1. Организация работ по защите от несанкционированного доступа ИИСУП [^] Под ИИСУП следует понимать А С специального назначения. Организация работ по защите СВТ и А С от НСД к информации должна быть частью работ по обеспечению безопасности информации. Последнее основывается на требованиях по защите к разраб атываемым СВТ и АС, формулируемых заказ чиком и согласуемых с разработчиком. Ответственность за разработку КСЗ возлагается на главного конструктора СВТ или А С. Проверяется выполнение технических требований по защите требованиями в процессе соответствующих испытаний (предварительных, государственных и др.) По результатам испытаний если они были успешнымиоформляется до кумент (сертификат), удостоверяющий соо тветствие СВТ или АС требованиям по защите и дающий пр аво разработчику
на использование и (или) распространение их как защищенных. Разработка мероприятий по защите должна проводиться о дновременно с разработкой СВТ и АС и выпо лняться за счет финанс овых и материально-технических средств (ресурсов), выделенных на разработку СВТ и А С.
11.2. Классификация интегрированных информационных систем управления предприятием [^] Она необ хо дима для более детальной, дифференцированной разработки требований по защите от НСД с учетом специфических особенностей этих систем. В основу системы классификации А С должны быть по ло жены следующие характеристики объектов и субъектов защиты, а также способов их взаимодействия: ■ информационные, определяющие ценность информации, ее объем и степень (гриф) конфиденциальности, а также возмо жные последствия неправильного функцио нирования АС из-за искажения (потери) информации; ■ организационные, определяющие полномочия пользо вателей; ■ технологические, определяющие условия обработки информации, например, способ обработки (автономный, муль типрограммный и т. д.), время циркуляции (транзит, хране ние и т. д.), вид АС (автономная, сеть, стационарная, подвижная и т. д.). Классификация распространяется на все действующие и прое ктируемые ИИСУП, обрабатывающие конфиденциаль ную информацию. Деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации необхо димо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации. Дифференциация подхода к выбору методов и средств за щиты определяется важностью обрабатываемой информ ации, различием АС по своему составу, структуре, способам обработки информации, ко личественному и качественному составу пользователей и обслуживающего персонала. Основными этапами классификации являю тся: ■ разработка и анализ исхо дных данных; ■ выявление основных признаков А С, необ ходимы х для их классификации; ■ сравнение выявленных признаков с классифицируем ыми;
■ мацииотНСД. Необ ходимыми исхо дными данными для проведения клас сификации конкретной А С являются: ■ перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности; ■ перечень лиц, имеющих доступ к штатным средствам АС, с указанием уровня их по лномочий; ■ матрица доступа или по лномочий субъектов доступа по о тношению к защищаемым информационным ресурсам АС; ■ режим обработки данных в АС. Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите и нформации. К числу определяющих признаков, по которым произво дится группировка АС в различные классы, о тносятся: ■ наличие в АС информации различного уровня конфиденциальности; ■ уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации; ■ режим обработки данных в А С - ко ллективный или ин дивидуальный. Устанавливается девять классов защищенности А С от НСД к информации. Каждый класс характеризуется определенной минималь ной совокупностью требований по защите. Классы подразделяю тся на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерар хия требова ний по защите в зависимости от ценности (конфиденциально сти) информации и, следовательно, иерар хия классов защищенности АС. Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, разм ещенной на носителях о дного уровня конфиденциальности. Группа содержит два класса — З Б и ЗА. Вторая группа включает АС, в которых по льзователи име ют одинаковые права доступа (полномочия) ко всей инфо рмации АС, обрабатываемой и (или) хранимой на носителях раз личного уровня конфиденциальности. Группа содержит два класса — 2Б и 2А. Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится инфор мация разных уровней конфиденциальности. Не все пользо ватели имеют право доступа ко всей информации АС. Группа содержит пять классов — 1Д, 1Г, 1В, 1Б и 1А.
11.3. Система компьютерной безопасности Основные задачи, решаемые системой компьютерной безопасности [^] ■ управление доступом пользователей к ресурсам автоматизированной системы с целью еѐ защиты от неправомерного, случайного или умышленного вмешательства в ее работу и несанкционированного (с превышением предоставленных полномочий) доступа к еѐ информационным, программным и аппаратным ресурсам со стороны посторонних лиц, а также персонала предприятия и пользователей; ■ защита данных, передаваемых по каналам связи; ■ регистрация, сбор, хранение, обработка и выдача сведе ний обо всех событиях, происходящих в системе и имеющих отношение к еѐ безопасности; ■ контроль работы пользователей системы со стор оны администрации и оперативное оповещение администратора безопасности о попытках несанкционированного доступа к ресурсам системы; ■ контроль и по ддержание целостности критичных ресур сов системы защиты и среды испо лнения прикладных про грамм; ■ обеспечение замкнутой среды проверенного программного обеспечения с целью защиты от бесконтрольного внедрения в систему потенциально опасных программ (в кото рых могут содержаться вредоносные закладки или опасные ошибки) и средств преодоления системы защиты, а также от внедрения и распространения компьютерных вирусов; ■ управление средствами системы защиты. Различаю т внешнюю и внутреннюю безопасность компьютерных систем. Внешняя безопасность включает защиту авто матизированных систем от стихийных бедствий и от проникновения в системы злоумышленников извне в целях хищения и нформации, получения доступа к ней или выво да системы из строя. Вну тренняя безопасность компьютерных систем основана на создании надежных и удобных механизмов регламентации де ятельности всех законных пользователей и обслуживающе го персонала. Результатом этих усилий до лжно быть безуслов ное соблюдение установленных на предприятии правил досту па к ресурсам системы. По способам осуществления все меры обеспечения безо пасности компьютерных систем по дразделяю тся на правовые (законодательные), морально-этические, организационные (административные), физические и технические (аппаратные и програм м-
ные). Организационные (административные) меры защиты — это меры, регламентирующие процессы функционирования системы обработки данных, порядок использования ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей системы таким образом, чтобы максимально снизить возможность угроз безопасности. Они включают: ■ мероприятия, осуществляемые при проектировании, стро ительстве и оборудовании вычислительных систем и других объектов обработки данных; ■ мероприятия по разработке правил доступа пользователей к ресурсам системы (разработка политики безопасности); ■ мероприятия, осуществляемые при подборе и подготов ке персонала, обслуживающего систему; ■ организацию о храны и надежного пропускного р ежима; ■ организацию учета, хранения, испо льзования и уничто жения документов и носителей с информацией; ■ распределение реквизитов разграничения доступа(паро-лей, ключей шифрования и т. п.); ■ организацию явного и скрытого контроля за работой пользователей; ■ мероприятия, осуществляемые при проектировании, разр аботке, ремонте и модификациях оборудования и программного обеспечения и т. п. Физические меры защиты основаны на применении разно го рода электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных пу тях проникновения потенциальных нарушителей к ко мпонентам системы и защищаемой информации, а также технических средств визуально го наблюдения, связи и о хранной сигнализации. Технические (аппаратно-программные) меры защиты основаны на использовании различных э лектронных устройств и специальных программ, вхо дящих в состав автоматизиро ванных систем и выполняющих функции защиты (идентифи кацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое преобразование информации и т. д.). Персональный компьютер (уровень пользователя) Компьютер, не включенный в локальную сеть и имеющий ко нфиденциальную информацию, подвержен большому количеству
различных у гроз. Угрозы: ■ НСД к компьютеру со стороны сотрудников и других лиц; ■ потеря информации в результате заражения компьютер ными вирусами; ■ НСД к информации через наводки кабелей ЛВС или эле ктромагнитное излучение средств вычислительной техники; ■ НСД к информации на съѐмных носителях информации (включая распечатки на бумажных носителях); ■ НСД к информации, размещенной на отказавших узлах ■ ПК, о тправляемых в ремонт; ■ Кража компью тера с конфиденциальной информацией. Пути защиты информации: ■ аутентификация пользователя, т. е. проверка принадлежности субъекту доступа предъявленного им идентифи катора, по дтверждение по длинности; ■ ограничение доступа сотрудников в помещения, в кото рых имеются компьютеры с конфиденциальной инф ормацией - использование систем управления доступом; ■ защита о т несанкционированной загрузки операционной системы - испо льзование программно-аппаратных комплексов, предназначенных для защиты от несанкцио нированного доступа к ресурсам персонального компьютера, разграничение прав зарегистрированных пользователей по доступу к ресурсам ПК, автоматизированного контроля и протоко лирования событий по доступу к компьютеру; ■ ограничение доступа со трудников к вну тренним ресурсам локального компьютера и к ресурсам Internet -использование специального комплекса защиты; ■ использование средств защиты от вирусов; ■ проведение специальных исследовательских работ и вы полнение всех рекомендаций организации, проводившей да нные работы; Угрозы безопасности информации в локальной сети и пути еѐ защиты Большинство современных автоматизированных систем (локальные сети) состоят из следующих основных структурнофункциональных элементов: ■ рабочих станций - отдельных Э ВМ или удаленных терминалов сети, на ко торых реализую тся автоматизированные ра-
бочие места пользователей; ■ серверов или host-машин (служб файлов, печати, баз данных и т. п.); ■ межсетевых мостов (шлю зов, центров коммутации паке тов, коммуникационных ЭВМ ); ■ каналов связи (локальных, телефонных, с узлами ком мутации и т. д.). Рабочие станции являю тся наиболее доступными компо нентами сетей, и именно с них могу т быть предприняты по пытки совершения несанкционированных действий. С рабочих станций осуществляется управление процессами обработки информации, запуск программ, ввод и корректировка дан ных, на дисках рабочих станций могут размещаться важные данные и программы обработки. На видеомониторы и печата ющие устройства рабочих станций выводится рабочая информация пользователей, выполняющих различные функции и имеющих различные полномочия по доступу к данным и другим ресурсам системы. Именно поэтому рабочие станции должны быть надежно защищены от доступа посторонних лиц, и содержать средства разграничения доступа к ресурсам со стороны законных по ль зователей, имеющих разные по лномочия. Пути защиты рабочих станций от НСД - организация централизованного назначения пользовательских по лномочий по до ступу к ресурсам рабочих станций и постоянный автоматизированный контроль их действий: использование специальных комплексов защиты и администрирования. В особой защите нуждаю тся такие привлекательные для зло умышленников элементы сетей, как серверы (host-машины) и мосты. Первые как концентраторы больших объемов информации (баз данных), вторые — в качестве элементов, осуществляющих преобразование данных при согласовании протоко лов обмена в различных участках сети. Решения по защите перечислены ниже: ■ Ограничение доступа со трудников в помещение, в ко то ром имеются компьютеры с конфиденциальной информацией — использование систем управления доступом. ■ Использование сетевых средств защиты — разграниче ние сетевых ресурсов для по льзователей с помощью средств сетевой операционной системы. При организации корпоративной информационной сети с и спользованием Internet возможности несанкционированного доступа к информации достигаю т обычно наивысшего уро вня. Угрозы:
■ организация внешних атак на корпоративную сеть; ■ внутренние угрозы информационным ресурсам корпо ративной сети; ■ НСД к информации на серверах сети со стороны рабочих станций; ■ НСД к ресурсам рабочей станции со стороны сотрудников и других лиц; ■ НСД к информации через наводки кабелей ЛВС; ■ НДС к информации через электромагнитное излучение средств вычислительной техники; ■ НСД к информации на съѐмных носителях информации (включая распечатки на бумажных носителях); Способы защиты информации При работе в сети Internet помогает прежде всего «межсетевой экран», позволяющий не то лько защититься от несанкционированных действий со стороны внешних сетей, но и организовать надежную защиту выделенного сервера или группы серверов внутри собственной сети или разделить целесообразным образом сегменты внутренней сети. Для крупной корпоративной сети для отражения атак, из другой сети важное значение имеет надежная защита с по мощью дополнительных программ по обнаружению и отражению нападений, выявлению злонамеренных приложений и вирусов. Подобные пр одукты значительно дополняют воз можности вышеназванных межсетевых.
