Защита периметра компьютерных сетей
С развитием сетевых технологий появился новый тип СЗИ — межсетевые экраны (Firewall), которые обеспечивают безопасность при осуществлении электронного обмена информацией с другими взаимодействующими автоматизированными системами и внешними сетями, разграничение доступа между сегментами корпоративной сети, а также защиту от проникновения и вмешательства в работу АС нарушителей из внешних систем.
Межсетевые экраны, установленные в точках соединения с сетью Интернет — обеспечивают защиту внешнего периметра сети предприятия и защиту собственных Intemet-cepBepoB, открытых для общего пользования, от несанкционированного доступа.
В межсетевых экранах применяются специальные, характерные только для данного вида средств методы защиты. Основные из них:
- трансляция адресов для сокрытия структуры и адресации внутренней сети;
- фильтрация проходящего трафика;
- управление списками доступа на маршрутизаторах;
- дополнительная идентификация и аутентификация пользователейстандартных служб (на проходе);
- ревизия содержимого (вложений) информационных пакетов, выявление инейтрализация компьютерных вирусов;
- виртуальные частные сети (для защиты потоков данных, передаваемых по открытым сетям — обеспечения конфиденциальности, — применяютсякриптографические методы, рассмотренные выше);
- противодействие атакам на внутренние ресурсы.
Управление механизмами защиты
- выборочное подключение имеющихся защитных механизмов, что обеспечивает возможность реализации режима постепенного поэтапного усиления степени защищенности АС;
- так называемый «мягкий» режим функционирования средств защиты, при котором несанкционированные действия пользователей (действия с превышением полномочий) фиксируются в системном журнале обычным порядком, но не пресекаются (то есть не запрещаются системой защиты). Этот режим позволяет выявлять некорректности настроек средств защиты (и затем производить соответствующие их корректировки) без нарушения работоспособности АС и существующей технологии обработки информации;
- возможности по автоматизированному изменению полномочий пользователя с учетом информации, накопленной в системных журналах (при работе как в «мягком», так и обычном режимах).
- должны поддерживаться возможности управления механизмами защиты какцентрализованно (удаленно, с рабочего места администратора безопасности сети), так и децентрализованно (непосредственно с конкретной рабочей станции). Причем любые изменения настроек защитных механизмов, произведенные централизованно, должны автоматически распространяться на все рабочие станции, которых они касаются (независимо от состояния рабочей станции на момент внесения изменений в центральную базу данных). Аналогично, часть изменений, произведенных децентрализованно, должна быть автоматически отражена в центральной базе данных защиты и при необходимости также разослана на все другие станции, которых они касаются. Например, при смене своего пароля пользователем, осуществленной на одной из рабочих станций, новое значение пароля этого пользователя должно быть отражено в центральной базе данных защиты сети, а также разослано на все рабочие станции, на которых данному пользователю разрешено работать;
- управление механизмами защиты конкретной станции должно осуществляться независимо от активности данной станции, то есть независимо от того, включена она в данный момент времени и работает ли на ней какой-то пользователь или нет. После включения неактивной станции все изменения настроек, касающиеся ее механизмов защиты, должны быть автоматически перенесены на нее;
- в крупных АС процедура замены версий программ средств защиты (равно как и любых других программ) требует от обслуживающего персонала больших трудозатрат и связана с необходимостью обхода всех рабочих станций для получения к ним непосредственного доступа. Проведение таких замен может быть вызвано как необходимостью устранения обнаруженных ошибок в программах, так и потребностью совершенствования и развития системы (установкой новых улучшенных версий программ);
- для больших АС особую важность приобретает оперативный контроль за состоянием рабочих станций и работой пользователей в сети. Поэтому система защиты в свой состав должна включать подсистему оперативного контроля состояния рабочих станций сети и слежения за работой пользователей.
- подсистема реализации запросов, позволяющая выбирать из собранных системных журналов данные об определенных событиях (по имени пользователя, дате, времени происшедшего события, категории происшедшего события и т.п.). Естественно такая подсистема должна опираться на системный механизм обеспечения единого времени событий;
- возможность автоматического разбиения и хранения системных журналов по месяцам и дням в пределах заданного количества последних дней. Причем во избежание переполнения дисков по истечении установленного количества дней просроченные журналы, если их не удалил администратор, должны автоматически уничтожаться;
- в системе защиты должны быть предусмотрены механизмы семантического сжатия данных в журналах регистрации, позволяющие укрупнять регистрируемые события без существенной потери их информативности. Например, заменять все многократно повторяющиеся в журнале события, связанные с выполнением командного файла autoexec.bat, одним обобщенным;
- желательно также иметь в системе средства автоматической подготовки отчетных документов установленной формы о работе станций сети и имевших место нарушениях. Такие средства позволили бы существенно снять рутинную нагрузку с администрации безопасности.
