Программно-аппаратные средства обеспечения безопасности информационных сетей
Как указывалось выше, система защиты информации – это комплекс мер, а также соответствующих им мероприятий, сил, средств и методов. Программно-аппаратный компонент системы защиты информации предназначен для защиты данных, обрабатываемых и хранящихся в компьютерах и серверах локальных сетей в различных информационных системах. Как правило, он реализует тесно взаимосвязанные процессы:
- управление доступом и управление политикой безопасности,
- идентификацию и аутентификацию пользователей,
- регистрацию событий и аудит,
- криптографическую защиту,
- сетевую защиту,
- антивирусную защиту,
- обнаружение атак программными средствами (IDS – Intrusion Detection Systems).
Средства управления доступом позволяют разграничивать и контролировать выполняемые над информацией действия, которые совершаются пользователями (ограничение доступа на вход в систему, разграничение доступа авторизованных пользователей, запрет доступа неавторизованных пользователей и т.п.). То есть речь идет о логическом управлении доступом, который реализуется программными средствами. Контроль прав доступа осуществляется посредством различных компонентов программной среды – ядром сетевой операционной системы, системой управления базами данных, дополнительным программным обеспечением и т.д. Идентификация предназначена для того, чтобы пользователь мог идентифицировать себя путем сообщения своего имени. С помощью аутентификации вторая сторона убеждается, что пользователь, пытающийся войти в систему, действительно тот, за кого себя выдает. Регистрация событий (протоколирование, журналирование) – это процесс сбора и накопления информации о событиях, происходящих в информационной системе. Возможные события принято делить на две группы:
- внешние события, вызванные действиями как авторизованных, так и неавторизованных пользователей;
- внутренние события, вызванные действиями пользователей и администраторов. Аудитом называется процедура анализа накопленной в результате журналирования информации. Этот анализ может осуществляться оперативно, почти в реальном времени, или периодически.
Методы криптографии – одно из наиболее мощных средств обеспечения конфиденциальности и целостности информации. Как уже упоминалось, основной элемент криптографии – шифрование. Сетевая защита, как правило, обеспечивается установкой на границе сетей так называемых экранов. Экран – это средство разграничения доступа пользователей из одного сетевого множества к ресурсам, принадлежащим другому сетевому множеству. Функция экрана заключается в контроле всех информационных потоков между двумя множествами систем. Примерами экранов являются межсетевые экраны, устанавливаемые для защиты локальной сети организации, имеющей выход в публичную сеть (такую как Интернет). Помимо прочего, сегодня практически все производители программно-аппаратных средств обеспечения безопасности информации включают поддержку антивирусной защиты и систем обнаружения вторжений, обеспечивающих защиту от вредоносного ПО и атак. Для примера приведем аппаратные межсетевые экраны D—Link серии DFL, обладающие функцией проверки трафика на наличие вредоносных программ. В частности, даже «младшая» модель DFL-260/260E позволяет сканировать на наличие вредоносного ПО файлы любого размера, используя технологию потокового сканирования. Данный метод сканирования увеличивает производительность проверки, сокращая так называемые «узкие места» в сети. Межсетевые экраны серии DFL используют сигнатуры вирусов от антивирусной компании «Лаборатории Касперского» (Kaspersky Labs). При этом существует возможность обновления сигнатур. В результате вирусы и вредоносные программы могут быть эффективно заблокированы до того, как они достигнут устройств локальной сети. Кроме того, для эффективной борьбы с вредоносным трафиком и для того, чтобы минимизировать влияние аварийной ситуации на всю сеть, межсетевые экраны компании D-Link (DFL-800/860/860E/1600/1660/2500/2560) поддерживают специальную функцию – ZoneDefense, представляющую собой механизм, позволяющий им работать с коммутаторами локальных сетей D-Link и обеспечивающий активную сетевую безопасность. Функция ZoneDefense автоматически изолирует инфицированные компьютеры локальной сети и предотвращает распространение ими вредоносного трафика. Более подробно аппаратные межсетевые экраны компании D-Link и о технологии ZoneDefense мы рассмотрим в следующих главах. 
Рис. 2.11. DFL-260E – межсетевой экран NetDefend для сетей SOHO
Аппаратные и программные средства обеспечения безопасности сети
Антивирусное программное обеспечение предназначено для защиты предприятия от различных типов вирусных атак. Поскольку сегодня передача вирусов происходит в основном посредством сообщений электронной почты, наиболее распространенной категорией корпоративного антивирусного ПО являются антивирусы для почтовых серверов, распознающие сигнатуры вирусов внутри сообщений. Наряду с этим многие компании выпускают антивирусное ПО для файловых серверов, а также специализированное ПО, используемое Интернет-провайдерами.
Антивирусное ПО обязательно содержит следующие компоненты:
- приложение для управления настройками;
- средства сканирования файлов и поиска сигнатур вирусов;
- база данных или библиотека, содержащая определения известных вирусов (заметим, что успешность функционирования антивирусного ПО зависит от регулярности обновления баз данных, содержащих определения вирусов).
По сведениям аналитической компании Gartner Group, лидерами рынка антивирусного программного обеспечения являются Network Associates, Symantec, TrendMicro. Значительную роль на рынке играют и компании Sophos, Computer Associates, F-Secure. Все указанные фирмы производят продукты для настольных систем, файловых серверов, SMTP-шлюзов, Web- и FTP-серверов, а также позволяют поддерживать распределенные системы.
На российском рынке, помимо перечисленных выше продуктов, широко распространены корпоративные антивирусы «Лаборатории Касперского» и ЗАО «ДиалогНаука».