11.4. Оснащение объекта техническими средствами противодействия экономическому шпионажу и защиты речевой информации [^] Основные задачи, решаемые при оснащении объекта ао добными средствами противо действия — э то: ■ криптографическая защита конфиденциальной инфор мации (налоговая о тчетность, бу хгалтерская документация и т. п.) на магнитных носителях, а также при передаче по электронной почте; ■ защита информации в специально выделенном помещении, предназначенном для проведения конфиденциальных переговоров; ■ защита информации в служебных помещениях р уково дителя предприятия, его заместителей и других о тветствен ных сотруд-
ников предприятия; ■ защита информации на абонентском участке телефон ной линии (о т телефонного аппарата до городской АТС); ■ защита информации на всем протяжении телефонной линии (от одно го абонента до другого, включая АТС и магистральный участок); ■ оснащение службы безопасности предприятия поиско выми техническими средствами. Системы управления доступом Управление доступом представляет собой совокупность пр ограммно-технических средств и организационно-административных мероприятий, с помощью ко торых решается задача контроля и управления посещением отдельных помещений, а также осуществляется оперативный контроль за персоналом и врем енем его нахождения на территории предприятия. Управление доступом обеспечивается созданием на предприятии автоматизированной системы управления доступом. Главным направлением развития СУД является их инте ллектуализация, то есть передача максимально во зможного количества функций по сбору, обработке информации и пр инятию ре шений компьютерам, для обеспечения работника службы безо пасности полной и точной информацией о происходящих на объекте событиях, а также для безошибочного и своевременного принятия оперативных решений. Система управления доступом базируется на существую щей локальной вычислительной сети предприятия, состоящей из серверов СУД - компьютеров, ко торые управляют подклю ченными к ним контроллерами СУД, а также из различных ис полнительных механизмов. Возможности СУД: ■ организация в пределах о дной ЛВС нескольких автоматизированных рабочих мест разного уровня - администратора безопасности, службы о храны, бюро пропусков и т. д.; ■ назначение пользователям прав по доступу на режимную территорию; ■ регистрация всех событий, связанных с доступом на ре жимные объекты; ■ регистрация, в масштабе реального времени, тревожных событий по доступу на важные объекты с наглядным отображением на плане места его совершения, а также всей информации о сотруднике, его совершившем (включая и фотографию сотрудника);
■ организация работы э лектронной про ходной; ■ регистрация работы как операторов СУД, так и функци онирования самой системы управления доступом; ■ предоставление дополнительных сервисных функций (расчет рабочего времени сотрудников, оперативное определение местонахождения сотру дника, фиксация опозда ний на рабочее место и т. д.). Организация системы видеонаблюдения Системы видеонаблюдения являю тся действенным средст вом повышения безопасности предприятия и обычно интегрируются вместе с системами охранно-пожарной сигнализации и управления доступом. При оснащении предприятия си стемами видеонаблюдения, как правило несколько операторских постов. Сами системы строятся на основе матричных коммутато ров, мультиплексоров, цифровых детекторов движения, уст ройств регистрации, видеокамер. Основа системы матричный коммутатор, позволяю щий по дключать любую видеокамеру к любому монитору системы, упра влять видео камерами посредством подключаемых к нему клавиатур, формировать последовательности изображений в любом порядке, выводить на экран номер видеокамеры и на звание объекта контроля, сообщения о сигналах тревоги, те кущее время и инструкции оператору. Возможности: ■ контроль за периметром предприятия и внутренней от крытой территорией; ■ обеспечение безопасности и комплексного контроля шта тных сотру дников при пересечении ими рубежей охра ны режимных объектов и границы предприятия в целом; ■ контроль транспорта и грузов, пересекающих границу терр итории предприятия; ■ ведение круглосуточного видеонаблю дения и со хране ние изображения на видеомагнитофоне с возможностью последующего его воспроизведения. Защита систем обработки и перед ачи информации при не предвиденных обстоятельствах с помощью планирования В системе управления предприятием планирование дейст вий крайне необхо димо в непредвиденных обстоятельствах, ч тобы свести к минимуму ущерб, который может быть нанесен неожиданными и нежелательными событиями, могущих повлиять на проце ссы обработки и передачи информации. Подобные ситуации скла-
дываю тся как в результате бедствий с малой вероятностью возникновения, так и дово льно часто случающихся событий (отказ технических средств, наруше ние электроснабжения и т. п.). Планирование действий в не предвиденных обстоятельствах обычно позволяет минимизировать отрицательные функциональные и финансовые последствия о т нежелательных событий независимо от масшта ба последних. Для успешной реализации программы восстановления ЛВС после непредвиденных обстоятельств важно заранее по стоянно заботиться о : ■ надлежащем со хранении файловой системы; ■ обновлении документации; ■ стандартизации технического и программного обеспечения; ■ соблюдении требований по со хранению способности к во сстановлению при развитии системы; ■ понимании важности взаимосвязей между всеми эле ментами цикла обработки информации; ■ наличии у обслуживающего персонала хо тя бы общих пре дставлений о вероятности наступления неблагоприят ных событий, затрагивающих каждый э лемент системы; ■ принятие мер, направленных на минимизацию часто ты и величины по терь; ■ разработке плана действий на случай чрезвычайных ситуаций. Детализировать последний план необ ходимо до такой сте пени, чтобы свести объемы принимаемых решений (кто, что и как делает) к минимуму. Первое, что необ ходимо предусмотреть в таком плане, это его увязку со схемой готовности к чрезвычайным ситуациям и обесп ечение сохранности информации. Все это непременно с учетом пр иемлемой степени риска и затрат. При составлении плана бедствий преследуются цели: ■ сохранения работоспособности информационной системы; ■ распределение обязанностей (кто, ч то и когда делает). При этом также решаются и документируются следующие вопросы: ■ Какие прикладные задачи должны быть решены? ■ В чем заключаются обязанности служащих? ■ Какое оборудование и материалы необхо димы для решения прикладных задач? ■ Что подлежит перемещению в случае бедствия? ■ Как поступить с невыполненными работами? ■ Что из себя представляют инструкции для по льзователя?
Составление плана В плане обязательно должны быть: ■ имена, адреса и номера телефонов ведущих со трудников; ■ цели и обязанности сотрудников при восстановлении де ятельности ЛВС; ■ списки необ хо димых внешних ресурсов, включая те хнические средства, программное обеспечение, средства свя зи, данные, документы, офисное оборудование, документацию и персонал; ■ вспомогательная информация (маршруты перевозок, карты, адреса и т. п.); ■ схемы, детально описывающие, как должны проводить ся восстановительные работы. В резу льтате анализа деятельности предприятия должны быть определены следующие элементы: ■ список жизненно важных прикладных задач, перечисленных в порядке убывания их приоритетности; ■ список ресурсов, обеспечивающих обработку данных и пер ечисленных в порядке убывания приорите тности; ■ потенциально опасные события и оценка вероятности их наступления; ■ оценка возможных денежных убытков в случае наступления опасных событий. Среди таких опасных событий вполне возможны: ■ отказ системы кондиционирования возду ха, электриче ского питания, оборудования, системы телекоммуникации; ■ наводнение; ■ пожар; ■ гражданские беспорядки; ■ вандализм или саботаж; ■ кража; ■ пикетирование предприятия; ■ чрезвычайные происшествия, ко торые приводят к повреждению здания, оборудования и материалов; ■ забастовки; ■ военные действия. В плане должны быть описаны конкретные действия, ко торые необхо димо предпринять в каждом из э тих обстоятельств. Убытки в результате подобных внешних воздействий трудно оценить ко личественно, однако можно указать неко торые их потенциальные источники: ■ потеря собственности;
■ ■ ■ ■
увеличение эксплуатационных расхо дов; потеря прибыли; публикация неблагоприятной информации; потеря конкурентоспособности.
Условия работы Следует определить - ресурсы, необходимые для обработки данных: ■ конфигурацию технических средств; ■ системную интеграцию; ■ сеть телеобработки; ■ программное обеспечение, включая системное, прикладное и для передачи данных; ■ документацию (для программ, по эксплуатации и для пользователя); ■ потребности в персонале. При этом необ ходимо учитывать любые возможные изменения в будущем. Хранение документации и данных вне производственных п омещений. Резервное место хранения для этих целей должно быть бе зопасным и удаленным от основных помещений. В плане необхо димо предусмотреть наличие резервных экземпляров следующих документов и данных: ■ описания систем, программ и операционной среды; ■ исходных текстов программ и объектных кодов; ■ библиотек процедур; ■ библиотек операционной среды; ■ основных файлов; ■ файлов изменений; ■ руководства по плану действий в непредвиденных об стоятельствах; ■ учетной ведомости технических средств; ■ программного обеспечения. Прод олж ительность Не менее важным фактором является длительность пери ода неработоспособности. При этом необ ходимо предусмотреть несколько различных предпола гаемых периодов неработоспособности системы и для каждого из них разработать несколько вариантов плана действий в непредвиденных об стоятельствах. Эти варианты делятся на три основные кате гории:
■ кратковременная неработоспособность (до 6 ч.); ■ неработоспособность средней продолжительности (о т 6 до 24 ч.); ■ длительная неработоспособность (свыше 24 ч.). Как правило, кратковременная неработоспособность не требует переезда в резервное производственное помещение, но влечет за собой изменение графика работы. Однако в о т дельных случаях оценка периода неработоспособности может оказаться затрудн ительной, что влечет за собой подготовку к переезду в резервное помещение для повышения оперативности при возникновении реальной угрозы. Для э той цели необ хо димо контролировать ситуацию, за ново оценивать состояние и определять, когда нужно присту пать к выполнению плана более высокой категории. Заблаго временное предупреждение о принятии новой схемы действий сделает перехо д в следующий режим работы более плавным и облегчит задачу тех, кто его осуществляет.
11.5. Этапы проведения работ по обеспечению информационной безопасности предприятия [^] Они выглядят следующим образом: 1. Проведение обследования предприятия на предмет вы явления реальных угроз несанкционированного доступа к ко нфиденциальной информации. 2. Разработка политики безопасности, организацио ннораспорядительных документов и мероприятий по обеспечению ИБ ИИСУП в соответствии с требованиями по за щищенности технических и программных средств от утеч ки конфиденциальной информации. 3. Проектирование системы информационной безопасности. 4. Создание прото типа системы информационной безо пасности. 5. Разработка образца системы информационной безопасности 6. Внедрение системы информационной безопасности в дейс твующую структуру предприятия. 7. Обучение персонала 8. Аттестация системы информационной безопасности пре дприятия
Приложение 1 Терминологический словарь [^] А Автоматизированная система управления (точнее — управляющая) — целенаправленная иерар хическая большая интегрир ованная управляющая система «человек-машина», обеспечивающая эффективное функционирование объекта управления (технического, технологического, организационного или экономического ко мплекса), в которой сбор и переработка информации необходимой для реализации функций управления, осуществляется с применением комплекса средств автоматизации, причем в реализации алгоритмов одной или неско льких функций (главным образом функции принятия решений) участвует человек -оператор. Агрегатирование - объединение в единую систему техн ических средств различного назначения. Адаптация — приспособление управляющей системы к функционирующему объекту. Адаптивная модель — модель, структура и параметры которой изменяются так, ч тобы через некоторое время погрешности между выходными переменными модели и объекта были наименьшими. Адаптивная система — технические средства, управленческие ин-формационно-документационные системы, способные приспосабливаться к изменяющимся условиям. Администратор защиты — субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного досту па к информации. Администратор информационной системы — человек, обслужива ющий систему управления информацией или малую многопользова тельскую вычислительную систему. Алгоритмический язык — система знаков, используемая для описания соответствующих задач при их решении с помощью ЭВМ. Анализ рисков — процесс определения угроз, уязвимостей, возможного ущерба, а также контрмер. «Андеграунд» компьютерный — обобщающий термин для всех лиц, активно и сознательно использующих в противоправных и антисоциальных целях Интернет, компьютеры и другие технич еские средства, тесно связанные с вычислительной техникой (особенно средствами связи). Антивирусная программа — программа, выявляющая вирус-
ную программу на диске или в оперативной памяти компьютера и обезвреживающая ее. Аппаратный ключ — физическое приспособление, используемое для защиты компьютерной системы от несанкционирова нного до ступа. АРМ — автоматизированное рабочее место — комплекс технических средств для автоматизации труда руководителя, специалиста. Атрибуты файла - характеристики файла, описывающие его в конкретной файловой системе: системный файл, скр ытый файл, файл, закрытый от записи и т.д. Аутентификация — 1. Проверка принадлежности субъекту досту па предъявленно го им идентификатора; подтверждение по длиннос ти. 2. Верификация соответствия неко торого субъекта, имеющейся априорной информации о нем.
Б База данных — информация, содержащаяся в карто теках, на машинных носителях, дисках, в различных устройствах и прим еняемая при проведении специальных операций. База данных и знании (Data and knowledge) — информационно-математическая модель функциональной подсистемы (пре дметной области) эргасистемы (А СУ), основанная на знаниях и содержащая в качестве базисной логико -лингвистическую модель предметной области (тезаурус функциональной подсистемы), предназначенная для создания прикладной интеллектуальной ч еловеко-машинной си стемы (вопросно-ответной, расчетнологической, э кспертной, поддержки принятия решений и пр.). Базовый анализ рисков — анализ рисков, прово димый в соответствии с требованиями базового уровня защищенности. Безопасность — состояние защищенности жизненно важных интере сов личности, общества и государства от внутренних и внешних угроз. Безопасность информации — состояние информации, информационных ресурсов и информационных и телекоммуникацио нных сис тем, при котором с требуемой вероятностью обеспечивае тся защита информации. Блок-схема алгоритма — запись алгоритма в виде соединенных стрелками-связями б локов, представляющих собой вычислительные или логические операции.
В Взаимодействие «человек-машина» — обмен сообщениями между человеком и компьютером с помощью специальной пр ограммы и технических средств. Виртуальная реальность — условное название новой информационной технологии человеко-машинного взаимодействия, реализую щей с помощью комплексных мультимедиа-операционных сред иллю зию непосредственного вхождения и присутствия в р еальном времени в стереоскопически представленном «экранном мире». В.р. обеспечивает возможность человеку-оператору наблюдать за своим «перемещением» внутри конструкций большого размера, последовательно представляемых (визуализируемых) на экране дисплея компьютера. Вирус компьютерный — родовое наименование большого числа достаточно разнообразных вредоносных программ, главной отличительной чертой которых является способность к «саморазмножению» или «самораспространению» при определенных условиях. Вирусная программа — программа, специально предназначенная для копирования самой себя и выполнения различных действий на компьютере без санкции пользователя. Вычислительная сеть — группа компьютеров и связанных с ними устройств, соединенных средствами связи.
Г Гостехкомиссия России (Государственная техническая к омиссия при Президенте Российской Федерации) — создана Указом Президента Рос сийской Федерации от 5 января 1992 г. № 9 как постоянно действую щий орган государственно го управления и несет ответственность за обеспечение защиты информации, соста вляющей служебную и государ ственную тайну от ее утечки по те хническим каналам и за противодей ствие техническим разведкам на территории Российской Федерации. Государственная тайна — защищаемые государством сведения в области его военной, внешнепо литической, э кономической, разведывательной, контрразведывательной и оперативно розыскной дея тельности, раскрытие которых может нанести ущерб безопасности Российской Федерации. «ГРИМ-ДИСК» — аппаратное устройство для защиты информации (шифратор IDE-IDE). Гриф секретности — реквизиты, свидетельствующие о степе-
ни секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него.
Д Декомпилирование программы для ЭВМ — это технический прием, включающий преобразование объектного кода в исхо дный текст в целях изучения структуры и ко дирования пр ограммы для ЭВМ. Делфи — многофункциональная визуальная система программирования (объектно-ориентированная программная системасреда) для быстрой разработки (на ее Pascal-языке) Windowsприложений. Ее компилятор делает мобильные (для любой Э ВМ с процессором не ниже Intel 80386) ЕХЕ-файлы (ч то отличает ее от других анало гичных си стем, например, от Microsoft Visual Basic). Дерево файлов — Структура каталогов, по дкаталогов и файлов на диске, указывающая на расположение файлов в подкаталогах и каталогах и по дкаталогов в каталогах. Диалог «человек-машина» — процесс работы, основанный на дву сторонней связи в решении процедур, задач между ч еловеком и ЭВМ. Дисассемблирование — перевод машинных кодов какой-либо программы в ее представление на языке ассемблера. Дизассемблирова-ние (декомпилирование) является процедурой, регулируемой в большинстве стран национальным законодательством об охране авторских прав. Дискретизационный принцип контроля доступа — контроль досту па, реализуемый путем контроля комплексом средств защиты досту па именованных субъектов (пользователей) к именованным объектам (например, файлам, программам, томам). Диффи-Хеллман'а алгоритм — знаменитый алгоритм форм ирования «общего секрета» сторонами, обменивающимися данными по открытому каналу, на основе двух пар ключей — общедоступных «открытых» ключей и индивидуальных — «секретных» — ключей. Допуск к государственной тайне — процедура оформления права граждан на доступ к сведениям, составляющим государс твенную тайну, а предприятий, учреждений и организаций — на проведение работ с использованием таких сведений. Доступ к информации — ознакомление с информацией, ее обработка, в частности, копирование, модификация или унич тожение информации.
Доступ к сведениям, составляющим государственную тайну — санкционированное полномочным должностным лицом ознакомление кон кретного лица со сведениями, составляю щими государственную тайну Доступность — возможность за приемлемое время получить от информационной системы требуемую информацио нную услугу.
Ж Жизненно важные интересы — совокупность потребностей, удовлетворение ко торых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства . Журнал — файл регистрации или список транзакций, происходящих в компьютере или в сети. Журнал служит вспомогательным средством для восстановления событий или данных при их потере или порче.
З Загрузочные вирусы — тип программ-вирусов. Заражают загрузочный (boot) сектор флоппи-диска или boot-сектор или Master Boot Record (MBR) винчестера. Задание по безопасности — полная комбинация требований, являю щихся необ хо димыми для создания и оценки информацио нной безопасности конкретной системы или продукта информационных техно логий. Замысел защиты информации — основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность осуществления технических и организационных мероприятий, необ ходимых для до стижения цели защиты информации. Защита вычислительной системы — предо хранение вычислительной системы и ее данных от повреждения или по тери. Гла вная цель защиты компьютера, особенно в системах, которые до ступны многим пользователям через линии связи — предотвращение несанкцио нированного использования системы. Защита данных — процесс обеспечения сохранности и целостности данных при их обработке и хранении. Защита информации — 1. Организационные, правовые, те хнические и технологические меры по предотвращению угроз информационной безопасности и устранению их последствий. 2. Де ятельность, на правленная на предо твращение у течки защищаемой информации, несанкционированных и непреднамеренных воздей-
ствий на защищае мую информацию Защита информации от агентурной разведки — деятельность, на правленная на предотвращение по лучения защищаемой информации агентурной разведкой. Защита информации от непреднамеренного воздействия — деятельность, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технич еских и про граммных средств информационных систем, природных явлений или иных ненаправленных на изменение информации м ероприятий, приводящих к искажению , уничтожению, копированию, информации блокированию доступа к ней, а также к утрате, уничтожению или сбою функционирования носителя информации. Защита информации от несанкцио нированного воздействия — деятельность, направленная на предотвращение воздействия на защища емую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящего к ее искажению, уничтоже нию, блокированию доступа к информации, а также к утрате, уничто жению или сбою функционирования носителя информации Защита информации от несанкционированного доступа; защита информации — деятельность, направленная на предотвращение получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владель цем информации прав или правил доступа к защищаемой информации. Защита информации от разведки — деятельность, направленная на предо твращение по лучения разведкой защищаемой информации. Защита информации от разглашения — деятельность, направленная на предотвращение несанкционированного доведения защищаемой информации до потребителей, не имеющих права доступа к э той информации. Защита информации от технической разведки — деятельность, на правленная на предотвращение получения защищаемой информации разведкой с помощью технических средств. Защита информации от у течки — деятельность, направленная на предо твращение неконтролируемого распространения защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации разведками. Защита от несанкционированного доступа — предотвращение или существенное затруднение несанкционированного доступа Защита паролем — способ ограничения доступа пользователей
к компьютерной системе или ее файлам с использованием метода пародирования. Защищаемая информация — информация, являющаяся предметом собственности и по длежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Защищенное средство вычислительной техники (защище нная автоматизированная система) — средство вычислительной техники (автомати зированная система), в ко торых реализован комплекс средств защиты. Защищенное техническое средство обработки инфо рмации — техниче ское средство обработки информации, удовлетворяющее требованиям нормативно-технических до кументов по безопасности информации. Защищенные (закрытые) системы и комплексы телекоммуникации — системы и комплексы телекоммуникации, в которых обеспечивается защита информации с использованием шифровальных средств, защищенного оборудования и организационных мер. Заявитель в области защиты информации — предприятие г представившее документы, необ хо димые для получения лицензии или ре шения о выдаче лицензии. Злоумышленник — по льзователь или программа, неправомочно (несанкционированно) пытающиеся получить доступ к о тдельному компьютеру или компьютерной сети.