Корпоративные брандмауэры
Корпоративные брандмауэры контролируют трафик, поступающий в локальную корпоративную сеть и выходящий из нее, и могут представлять собой как чисто программные средства, так и аппаратно-программные комплексы. Каждый пакет данных, проходящий через брандмауэр, анализируется им (например, на предмет происхождения или соответствия иным правилам пропускания пакетов), после чего пакет либо пропускается, либо нет. Обычно брандмауэры могут выполнять роль фильтра пакетов или роль прокси-сервера, в последнем случае брандмауэр выступает в качестве посредника в выполнении запросов, инициируя собственный запрос к ресурсу и тем самым не допуская непосредственного соединения между локальной и внешней сетями.
При выборе брандмауэра компании обычно руководствуются результатами независимого тестирования. Наиболее распространенными стандартами, на соответствие которым тестируются брандмауэры, являются ITSEC (Information Technology Security Evaluation and Certification Scheme) и IASC (Information Assurance and Certification Services), также носящий название Common Criteria Standard.
Самыми популярными производителями корпоративных брандмауэров, с точки зрения Gartner Group, являются CheckPoint Software, Cisco Systems, Microsoft, NetScreen Technologies и Symantec Corporation.
Отметим, что продукты Check Point Software Technologies, Cisco Systems и NetScreen Technologies представляют собой аппаратно-программные комплексы, тогда как продукты Microsoft и Symantec — это программные средства, функционирующие на обычных компьютерах под управлением стандартных серверных операционных систем.
Средства обнаружения атак
Средства обнаружения атак предназначены для определения событий, которые могут быть интерпретированы как попытка атаки, и для уведомления об этом IT-администратора. Данные средства можно разделить на две категории по принципу их функционирования: средства, анализирующие трафик всей сети (в этом случае на рабочих станциях сети нередко устанавливается часть соответствующего программного обеспечения, называемая агентом), и средства, анализирующие трафик конкретного компьютера (например, корпоративного Web-сервера). Средства обнаружения атак, как и брандмауэры, могут быть реализованы и в виде программного обеспечения, и в виде аппаратно-программного комплекса. Очевидно, что подобные средства требуют тщательной настройки, чтобы, с одной стороны, были обнаружены истинные попытки атак, а с другой — чтобы по возможности были исключены ложные срабатывания.
Лидерами рынка средств обнаружения атак, по мнению Gartner Group, являются Cisco Systems, Internet Security Systems, Enterasys Networks и Symantec. По данным Butler Group, весьма популярными производителями этой категории средств обеспечения безопасности являются также Computer Associates и Entercept Security Technology.
Средства, анализирующие трафик конкретного компьютера, производятся компаниями Symantec и Entercept Security Technology. Продукт Cisco IDS 4210 является аппаратно-программным комплексом, остальные вышеперечисленные продукты — программными средствами, которые выполняются под управлением стандартных операционных систем на обычных компьютерах
2.3. Аппаратно-программные средства защиты информации.
К аппаратным средствам защиты относятся устройства, которые встраиваются в блоки ПК или выполняются в виде отдельных устройств, сопрягаемых с ПК. Аппаратная защита является более устойчивой, так как менее подвержена к «взлому», чем программная защита.
Аппаратные средства защиты могут решать следующие задачи:
запрет несанкционированного доступа к ресурсам ПК и компьютерных сетей;
защиту от компьютерных вирусов;
защиту информации при отключении электросети.
Для защиты от несанкционированного доступа (НСД) к информационным ресурсам применяются анализаторы свойств личности, подключаемые в виде отдельных блоков к ПК. Если требуется более серьезная проверка полномочий, то осуществляется аутентификация личности, т.е. проверка принадлежности предъявленного идентификатора данной личности. Для этого используются персонифицированные признаки личности.
В память устройств могут быть занесены имя и пароль пользователя, число возможных входов в систему, характеристики ресурсов, к которым разрешен доступ.
Существуют аппаратно-программные комплексы антивирусной защиты. В них реализован принцип резидентного сторожа от ошибочных или злоумышленных действий пользователей, вирусов и троянских коней.
К программным средствам относятся
1. Защита ресурсов ис от несанкционированного доступа
Защиту ресурсов ИС можно разделить на защиту доступа в локальную сеть и к ПК, защиту винчестеров и защиту клавиатуры и монитора. В основе защиты лежат процессы идентификации и аутентификации устройств и пользователей.
Идентификация — признание тождественности, отождествление объектов, опознание, т.е. установление тождества объектов на основе совпадения их признаков.
В информационной системе идентификация осуществляется присвоением субъектам и объектам доступа идентификатора и сравнением предъявляемого идентификатора с перечнем присвоенных идентификаторов.
- Наиболее часто используемым идентификатором является пароль. Пароль — это последовательность символов, которую необходимо ввести в ПК, чтобы получить доступ к системе, программе или данным.
- длина пароля должна быть не менее шести символов;
- пароль должен состоять из символов, входящих, по крайней мере, в три группы из следующих четырех: заглавные буквы, строчные буквы, цифры, специальные символы.
- держать пароль в секрете от посторонних;
- не использовать в качестве пароля свои имя, фамилию, год рождения;
- не применять общеупотребительные слова;
- не записывать пароль в записную книжку;
- при наборе пароля на клавиатуре следить, чтобы его не узнали посторонние.
- защиту от любого НСД к диску;
- разграничение доступа пользователей к файлам;
- контроль обращений к диску и проверку целостности системы защиты диска;
- стирание в файлах остатков закрытой информации.
- Защита от любого НСД к диску обеспечивается вводом в ПК пароля.
- деструктивные возможности;
- среда обитания;
- операционная система (OC);
- способ заражения среды обитания;
- особенности алгоритма работы вируса.