И Идентификация — присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификато ра с перечнем присвоенных идентификаторов. Имитовставка — отрезок информации фиксированной длины, полученной по определенному правилу из открытых данных и клю ча и добавленный к зашифрованным данным для обеспечения ими-тозащиты. Имитозащита — защита системы шифрованной связи от навязы вания ложных данных. Изоморфность моделей — одинаковое по форме математическое описание для разных по физической форме явлений. Интеграция — понятие, означающее сведение отдельных, дифференцированных частей в единое целое, а также процесс, ведущий к та кому состоянию. Интеграция и дифференциация — противоположные по своей
сути процессы, означающие «соединение» и «разъединение» ра зличных производственных звеньев, о днако в интересах успешного продвиже ния к цели. Интерактивный режим — режим функционирования «человеко-машинной» системы, основанной на диалоге «человекЭВМ», предусматривающий немедленный ответ системы на запрос пользователя. Интернет (Internet) — глобальная телекоммуникационная информационная сеть (метасеть), объединяющая десятки тысяч сетей ЭВМ, о хватывающих более ста стран, миллионы подключенных узловых Э ВМ, десятки миллионов операторов-пользователей. Ежеме сячно по метасети про хо дит более 25 Терабайт информации. Интерфейс (Interface) — «плоскость» (общая граница) взаимодействия, соприкосновения человека-оператора и ЭВМ, т.е. совокупность программно-технических средств, обеспечивающих обмен данными (быстродействующая связь) между двумя устройс твами (системами) или — человеком и машиной. Интерактивный режим (Interaction mode) — диалоговый режим функционирования человеко -машинной системы, предусматривающей практически немедленный (менее 20 с) о твет ЭВМ на запрос человека-оператора. Характеризуется реализацией развитых средств ве дения диалога, позво ляющих, например, задавать вопросы в произвольной форме, с использованием «ключевого» слова, в форме с ограниченным набором символов и др. Информативность — по лезность данных, сведений, знаний, их важность, насыщенность содержанием в небольшом по объему документе, микрофильме, видеокассете или в других носителях информации. Информационная база — комплекс взаимосвязанных внутрима-шинных специализированных баз данных и знаний функциональных по дсистем эргасистемы (АСУ), внемашинной нормативно-справочной базы, а также учетных и ар хивных данных для обеспечения решение целевых и функциональных задач. Информационная безопасность — защищенность потребностей объекта (эргасистемы) в качественной (ценной) информации, необхо димой ему для нормального функционирования и развития (обучения). Информационная инфраструктура — совокупность центров обработки и анализа информации, каналов информационного о бмена и телекоммуникации, линий связи, систем и средств защиты информации. Информационная продукция — отдельные документы и отдельные массивы документов, до кументы и массивы документов в
информационных системах, передаваемые в результате продажи, обмена, неторговой поставки юридическими лицами физическим лицам с приобретением прав собственности, владения или распоряжения этими документами и массивами документов. Информационная работа — процесс создания аналитической информации, состоящий из организации сбора и первичной обр аботки материалов, анализа и избирательного распространения и нформации. Информационная революция — термин, используемый в отношении текущего периода человеческой истории, характеризу ющего тем, что владение и распространение информации вытеснило механизацию или индустриализацию как движущую силу в обществе; применяется также для описания быстрого роста объема о бщедоступной сегодня информации. Информационная система — система, в которой образующие элементы и их отношения (связи) являю тся информ ационными. Информационная среда (Informational environment) — множество информационных объектов (систем) и связей ме жду ними, информационные средства и техно логии, собственно информация, а также организационные и юридические структуры. Информационная среда общества — совокупность информационных ресурсов, система формирования, распространения и использования информации, информационной инфраструктуры. Информационная сфера (среда) — сфера деятельности субъектов, связанная с созданием, преобразованием и потреблением информации. Информационная структура — Упорядоченная совокупность логически связанных сведений, информации о структу рах и процессах в производственно-хозяйственной организации, их о тношениях и изменениях. Информационная теория эргасистем — область знания, изучающая на базе комплексного подхо да поведение сложных человеко-машинных (эргатических) объектов как информацио нных систем. Информационные технологии — совокупность средств и методов обработки данных, обеспечивающих целенаправленный сбор, хране ние, обработку, передачу и представление информации. Информационно-аналитическая деятельность в сфере обеспечения безопасности личности и предпринимательской деятельности — деятельность предприятий, учреждений и организаций независимо от форм собственности, а также создаваемых в этих целях обществен ных объединений, направленная на удовлетворение информационных потребностей в сфере обеспечения
безопасности личности и осуществления предпринимательской деятельности. Информационно-вычислительная сеть — система информационно-вычислительных центров и информационных фондов, представляю щая услуги по использованию свободных вычислительных мощностей и хранящейся информации. Информационно-вычислительный центр - организация, занимающаяся переработкой информации с помощью средств вычислительной техники. Информационно-поисковый массив — упорядоченная совокупность до кументов, фактов или сведений о них, предназначенная для информационного поиска. Информационно-поисковая система — система языковых алгоритмических и технических средств, предназначенных для хр анения, по иска и выдачи необ ходимой информации. Информационное моделирование — моделирование, при котором оцениваются информационные потоки, их характеристики, направления, формы и содержание, отражающие и нформационную деятельность объекта защиты. Информационное обеспечение — 1. Управляемый процесс удовлетво рения информационных потребностей граждан, организаций, государственных и общественных органов, возникаю щих в процессе их дея тельности. 2. Обеспечение определенно го круга лиц, ведущего конкретное исследование, обработанной по заданным критериям информацией. 3. Совокупность мето дов, систем и средств получения, передачи, сбора, обработки, хранения и использования информации в конкретной сфере человеческой деятельности. 4. Информационная и информационно-справочная работа, включающая изучение информационного спроса, информационных потребностей и запросов различных катего рий пользователей (потребителей) информации, а также организацию обработки, хранения и выдачи информации в соответствии с информационными потребностями, запросами и действующими правилами. Информационное пространство — 1. Нормативно регулируемая и общепризнанная сфера информационных отношений. 2. Идеальное бесконечномерное счетное пространство, способное отобр азить все состояния предметной области. Информационное противоборство — межгосударственное противоборство, осуществляемое через информационные ресурсы как в мирное, так и в военное время в системах управления государством, его экономикой, вооруженными силами, наукой и нау чно-технической политикой, а также в системе психологического воздействия на общественное сознание, население и личный состав
вооруженных сил. Информационное сообщение — 1. Письменное или устное представление того, что передается потребителям информ ации. 2. Оперативная информация о важном событии, факте или явлении, представляю щая интерес для большинства тех слушателей, для которых ведется вещание. Информационные меры и показатели - математические модели, предназначенные для оценивания (измерения) количества информации и информационной эффективности функционирования и применения эргасистем. Известны меры структурной информации (Вина-ры — Шеннона, Колмогорова, Шилейко — Кочнева, Ловцова — Князе ва и др.) и количества содержательной информации (Моисеева, Хартли, Шрейдера и др.). Меры используются в качес тве компонентов по казателей. Информационные отношения — взаимоотношения объектов (эргасистем) в информационных средах (искусственных, естес твенных и гибридных), включающие информационное обособление (изоляцию и защиту ) и информационное взаимодействие (сотру дничество и со перничество). Информационные продукты (продук ция) — документированная информация, подготовленная в соответствии с потребностями пользователей и предназначенная или применяемая для удовлетворения потребностей по льзователей Информационные процессы — процессы создания, сбора, обработки, накопления, хранения, поиска, распространения и предо ставле ния потребителю документированной информ ации. Информационные ресурсы — 1. Данные и до кументированная информация о жизнедеятельности общества, организованная в базы и банки данных, а также другие формы организации информации. 2. Отдельные документы и о тдельные массивы документов, доку менты и массивы документов в информационных системах (биб лиотеках, ар хивах, фондах, банках данных, других информационных системах). Информационные средства — средства техники, предназначенные для передачи информации. Информативные услуги — действия субъектов (собственников и вла дельцев) по обеспечению пользователей информ ационными ресурсами Информационный массив — совокупность исхо дных данных, характеризующих объект управления. Информационный о бмен — фундаментальное биологическое свойство живых систем, выражающееся в передаче информации от одного вида материи к другому или от одного объекта к другому,
обеспечивающее всеобщее взаимовлияние и взаимозависимость через меха низм отражения (ощущение — сознание). Информационный подход — методоло гия исследования сложных объектов как целенаправленных информационных систем. Информационный ресурс — совокупность запасов содержательной информации (информационно-содержательный ресурс) и возмож но-стей структурной информации (информационно структурный ресурс) эргасистемы. Информатиза ция — процесс внедрения в эргасистемы государственного уровня современных информационных техноло гий на базе средств микропроцессорной и вычислительной техники, средств информационного обмена, методик разработки и рационального использования НИТ, ориентированных на реализацию основных целей видов деятельности (функциональных по дсистем). Информатика — отрасль знаний, относящихся к производству, переработке, хранению и распространению всех видов информ ации, а также к внедрению и использованию информационной те хники и компьютерной технологии. Информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Информация компьютерная — информация на машинном носителе, в электронно-вычислительной машине, системе ЭВМ или их сети, с реквизитами, позволяю щими ее идентифицировать, являю щаяся собственностью физических или юридических лиц, и в отношении ко торой информации установлен особый режим защиты и эксплуатации. Информация коммерческая — документация предприятия по вопросам сбыта его продукции, а также документация, получаем аяпред-приятием в порядке обмена от партнеров. К последней относятся: заявки и заказы торговых организаций; материалы служб изучения рынка предприятий, организаций и учреждений торговли (материалы о движении товаров в оптовых и розничных организациях, коньюнк-турные обзоры, предложения по текущей замене ассортимента и т.п.). Информация, отнесенная к категории ограниченного доступа — до кументированная информация; к ней предусматривается специально санкционированный доступ. Информация специальная — данные, полученные в результате специальных мероприятий по изучению рынка (опросов населения, покупателей, специалистов торговли и промышленности, экспе ртов; участников выставок-продаж, коньюктурных совещаний), а также материалы научно-исследовательских организаций. Информатирование — передача сведений различного характе-
ра с целью оперативного осведомления заинтересованных сторон. Информативность — наличие достоверных сведений для организации процесса управления. Инфраструктура — комплекс отраслей, обслуживающих промышленное и сельско хозяйственное производства. Искусственный интеллект (Artifical intellegence) — 1. Способность программно-технического устройства выполнять функции, присущие человеческому интеллекту (рассуждение, обучение, самосовершенствование). 2. Условное название направления нау чных исследо ваний в области систем. Использование программы для ЭВМ или базы данных — выпуск в свет, воспроизведение, распространение и иные де йствия с этими программами или базами по их введению в хо зяйственный оборот (в том числе в модифицированном виде). Одна лишь пер едача средствами массовой информации сообщений о выпущенной в свет про грамме для ЭВМ или базе данных за использование пр ограммы для Э ВМ или базы данных.
К Канал передачи данных — физическая среда по которой передается информация из одного устройства в другое. Категорирование защищаемой информации (о бъекта защиты) — установление градаций в важности защищаемой информ ации (объекта защиты) Кибернетический подход — методо логия исследования сложных систем использованием информационных процессов (техно логических процессов переработки информации) и процессов (алгоритмов) функционирования информационной б азы системы. Класс защищенности средств вычислительной техник и (автоматизированной системы) — определенная совокупность требований по защите средств вычислительной техни ки (автоматизированной системы) от несанкционированного доступа к инфо рмации. Класс рисков — множество угроз информационной безопасности, выделяемых по определенному признаку (например, относ ящихся к определенной подсистеме или типу ресурса). Кластер — комплексная единица разбиения логическо го диска. Состоит из одного или нескольких подряд расположенных логич еских секторов диска. Кодирование — в терминологии защиты данных: «шифрование». Коммуникационная (шенноновская) информация — совокуп-
ность све дений (знаний) о конкретном процессе взаимодействия в ансамблема-териальных объектов (систем), со держащаяся в статистических структурах заданного множества информационных массивов (сообщений), воспринимаемых получателем (человеком оператором, ЭВМ и др.) и испо льзуемая им (с учетом его индивидуального или общесистемно го тезауруса — накопленных знаний) для определения состояния источника информации. Разновидность содержательной информации. Комплекс средств защиты (КСЗ) — 1. Комплекс средств защиты: совокупность всех (программно-технических) средств защиты. 2. Со вокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техни ки или автоматизированных систем от несанкционированного доступа к информации. Комплексный по дход — системный по дхо д, в ко тором акцентируется внимание на информационном и кибернетическом аспе ктах (на пример, подход «информационно-кибернетическое представление», «информационно-кибернетический системный подхо д»). Компьютеризация — процесс использования Э ВМ в различных сферах деятельности. Контаминация — смешение (перетасовка) различных видов информации: текстовой, графической, подвижных диаграмм, видеоинформации, мультипликации и др. Контроль организации защиты информации — проверка соответствия организации, наличия и содержания до кументов треб ованиям правовых, организационно-распорядительных и нормативных доку ментов в области защиты информации. Контроль состояния защиты информации — проверка соответствия организации и эффективности защиты информации установленным требованиям и (или) нормам защиты инфо рмации. Контроль эффективности защиты информации — 1. Проверка соответствия качественных и количественных показателей эффективности мероприятий по защите информации тр ебованиям или нормам эффективности защиты информации 2. Проверка соо тветствия эффективности мероприятий по защите информации у становленным требованиям или нормам эффективной защиты. Контрольная сумма — это сумма последовательно го ряда натуральных чисел, выделенная по определенному алгоритму. Конфиденциальная информация — до кументированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. Концепция — руководящая идея (система конструктивных
принципов, способ понимания, ведущий замысел) в различных видах деятельности. Критерии фильтрации — параметры, атрибуты, характеристики, на основе которых осуществляется разрешение или запр ещение дальнейшей передачи пакета (данных) в соответствии с заданными правила ми разграничения доступа (правилами фильтрации); комплекс средств защиты: совокупность всех (программно технических) средств защиты.
Л Лицензирование — выдача разрешений на различные виды деятельности для физических или юридических (предприятий, организаций) лиц. Выдача осуществляется после проведения комплекса соответствующих мероприятий, состав, правила и порядок которых предписы ваются специальными законодательными и нормативными актами. Лицензирование в области защиты информации — деятельность, за ключающаяся в передаче или получении прав на проведение работ в области защиты информации и осуществлении контр оля за лицензиатом.
М Макровирусы — программы на языках (макроязыках), встроенные в некоторые системы обработки данных (текстовые редакторы, электронные таб лицы и т.д.). Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносятся из одного зараженного файла (документа или таблицы) в другие. Мандатный пр инцип контроля доступа — при реализации мандатного принципа контроля доступа каждому субъекту и объекту присваивают классификационные, о тражающие их место в соответству ющей иерархии метки. Маскиратор — средство защиты информации, реализующее математический алгоритм преобразования информации, однако не использующее секретного ключа или передающее (хранящее) его вместе с сообщением. Массовая информация — предназначенные для неограниченного круга лиц печатные, аудиовизуальные и иные сообщения и материалы. Математическая модель — система математических выражений, описывающих характеристики объекта моделирования.
Математическое моделирование — метод изучения процессов или явлений пу тем построения и исследования их м атематических моделей. Матрица — прямоугольная таблица чисел A = all al2... aln A = a2a22...a2n А= ....................... A = al a2... an, состоящая из строк и столбцов. Матрица сетевая — графовые отображения процесса структуризации, подготовки принятия решений, разработки этапов технологического процесса и участвующих в этом работников аппарата управления. Международный информационный обмен — передача и получение информационных про дуктов, а также оказание информац ионных услуг через Государственную границу Российской Федер ации. Мероприятия по защите информации — совокупность действий, направленных на разработку и (или) практическое применение способов и средств защиты информации. Мероприятия по контролю эффективности защиты информации — совокупность действий, направленных на разработку и (или) практи ческое применение способов и средств контроля э ффективности за щиты информации. Многоуровневая защита — защита, обеспечивающая разграничение доступа субъектов с различными правами доступа к объе ктам различных уровней конфиденциальности. Моделирование — метод исследования объектов различной природы на их аналогах для определения или у точнения характеристик существующих или вновь конструируемых объектов. Модель — искусственно созданный объект в виде схемы, чертежа, логико-математических знаковых формул, физической ко нструкции и т. п., который будучи по добен исследуемому объекту отображает и воспроизводит в более простом, уменьшенном виде структуру, свойства, взаимосвязи и о тношения между элементами. Модем — устройство для обмена данными между компью тер ами по телефонным каналам. Модификация — преобразование, изменение некоторых частей, элементов, признаков, свойств объекта с целью пер евода его в иное качественное состояние. Монитор — тип антивирусных программ: резидентный антивирусный фильтр. Резидентно нахо дящаяся в оперативной памяти
утилита, которая позволяет выявлять «подозрительные» действия пользовательских программ: изменение и переименование выпо лняемых программ (СОМ- и ЕХЕ-файлов), запись на диск по абсолютному адресу, форматирование диска и т. д.
Н Несанкционированный доступ к информации (НСД) — нарушение регламентированного доступа к объекту защиты. Нормы эффективности защиты информации — значения показате лей эффективности защиты информации, установленные нормативными документами. Носители сведений, составляющих государственную тайну — материальные объекты, в том числе физические поля, в ко торых сведения, составляющие государственную тайну, нахо дят свое отображение в ви де символов, образов/сигналов, технических р ешений и процессов. Носитель информации — объект, способный длительное время хра нить нанесенную на него закодированную информацию, которая в нужный момент может быть использована потребителем с помощью различных технических средств.
О Обработка информации — сбор, хранение, обработка и воспроизведение данных средствами вычислительной техники. Общие критерии — базовый международный документ. Наиболее полный в настоящее время набор критериев в области безо пасности информационных техно логий. Объект — выделенная по некоторым правилам часть внешнего материального мира, являющаяся предметом познания, практич еской деятельности. Объект защиты информации - информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информ ации. Объект информатизации, аттестуемый по требованиям безопасно сти информации — автоматизированные системы различного уровня и назначения, системы связи, о тображения и ра змножения документов вместе с помещениями, в которых они установлены, предназна ченные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденци альных переговоров.
Объект информационного обмена — пассивная единица информационного обмена (информационный пакет данных; файл; каталог; электронное письмо; пароль; электронная по дпись и др.). Объектно-ориентированная программная система — программная система, базирующаяся на определенной модели пре дметной области специалиста -парапрограммиста. Объектно-ориентированное программирование — программирование на ЭВМ, базирующееся на принципе «автоформализации» профессиональных знаний специалистов -парапрограммистов и осуществляемое в следующей последовательности: «от структур данных, описывающих систему понятий предметной области, к программированию функций перехода между ними, отражающих сущность соответс твующего информационного процесса». Объекты информатик и — автоматизированные системы различного назначения, системы телекоммуникаций, отобр ажения и размножения вместе с помещениями, в которых они установлены, а также отдельные технические средства обр аботки информации и помещения, предназначенные для ведения конфиденциальных переговоров. «Односторонние алгоритмы хэширования» — алгоритм хэширования, ко торый обладает свойством практической невозмо жности восстановления на основе знания значения хэ ш-кода исхо дных данных, из ко торых это т хэш -код был получен. Такие алгоритмы используются, в частности, в системах «цифровой подписи». Организацио нный контроль эффективности защиты информации — проверка соответствия полно ты и обоснованности мероприятий по защите информации требованиям нормативных документов в области защиты информации. Организация защиты информации — со держание и порядок действий, направленных на обеспечение защиты информации. Оценка рисков — идентификация рисков, выбор параметров для их описания и по лучение оценок по этим параметрам.
П Парадигма - исход ная системообразующая концептуальная модель формальной постановки комплекса соответствующих пра гматических проблем и их упорядоченного решения с учетом целевого применения эргасистемы. Паразитические файловые вирусы — все файловые вирусы, кото рые при распространении своих копий обязательно изменяю т содержимое файлов, оставляя сами файлы при этом полностью или
частично работоспособными. Парапрограммист — специалист в какой-либо предметной области, использующий в работе средства Э ВТ, но не являющийся профессиональным программистом. Паролирование — один из методов ограничения доступа к ком пьютерной системе и ее файлам. Пользователь получает доступ к системе и определенные права для работы в ней, если пароль введен правильно. Пароль — идентификатор субъекта доступа, который является его (субъекта) секретом. Перечень сведений, составляющих государственную тайну — совокупность категорий сведений, в соответствии с ко торыми сведения относятся к госу дарственной тайне и засекречиваются на основаниях и в порядке, установленных федеральным законодательством. Персональная ЭВМ (персональный компьютер) — электронная вы числительная машина, которую может эксплуатировать парапрограммист. Она характеризуется развитым («дружественным») человеко-машинным интерфейсом, обеспечивающим простоту взаимодействия, малыми габаритами и массой, малогабаритными носителями информации, малым энергопотреблением, большим числом прикладных программ для различных предметны х областей. Пиратство — кража структуры, ко да, незаконное распростр анение и испо льзование программ. Показатель защищенности средств вычислительной техники — характеристика средств вычислительной техники, влияющая на защищенность и описываемая определенной группой требований, варьируемых по уровню, глубине в зависимости от класса защищенности средств вычислительной техники. Показатель качества объекта — мера реализации частной цели объекта, поставленной при его создании (обычно в форме функции). Показатель эффективности объекта — мера реализации главной цели объекта, поставленной при его создании (обычно в форме функции или функционала) и определяющей его назначение в усло виях целевого применения. Полиморфные (зашифрованные) вирусы — вирусы, характеризующиеся способностью предпринимать специальные меры, затрудняю щие их поиск и анализ. Полный анализ рисков — анализ рисков для информационных систем, с повышенными требованиями в области инфо рмационной безопасности (более высокими, чем базовый уровень защищенно-
сти). Пользователь (потребитель) информации — субъект, обращающийся к информационной системе или посреднику за получ ением необхо димой ему информации и пользующийся ею. Пользователь (потребитель) информации, средств международного информационного обме на — субъект, обращающийся к собственнику или владельцу за получением необходимых ему информационных про дуктов или средств международного информ ационного обмена и пользующийся ими. Правила фильтрации — перечень условий фильтрации для разрешения или запрещения дальнейшей передачи пакетов (данных) а также действий, производимых МЭ по регистрации и/или осуществлению допо лнительных защитных функций. Прерывание — сигнал (аппаратный или программный), по которому процессор прерывающем выполнение текущей последо вательности команд и передает управление на программу-обработчик прерывания. Прикладное программное обеспечение — программы, которые не относятся к системным, но применяются пользователем для достижения своих профессиональных, личных или иных целей. Принцип — основное исхо дное положение (закон, руководящая идея) какой-либо теории, учения, разработки (система конструктивных принципов образует концепцию). Проблема — сложная теоретическая или прагматическая задача (цель), методика решения которой неизвестна и (или) о тсутствую т ресурсы для ее решения. Программа для ЭВМ — это совокупности данных и команд для функционирования электронных вычислительных машин (Э ВМ) и других компьютерных устройств с целью по лучения определенного результата. По д программой для Э ВМ подразумеваются также подго товительные материалы, полученные в ходе ее разработки и порождаемые ею аудиовизуальные о тображения. Программное средство — программа, предназначенная для многократно го применения на различных объектах разрабо тчика любым способом и снабженная комплектом программных доку ментов. Программное обеспечение — комплекс программ, предназначенных для решения определенного класса задач на Э ВМ. Программный продукт — набор компьютерных программ, процедур и связанная с ними документация и данные. Процесс — последовательное изменение во времени вещества (материи), энергии, информации.
Р Разработка системы — процесс определения, проектирования, разработки, проверки и реализации новой системы, аппара тных средств, программного обеспечения или набора методов и процедур. Распознавание образов — определение по каким-нибу дь признакам или свойствам объектов из некоторого заданного класса. Распределенная информационная система — совокупность активных (субъектов информационного обмена) и пассивных (объектов информационного обмена) единиц информационного обм ена, в ко торой часть связей не должна реализовываться. Распространение программы для ЭВМ или базы данных — это предоставление доступа к воспроизведенной в любой матер иальной форме программе для ЭВМ или базе данных, в том числе сетевыми или иными способами, а также путем продажи, проката, сдачи внаем, предоставления взаймы (импорт также сю да вхо дит). Ресурс — в широком смысле это все, что представляет ценность с точки зрения организации и являе тся объектом защиты. В узком смысле ресурс — часть информационной системы.
С Самоорганизация — способность системы перестраивать свою внутреннюю структуру. Свойство объекта — особенность, присущая объекту (системе) и отличающая его от других объектов или делаю щая его по хожим на другие объекты. Имеет признаки (качественные характер истики отдельно го свойства) и параметры (ко личественные характеристики). СВТ— средства вычислительной техники: совокупность пр ограммных и технических элементов систем обработки данных, способных функционировать самостоятельно или в с оставе других систем. Сектор — минимальная единица разбиения диска (т.е. минимальная адресуемая часть диска). Разбиение диска на секторы пр оисходит при его форматировании. Сервисная программа — программа, разработанная для сопровождения системы или ее компонентов, например, программа во сстановления данных диска или файла. Сертификат на средство защиты информации — надлежащим образом оформленный документ, выданный по правилам сертифика ции и по дтверждающий соответствие средства защиты ин-
формации требованиям, предъявляемым по безопасности инфо рмации. Сертификация — это процесс, осуществления комплекса м ероприятий, определенных специальными правилами и порядком, по установлению , удостоверению или подтверждению качества изделия. Сертификация уровня защиты — процесс установления соответствия средства вычислительной техники или автоматизирова нной системы набору определенных требований по защите. Сигнатура — участок постоянного кода программы, по которому антивирусные программы обычно определяют принадле жность программ к программам -вирусам и другим нежелательным типам программ. Этим методом не могут быть определены полиморфные вирусы. Система — единое множестве элементов и связей, нахо дящи хся в сложных отношениях между собой, возникающее в результате операции выделения некоторой части внешнего мира по простра нственным и (или) функциональным признакам и обладающее сво йствами целостности (эмерджентности), не сводящимися к свойс твам входящих в это образование элементов и связей. Система автоматизированного проектирования (САПР) — организационно-техническая система, основанная на применении современных математических методов и средств вычислительной техники. Предназначена для разнообразных видов проектирования. Система защиты государственной тайны — совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляю щих государстве нную тайну и их но сителей, а также мероприятий, проводимых в этих целях. Система защиты информации — совокупность органов и (или) ис полнителей, испо льзуемой ими техники защиты информ ации, а также объектов защиты. Система защиты информации от несанкционированного доступа — комплекс организационных мер и программнотехнических (в том числе криптографических) средств защиты о т несанкционированного доступа к информации в автоматизированных системах. Система защиты секретной информации — комплекс организационных мер и программно-технических (в том числе криптографических) средств обеспечения безопасности информации в автоматизированных системах. Система разграничения доступа — совокупность реализуемых правил разграничения доступа в средствах вычислительной
техники или автоматизированных системах. Системный по дход — методо логия исследования сложных объектов как систем путем декомпозиции и последующего интегрирования (или агрегирования, если используется единый фо рмально-математический аппарат) рассматриваем ого объекта. Системология — область знания, изучающая поведение сложных объектов как систем а также использование системных ко нцепций в изучении функций управления сложными объектами. Ситуация — описание совокупности состояний эргасистемы, т.е. управляемого и управляющего (например, АСУ) объектов (подсис тем) и внешней среды на определенный момент времени в меняющейся обстановке. Сложная система — Система, содержащая функциональную подсистему принятия решений. Система, состоящая из большого числа разнообразно взаимодействующих друг с другом функционально не однородных элементов. Содержательная информация — совокупность сведений (знаний) о конкретном материальном объекте (системе) или процессе (семантический аспект), содержащаяся в информ ационных массивах (массивах данных, массивах программ, сообщениях, фактах), воспринимаемых получателем (человеком-оператором, ЭВМ и др.) и используемая им для выработки (с учетом его индивиду ального или общесистемного тезауруса — накопленных знаний, целей и задач) и принятия управляю щего решения (прагматичес кий аспект). Структура — разновидность организации системы (целого ) из отдельных э лементов (составных частей, функциональных подсистем) и их взаимосвязей определяющих распределением функций и целей, выпо лняемых системой, обеспечивающих устойчивость и тождественность системы самой себе при различных внешних и внутренних изменениях. Структурная информация — о траженная в знаковой форме организованность (сложность, разнообразие) материальных объе ктов (систем), являю щаяся универсальной физической величиной, используемой для описания функционирования объектов. Смарфинг — способ атаки хакеров на серверы провайдеров (ISP), обычно полностью парализующий их работу. Smurf это популярный на Западе персонаж- гном. Супер-ЭВМ — компьютеры, которые на данный период обладаю т максимальной произво дительностью.
Т Тезаурус — 1. Исходный запас знаний в виде словаря (справо чника), понятий, названий и др., о тражающего семантические связи между смысловыми элементами данного языка. 2. Совокупность дескрипторов (стандар тизованных слов и выражений типа «Тот..., кото рый...» и «Такой..., что...») и связывающих их смысловых о тношений, позволяющая в эргасистеме получать ответы на запросы операторов, для которых в информационной базе нет ответов. Информация более низкого уровня, необ ходимая для рецепции (и/или генерации) информации на более вер хних уровнях. Телеконференция — набор сообщений, хранящихся в одном из компьютеров сети, объединенных какой-либо тематикой и доступных по дписчикам или всем желающим за плату или бесплатно. Техника защиты информации — средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации. Технический контроль эффективности защиты информации — контроль эффективности защиты информации, проводимый с использо ванием средств контроля. Техническое средство обработки информации — техническое средство, предназначенное для приема, накопления, хранения, поиска, преобразования, отображения и передачи информации по каналам связи. «Троянский конь» троянская программа», трояны) — группа вредоносных программ, незаметно внедряющаяся в систему под видом полезной программы, утилиты, компьютерной игры, но выполнения совсем других, а не декларированных действий.
У Угроза — совокупность условий и факторов, ко торые могут стать причиной нарушения целостности, доступности, конфиде нциально сти информации. Угроза безопасности - сово купность условий и факторов, представляющих опасность для жизненно важных интересов личности, общества и государства Угроза информационной безопасности — фактор или совокупность факторов, представляющих опасность для функционир ования и развития информационной среды общества. Управление информацио нными ресурсами — процесс управления ресурсами для сбора, хранения и обработки данных в орга-
низации или системе. Управление рисками - процесс определения контрмер в соответствии с оценкой рисков. Устойчивость — свойство объекта (эргасистемы), заключающееся в способности со хранять равновесие или установившееся какое-то движение, при наличии ограниченных дестабилизирующих возмущений малой длительности. Уязвимость - слабость в системе защиты, делающая возможной реализацию у грозы.
Ф Файл — законченная именованная совокупность информации (например, программа), набор данных, испо льзуемый пр ограммой, или документ, созданный по льзователем. Файловые вирусы — вирусы, которые при своем размножении тем или иным способом используют файловую систему какой-либо (или каких-либо) ОС. Функционирование — протекание существенной, при данном рассмотрении, совокупности частично или полностью наблю даемых процессов в объекте (эргасистеме), обеспечивающее достижение за данных целей.
Х Хэш-функция — функция, осуществляю щая о тображение элементов некоторого множества (например, множества фамилий, множества файлов и т.д.) в индекс линейно го множества. Хэширование (хеширование) — по лучение с помощью специальных алгоритмов по заданному набору данных уникальных (по чти уникальных) значений неко торой функции (параметра) заданной длины.
Приложение 2 Нормативные документы [^] Доктрина информационной безопасности РФ о т 9 сентября 2000 г. Законы Российской Федерации: • Закон РФ от 23.09.1992 г. № 3523-1 « О правовой охране программ для э лектронных вычислительных машин и баз данных». • Закон РФ от 10.06.1993 г. № 5151-1 «О сертификации продуктов и услуг». • Закон РФ от 01.07.1993 г. № 5306-1 « О внесении изменений и дополнений в Закон Российской Федерации «О федеральных органах государственной безопасности». • Закон РФ от 21.07.1993 г. № 5485—1 «О Государственной тайне». • Закон РФ от 20.01.1995 г. № 15-ФЗ « О связи». • Закон РФ от 20.02.1995 г. № 24-ФЗ «Об информации, информ атизации и защите информации» (с комментариями) • Закон РФ от 04.07.1996 г. № 85-ФЗ «Об участии в международном информационном обмене». • Закон РФ от 10.01.2002 г. № 1-ФЗ « Об электронной цифровой подписи». • Закон от 23.09.92 г. № 3523-1 «О правовой о хране программ для электронных вычислительных машин и баз данных»; Основы законодательства об Архивном фонде РФ и ар хивах (о т 07.07.93 г. № 5341-1). • Закон от 09.07.93 г. № 5351-1 «Об авторском праве и смежных правах». • Закон РФ от 21.07.93 г. № 5485-1 « О государственной тайне»; закон РФ « Об обязательном экземпляре документов» от 29.12.94 г. № 77-ФЗ. • Закон РФ о т 27.12.91 г. № 2124—1 «О средствах массовой информации». • Закон РФ от 16.02.95 г. № 15-ФЗ «О связи» . • Закон РФ от 20.02.95 г. № 24-ФЗ «Об информации, информатизации и защите информации». • Закон РФ от 10.06.93. № 5151—1 «О сертификации продукции и услуг». • Патентный закон РФ от 23.09.92 г. № 3517-1; закон от 23.09.92 г. № 3526-1 « О правовой о хране топологий интегральных микр осхем». • Закон РФ от 5.06.1996 г. № 85-ФЗ «Об участии в международном информационном обмене» и др.
Указы Президента Российской Федерации: • Указ Президента РФ о т 31.12.93 № 2334 «О дополнительных гарантиях прав граждан на информацию». • Указ Президента РФ от 20.01.94 № 170 «Об основах государственной политики в сфере информатизации». • Указ Президента РФ от 03.04.95 № 334 «О мерах по соблюдению законности в области разработки произво дства, реализации и экс плуатации шифровальных средств, а также предоставления услуг в области шифрования информации». • Указ Президента РФ о т 30.11.95 № 1203 «Об у тверждении перечня сведений, отнесенных к государственной тайне». • Указ Президента РФ о т 06.03.97 № 188 «Об утверждении перечня сведений конфиденциального характера». • Постановление Правительства РФ о т 26.06.95 № 608 «О сер тификации средств защиты информации». • Постановление Правительства РФ от15 апреля 1995 г. № 333 • «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) ока занием услуг по защите государственной тайны» (с изменениями от 6 октября 1997 г.) • О сертификации средств защиты информации. Постановление Правительства РФ от 26.06.95 № 608, Положения: • Положение о государственном лицензировании деятельности в области защиты информации. Гостехкомиссия Ро ссии, ФАПСИ, 1997. • Положение по аттестации объектов информатизации по требова ниям безопасности информации. Гостехкомиссия Ро ссии, 1994. • Положение об аккредитации органов по аттестованию об ъектов информатики, испытательных центров и органов по сертификации продукции по требованиям безопасности информации. Гостехкомиссия России, 1994. • Положение о сертификации средств защиты информации по тре бованиям безопасности информации (с дополнениями в соответствии с постановлением Правительства Российской Федерации о т 26 июня 1995 г. №608 « О сертификации средств защиты информа ции»). Гостехкомиссия России, 1996. • Положение об аккредитации испытательных лабораторий и орга -
нов по сертификации средств защиты информации по тр ебованиям безопасности информации. Гостехкомиссия России, 1994. • Положение об аккредитации органов по аттестованию об ъектов информатики, испытательных центров и органов по сертификации продукции по требованиям безопасности информации. Гостехкомиссия России, 1994. • Положение по аттестации объектов информатизации по требованиям безопасности информации. Гостехкомиссия Ро ссии, 1994. Руководящие д окументы: • Защита о т несанкционированного доступа к информации. Про граммное обеспечение средств защиты информации. Классифика ция по уровню контроля отсутствия недекларированных возможностей, (введен в действие приказом Председателя Гостехкомиссии России № 114 от 04.06.99 г.) • Защита от несанкционированного доступа к информации. Те рмины и определения. • Концепция защиты средств вычислительной техники и автом атизированных систем от несанкционированного доступа к инфо рмации. • Автоматизированные системы. Защита о т несанкционир ованного доступа к информации. Классификация автоматизированных систем и требования по защите информации. • Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. • Временное положение по организации разработки, изго то вления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. • Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к инф ормации. • Защита информации. Специальные защитные знаки. Классификация и общие требования. • Средства защиты информации Защита информации в ко нтрольно-кассовых машинах и автоматизированных кассовых системах Классификация контрольно-кассовых машин, автоматизированных кассовых систем и требования по защите информации. • Аттестационные испытания А С по требованиям безопасности информации Типовая методика испытаний объектов и нформатики по требованиям безопасности информации (Аттестация АС). Го с-
техко-миссия России , 1995. • Гостехкомиссия России. Руководящий документ. Автоматизированные системы, защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. 1997. • Перечень средств защиты информации, подлежащих сертификации в Системе сертификации Гостехкомиссии России. Гостехкомиссия России, 1995. • Перечень средств защиты информации, подлежащих сертификации в Системе сер тификации Гостехкомиссии России. Гостехкомиссия России, 1995
Литература [^]
1. Абрамов А.В.у Панасенко СП., Петренко С.А. « VPN-решения для российских компаний» // Конфидент. Защита Информации. 2001. № 1.С. 62-67. 2. Алексеева И.Ю., Авчаров И.В., Вотрин Д.С., Стрельцов А.А. и др. Информационные вызовы национальной и международной безопасности. Под общ. ред. А.В. Федорова и В.Н. Цы гичко. М., 2001. 3. Астахов А. Общее описание процедуры аттестации автоматизированных систем по требованиям информационной безопасности //Jet Info online. 2000. № 11(90) 4. Батурин Ю.М., Жодзишский A.M. Компьютерные преступления и компьютерная безопасность. М.: Юридическая литература, 1991. 5. Банило ИЛ. О праве на информацию в Российской Федерации. М.: Миннауки России и М ИФИ, 1997. 6. Березин А.С., Петренко С.А. Построение корпоративных защищенны х виртуальных частных сетей // Конфидент. Защита Информации, 2001. № 1.С. 54-61. 7. Бурков В.К, Грацинский Е.В., Дзюбко С И. и др. Модели и меха низмы управления безопасностью. М.: 2001. 8. Возжеников А.В. Национальная безопасность: теория, политика, стратегия. М.: 2000. 9. Герасименко В. А., Малюк А.А. Основы защиты информации. М.: М ОПО, МИФИ, 1997. 10. Глобальная информатизация и безопасность России. Материалы круглого стола «Глобальная информатизация и социально гуманитарные проблемы человека, культуры, общества». М ГУ. Октябрь 2000. М .: 2001. 11. Глобальное информационное общество и проблемы информ ационной безопасности. // Материалы круглого сто ла. М.: Институ т Европы РАН, 2001. 12. Гованус Г., Кинг P. M CSE Wi№dows 2000 Проектирование безопасности сетей. Учебное руководство. М.: Изд-во «Лори», 2001. 13. Государственная политика информационной безопасности. // Российский юридический журнал. Екатеригбург. 2001. 14. Гриняев СИ. Интеллектуальное противо действие информационному оружию. М.: 1999. 15. Гузик С Зачем проводить ау дит информационных систем? //Jet I№fo online. 2000. № 10 (89).
16. Гуманитарные исследования в Интернет. По д ред. А.Е. Во йскун-ского. М.: Можайск-Терра, 2001. 17. Дорот В. Л., Новиков Ф.А. Толковый словарь современной компьютерной лексики. 1999. 18. Зегжда Д.П., ИвашкоА.М. Как построить защищенную информационную систему / Под научн. ред. Д.П. Зегжды и В.В. Платонова СПб.: Мир и семья-95, 1997. 19. Зегжда Д.П., Ивашко A.M. Основы безопасности информационных систем. -М.: Горячая линия — Телеком, 2000. 20. Зегжда /Т.Д. и др. Теория и практика обеспечения информационной безопасности / Под ред. П.Д. Зегжды. М.: Изд. Агенства «Яхтс мен», 1996. 21. Информационная безопасность России в условиях глобального информационного общества. // Сб. материалов Всероссийской конференции / Под ред. А.В. Жукова. М.: Редакция журнала «Бизнес+безопасность», 2001. 22. Информационные вызовы национальной и международной бе зопасности / По д общ. ред. А.В. Федорова и В.Н. Цыгичко. М ., 2001. 23. Карпов Г. «Атака на ДНС» li№k 24. Клещѐв Н. Т., Федулов АЛ., Симонов В.М. и др. Телекоммуникации. Мир и Россия. Состояние и тенденции развития. М.: Радио и связь, 1999. 25. Кобзарь М.Т, Калайда И.А. Общие критерии оценки безопасности информационных технологий и перспективы их использования // Jet Info. 1998. № 1. 26. Кобзарь М.Т., ТрубачевА.П. Концептуальные основы совершенствования нормативной базы оценки безопасности информационных технологий в России // Безопасность информационных те хнологий, 2000. № 4. 27. Колищак А. «Атаки на переполнение буфера» lin k 28. Колищак А. «Уязвимость форматной строки» link 29. Кошелев А. «Защита сетей и firewall» // КомпьютерПресс. 2000. № 7. С. 44-48. 30. Крылов В.В. Информационные компьютерные преступления. М.: ИНФРА -М-НОРМА, 1997.. 31. Курушин В.Д., Минаев В.А. Компьютерные преступления и ин формационная безопасность. М: Новый юрист, 1999. 32. Липаев В.В. Стандарты на страже безопасности информ ационных систем // PC W EEC/RE, 2000. № 30. 33. Ловцев Д.А., Сергеев Н.А. Управление безопасностью . М.: 2001. 34. Лукацкий А.В.. Обнаружение атак. СПб.: БХВ-Петербург, 2001. 35. Мамаев М., Петренко С. Техноло гии защиты информации в
Интернете. СПб.: Питер, 2002. 36. Мамаев М., Петренко С. World Wild Web, или Дикая пау тина — CHIP, 2002(9). С.144-150. 37. Мамаев М.у Петренко С. Особенности «сторожевых собак» — CHIP, IV 2001(7). С.68-74. 38. Материалы семинара Университета МВД РФ. СПб.: Университета М ВД РФ, 1997. 39. Мещеряков В А. Криминалистическая классификация престу плений. в сфере компьютерной информации. СПб.: Конфидент. 1999. № 4—5. 40. Минаев В.А., Горошко И.В., Дубинин М.П. и др.: Информационные технологии управления в органах вну тренних дел / По д ред. профессора Минаева В.А. — М.: Академия управления М ВД России, 1997.-704 с. 41. Немет Э., Снайдер Г., Сибасс С. и др. «Unix: руково дство системного администратора». Киев: BHV-Киев, 2000. 42. Общие критерии оценки безопасности информационных технологий: Учебное пособие. Пер. с англ. яз. Е.А. Сидак / Под ред. М.Т. Кобзаря, А.А. Сидака. М.: МГУЛ, 2001. 84 с. 43. Олифер В.Г., Олифер НА. Новые технологии и оборудование IP-сетей. СПб.: BHV-Санкт-Петербург, 2000. 44. ПанибратовА.П. и др. Вычислительные системы, сети и телекоммуникации / Учебник под ред. А.П. Панибратова. М .: Финансы и статистика, 1998. 45. Петренко С А. Безопасное подключение к Интернету // Конфидент.Защита Информации. 2000. № 4-5. С. 34—41. 46. Петров А. А. Компьютерная безопасность: криптографические методы защиты М.: ДМ К, 2000. 47. Почепцов Г.Г. Информационно-психологическая война. М.: 2000. 48. Приходько А.Я. Информационная безопасность в событиях и фактах. М.: 2001. 49. Прокушева А.П. и др. информационные технологии в коммерческой деятельности. М.: 2001. 50. Приходько А.Я. Словарь-справочник по информационной безо пасности. М .: СИНТЕГ, 2001. 51. Проблема обеспечения прав граждан на доступ к инфо рмации. М.: Гос. Дума, 1999. 52. Прокофьев В.Ф. Тайное оружие информационной войны. М.: 1999. 53. Романец Ю.В., Тимофеев ПА., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. М .: Радио и Связь, 1999. 54. СадердиновАА., Трайнѐв В А. Построение комплексных про-
граммно-технических проектов интегрированных систем организационного управления(Обобщение теории и практики).М.: Маркетинг, 2001. 55. Сардак И.Г. Борьба с экономическими преступлениями выхо дит на новый уровень. М.: Гротек, Системы безопасности связи и телекоммуникаций. 1998. № 3. 56. Сидак А А. Формирование требований безопасности современных сетевых информационных техно логий. М.: МГУЛ. 2001. 57. Симонов С. Анализ рисков, управление рисками // Jet Info online. 1999. № 1(68). 58. Симонов С. Аудит безопасности информационных систем // Jet Info online. 1999. № 1(76). 59. Симонов СВ. Анализ рисков в информационных системах. Практические аспекты // Конфидент. 2001. № 2. С. 48—53. 60. Симонов СВ. Методология анализа рисков в информационных системах. Конфидент// 2001. № 1. С. 72-76. 61. Система сертификации средств криптографической защиты ин формации (Система сертификации СКзИ)? 1993 62. Стрельцов А.А. Обеспечение информационной безопасности России. Теоретические и мето дологические основы / Под ред. В.А. Садовничего и В.Н. Шерстюка. М., 2002. 63. Судоплатов А.П., Пекарев СВ. Безопасность предприниматель ской деятельности: Практическое пособие. М.: 2 001. 64. Сырков Б. Компьютерная преступность в России. Современное состояние. — М.: Гротек, Системы безопасности связи и телеко ммуникаций. 1998. № 4. 65. Теоретические основы информатики и информационная безо пасность / Под ред. В.А. Минаева, В.Н. Саблина. М: Радио и связь, 2000. 66. Типовое положение об органе по аттестации объектов инфо рматизации по требованиям безопасности информации. Гостехкомиссия России,1994 67. Трайнев В.А., Матвеев Т.Н. Интегрированные информационные коммуникационные технологии и системы в управленческой деятельности. М.: 2001. 68. ТрубачевА.П., Долинин М.Ю., Кобзарь М.Т.,и др. Оценка безопасности информационных технологий / Под общ. ред. В.А. Галатенко. М.: СИП РИА, 2001. 69. Турская Е. VPN как средство неотложной помощи // Сетевой журнал Data Co mmunicat ions. 2000. № 11. С. 31-33. 70. Турский А., Панов С. Защита информации при взаимодействии корпоративных сетей в Internet // Защита информации. 1998. № 5. С. 38-43.
71. Устинов Т.Н. Основы информационной безопасности систем и сетей передачи данных. М.: 2000. 72. Фридланд А.Я., Ханамирова Л.С., Фридланд И.А. Информатика. Толковый словарь современной компьютерной лексики. Пб., 1999. 73. Цыганков В.Д., Лопатин В.Н. Психотронное оружие и безопасность России. М.: 1999 74. Шумаков П.В., Фараонов В. В., Дельфи 4. Руково дство разработчика баз данных. М : НОЛИДЖ , 1999. 75. Шурухнов Н.Г. Расследование неправомерного доступа к ком пьютерной информации. М., 1999 76 Щербаков А.Ю. Введение в теорию и практику компьютерной безопасности. М.: Изд-во СВ. Молгачева, 2001. 77 Ярочкин В.И. Безопасность информационных систем. М.: Ось80, 1996. 78 Albitz P., Liu С. «DNS and BIND» - O'Reilly and Associates, 2001, 4th Edition. 79 Aleph Оле.«Smashing The Stack For Fun And Profit // Phrack. Vol. 7. Issue 49. File 14 of 16. November 1996. link. 80 Are you ready for a BS7799 audit? DISC PD 3003, 2001. 81 Automated Information Systems Security Policy Manual, nIST, CIS HB 1400-14. 82 Bellovin S.M. Security Problems in the TCP/IP Protocol Suite // Co mputer Co mmun ications Review. April 1989. \ Ы. 19. No. 2. p. 32— 48, lin k. 83 Boran S. «Hardening the BIND DNS Server» lin k. 84 Bundesamt fur Sicherheit in der Informationstechnik. IT Baseline Protection Manual, 2001. lin k. 85 CobiT: Control Objectives. ISACA, 3nd Ed ition, 2000. 86 CobiT: Executive Su mmary. ISA CA, 3nd Edition, 2000. 87 CobiT: Framework. ISA CA, 3nd Ed ition, 2000. 88 Code of practice for Information security management. British Standard BS7799, 2001. 89 Code of practice for IT management. DISC PD 3005, 2001. 90 Code of Professional Ethics for In formation Systems Control Professionals. ISACA Gu idelines, 2000. 91 Costales В., Allman E. «Sendmail» - O'Reilly and Associates, 1997, 2nd Ed ition. 92 Cowan С et al. « Buffer Overflows: Attacks and Defenses for the Vu lnerability of the Decade», Information Survivability Conference and Expo (DISCEX), Hilton Head Island SC, January. 2000. 93 Garfinkel S., Spqfford G. «Practical Un ix and Internet» - O'Reilly and Associates, 1996, 2nd Ed ition. 94 Gu ide for developing security plans for informat ion technology sys -
tems. - MIST Special Publication, 800-18, 2000. 95 Gu ide to BS 7799 audit ing. DISC PD 3004, 2001. 96 Gu ide to BS 7799 risk assessment and risk management. DISC PD 3002, 2001. 97 Information security management. Part 2. Specification for informa tion security management systems. Brit ish Standard BS7799, Part 2, 2000. 98 Information security management: an introduction. DISC PD 3000, 2001. 99 Information security. Handbook n.Y.? 1999. 100 Information technology — Code of pract ice for Information security management. International Standard ISO/IEC 17799:2000(E). 101. IS Auditing Gu ideline: Co rporate Governance of Informat ion Systems. - ISACA Gu idelines, 2000. 102. IS Auditing Guideline: Planning the IS Audit. - ISA CA Gu idelines, 2000. 103. IS Auditing Gu ideline: Using the Work of Other Auditors and Experts. - ISA CA Gu idelines, 2000. 104. ISO/ IEC 15408—1. Informat ion technology - Security techniques — Evaluation criteria for IT security — Part 1: Introduction and general model. 1999. 105. ISO/ IEC 15408-2: Information technology - Security techniques Evaluation criteria for IT security — Part 2: Security functional requirements. 1999. 106. ISO/ IEC 15408-3: Information technology - Security techniques Evaluation criteria for IT security — Part 3: Security assurance requirements. 1999. 107. Joncheray L. «A Simp le Active Attack Against TCP» // Proceedings of 5th USEn IX UnIX Security Sy mposium, June 1995. link. 108. Model Curricu la for Information Systems Auditing at the Unde rgraduate and Graduate Level. ISACA, 2000. 109. Moore D., VoelkerG.M., Savage S. Inferring Internet Denial-ofService Activity // To appear in the 2001 USENIX Security Symp osiu m lin k. 110. Preparing for BS 7799 certification. DISC PD 3001, 2001. 111. SAP library(R/3 Library ) Generic Security Service, SAP A G, Walldorf, 2002. 112. SAP library(R/ 3 Lib rary) Secure network Co mmunications, SAP AG, Walldorf, Vo l. 1,2,3, 1999. 113. SAP Security Gu ide, SAP A G, Walldorf, Vol.1,2,3, 1999. 114. Savage £, Cardwell N.9 Wetherall D. et al. «TCP Congestion Control with a M isbehaving Receiver» // ACM Co mputer Co mmun ications Review. October 1999. Vo l. 29. No. 5. p. 71-78.
115. SchneierB. «Applied Cryptography» - John Wiley & Sons, Inc., 1996. 116. Sedayao /. «Cisco IOS Access Lists» — O'Reilly and Associates, 2001. 117. Spafford G. «Wfeb Security & Co mmerce» — O'Reilly and Associates, 1997, 1st Ed ition. 118. Standards for Information Systems Auditing. ISACA Standards, 2000 119. Standards for Informat ion Systems Control Professionals. ISACA Standards, 2000. 120. Stein I., MacEachern D. «Writing Apache modules with Perl and C» -O'Reilly and Associates, 1999, 1st Edit ion. 121.Ya_ mun Теория и практика атак format string» // Team Void, 27 февраля 2001. lin k.
Оглавление Введение Принятые сокращения 1. Основные принципы и предпосылки обеспечения информационной безопасности предприятия 1.1. Основные принципы обеспечения информационной безопасн ости предприятия 1.2. Предпосылки и цели обеспечения информационной безопасн ости предприятия 2. Политика информационной безопасности 2.1. Политика информационной безопасности России 2.2. Описание трехуровневой политики информационной безопа сности 3. Характеристика угроз информационной безопасности 3.1. Классификация у гроз 3.2. Примеры составов преступлений, в области информационного обеспечения предприятий, определяемые УК РФ 3.3. Источники угроз 3.4. Наиболее распространенные угрозы в интегрированной информационной системе управления предприятием 3.5. Угрозы при взаимодействии интегрированной инфор мационной системы управления предприятием с Internet 4. Анализ уязвимости информационных систем и оценка рисков 4.1. Уязвимость информационных систем 4.2. Классификация сетевых атак 4.3. Проблемы безопасности локальных вычислительных сетей и интегрированных информационных систем управления предприятием 4.4. Распределенное хранение файлов 4.5. Удаленные вычисления 4.6. Топологии и протоколы 4.7. Службы обмена сообщениями 4.8. Оценка рисков 5. Требования по обеспечению комплексной системы информационной безопасности 5.1. Требования по обеспечению информационной безопасности корпоративной информационной системы предприятия 5.2. Требования к программно-аппаратным средствам 5.3. Требования к по дсистеме идентификации и аутентификации: 5.4. Требования к по дсистеме управления доступом
5.5. Требования к по дсистеме протоко лирования ау дита 5.6. Требования к подсистеме защиты повторного использования объектов 5.7. Требования к защите критичной информации 5.8. Требования к средствам обеспечения целостности: 5.9. Требования к средствам управления ИБ 5.10.Требования к Межсетевому Экрану 6. Принципы построения систем информационной безопасности 6.1. Принципы и правила построения информационной системы предприятия 6.2. Принципы построения системы санкционированного доступа к ресурсам 6.3. Принципы построения по дсистемы защиты интег рированной комплексной информационной системы управления предприятием от угроз, исходящих из Internet 6.4. Службы и механизмы защиты 6.5. Идентификация и аутентификация 6.6. Управление доступом 6.7. Конфиденциальность данных и сообщений 6.8. Целостность данных и сообщений 6.9. Контроль участников взаимодействия 6.10. Регистрация и наблю дение 7. Структура защиты информации в интегрированной информационной системе управления пред приятием 7.1. Структурная схема системы защиты информации интегрир ованной информационной системы управления предприятием 7.2. Основные функции уровней защиты информации интегр ированной информационной системы управления предприятием 8. Отечественные и зарубеж ные программно-технические средства защиты информации в интегрированных информационных системах управления пред приятием 8.1. Системы разграничения доступа (полномочий) 8.2. Электронный замок «Соболь» 8.3. Идентификация и аутентификация по льзователей 8.4. Регистрация попыток доступа к ПЭ ВМ 8.5. Контроль целостности программной среды и запрет загрузки со съемных носителей 8.6. Возможности по администрированию 8.7. Криптографическое устройство eTo ken электронный замок eToken 8.8. Системы биометрической аутентификации
8.9. Решения по обеспечению безопасности корпоративной сети 8.10. Применение средств антивирусной защиты 8.11. Применение средств межсетевого экранирования 8.12. Защита на основе маршрутизатора с листами доступа 8.13. Защита внутренних информационных ресурсов корпоративной сети 8.14. Межсетевой экран PIX Firewall 8.15. WatchGuard Firebo x System 8.16. Централизованное управление защитой 8.17. Схема децентрализованной защиты корпоративных серверов 8.18. Применение средств контроля электронной почты 8.19.Средство контроля и разграничения доступа к web 8.20. Сканирование электронной почты с помощью MIM Esweeper for Do mino 8.21. Применение средств контроля и регистрации событий безопасности 8.22. Создание виртуальных частных сетей (VPN) 8.23.Система централизированного управления RealSecure Site Protector 8.24. Оснащение объекта техническими средствами защиты и контроля информации 9. Система защиты информации в SAP R/3 9.1. Служба безопасности SAP R/3 9.2. Подключение ядра шифрования фирмы CryptoPro к компонентам mySAP.co m через модифицированный MSNC-адаптер 9.3. Создание центра сертификации Windows 2000 на базе крипто графического ядра фирмы CryptoPro 9.4. Настройка служб безопасности R/3 9.5. Задачи администрирования системы R/ 3 10. Сертификация информационных систем 10.1. Основные характеристики технических средств защиты от несанкционированного доступа 10.2. Требования по защите информации от несанкционированного доступа для автоматизированных систем 10.3. Требования к автоматизированным системам защиты третьей группы 10.4. Требования к автоматизированным системам защиты второй группы 10.5. Требования к автоматизированным системам защиты первой группы 10.6. Требования по защите информации от несанкционированного доступа для средств вычислительной техники 10.7. Требования к межсетевым экранам. Показатели защищенности
межсетевых э кранов 11. Направления работ по созд анию систем комплексной защиты информационной системы предприятия 11.1. Организация работ по защите о т несанкциониро ванного доступа ИИСУП 11.2. Классификация интегрированных информационных систем управления предприятием 11.3. Система компьютерной безопасности 11.4. Оснащение объекта техническими средствами противо дейс твия экономическому шпионажу и защи ты речевой информации 11.5. Этапы проведения работ по обеспечению информационной безопасности предприятия Приложение 1 Терминологический словарь Приложение 2 Нормативные документы Литература
Садерд инов Али Абдулович Трайнев Владимир Алексеевич Федулов Анд рей Але ксанд рович Информационная безопасность предприятия Учебное пособие Компьютерная верстка: Е.К. Амирбекян Санитарно-э пидемиологическое заключение -№ 77.99.11.953.Д.004769.07.03 от 07.07.2003 г. Лицензия № 06473 от 19 декабря 2001 г. Подписано в печать 20.12.2004. Формат 84x108 1/32. Печать офсетная. Бумага офсетная № 1. Печ. л. 10,5. Тираж 1500 экз. Заказ № 8818. Издательско-торговая корпорация «Дашков и К0 » 129347, Москва, Ярославское шоссе, д. 142, к. 732. Для писем: 129347, Москва, п/о И-347 Тел./факс: (095) 182-01-58, 182-11-79, 183-93-01 E-mail:
[email protected] — отдел продаж
[email protected];
[email protected] - офис; http:// www.das hkov.ru Отпечатано в соответствии с качеством предоставленных диапозитивов в ФГУ П « Производственно-издательский комбинат В ИНИТИ», 140010, г Люберцы Московской обл., Октябрьский пр-т, 403. Тел.554-21-86