Контроль целостности программных и информационных ресурсов
Механизм контроля целостности ресурсов системы предназначен для своевременного обнаружения модификации ресурсов системы. Он позволяет обеспечить правильность функционирования системы защиты и целостность обрабатываемой информации.
Контроль целостности программ, обрабатываемой информации и средств защиты обеспечивается:
- средствами разграничения доступа, запрещающими модификацию или удаление защищаемого ресурса
- средствами сравнения критичных ресурсов с их эталонными копиями (и восстановления в случае нарушения целостности);
- средствами подсчета контрольных сумм (сверток, сигнатур, имитоприставок и т.п.);
- средствами электронной цифровой подписи.
Защита периметра компьютерных сетей
Межсетевые экраны, установленные в точках соединения с сетью Internet -обеспечивают защиту внешнего периметра сети и защиту собственных Internet-серверов, открытых для общего пользования, от несанкционированного доступа.
В межсетевых экранах применяются специальные методы защиты:
- трансляция адресов для сокрытия структуры и адресации внутренней сети;
- фильтрация проходящего трафика;
- управление списками доступа на маршрутизаторах;
- дополнительная идентификация и аутентификация пользователей стандартных служб (на проходе);
- ревизия содержимого (вложений) информационных пакетов, выявление и нейтрализация компьютерных вирусов;
- виртуальные частные сети (для защиты потоков данных, передаваемых по открытым сетям — обеспечения конфиденциальности, — применяются криптографические методы, рассмотренные выше);
- противодействие атакам на внутренние ресурсы.
6 Управление механизмами защиты
Основное внимание уделяется реализации самих защитных механизмов, а не средств управления ими. Решить это можно только, обеспечив необходимую гибкость управления средствами защиты.
Недостаточное внимание к проблемам и пожеланиям заказчиков, к обеспечению удобства работы администраторов безопасности по управлению средствами защиты компьютерных систем часто является основной причиной отказа от использования конкретных средств защиты.
Этап внедрения средств защиты информации обязательно в той или иной мере включает действия по первоначальному выявлению, уточнению и соответствующему изменению настроек средств защиты. Эти действия должны проходить для владельцев и пользователей системы как можно более прозрачно.
Средства управления системы защиты должны обеспечивать удобство выполнения необходимых при этом изменений настроек системы защиты.
Для поддержки и упрощения действий по настройке средств защиты необходимо предусмотреть следующее:
- выборочное подключение имеющихся защитных механизмов;
- «мягкий» режим функционирования средств защиты, при котором несанкционированные действия пользователей (действия с превышением полномочий) фиксируются в системном журнале обычным порядком, но не пресекаются. Этот режим позволяет выявлять некорректности настроек средств защиты;
- возможности по автоматизированному изменению полномочий пользователя с учетом информации, накопленной в системных журналах.
Для решения проблем управления средствами защиты в больших сетях необходимо предусмотреть:
- поддержку возможности управления механизмами защиты как централизованно (удаленно, с рабочего места администратора безопасности сети), так и децентрализовано (непосредственно с конкретной рабочей станции). При этом любые изменения настроек защитных механизмов, произведенные централизованно, должны автоматически распространяться на все рабочие станции, которых они касаются (независимо от состояния рабочей станции на момент внесения изменений в центральную базу данных);
- управление механизмами защиты конкретной станции должно осуществляться независимо от активности данной станции;
- в крупных системах замена версий программ средств защиты (равно как и любых других программ) требует от обслуживающего персонала больших трудозатрат и связана с необходимостью обхода всех рабочих станций для получения к ним непосредственного доступа;
- Система защиты в свой состав должна включать подсистему оперативного контроля состояния рабочих станций сети и слежения за работой пользователей.
Для облегчения работы администратора с системными журналами в системе должны быть предусмотрены:
- подсистема реализации запросов, позволяющая выбирать из собранных системных журналов данные об определенных событиях (по имени пользователя, дате, времени происшедшего события, категории происшедшего события и т.п.);
- возможность автоматического разбиения и хранения системных журналов по месяцам и дням в пределах заданного периода. Причем во избежание переполнения дисков по истечении установленного количества дней просроченные журналы, если их не удалил администратор, должны автоматически уничтожаться.
- в системе защиты должны быть предусмотрены механизмы семантического сжатия данных в журналах регистрации, позволяющие укрупнять регистрируемые события без существенной потери их информативности;
- желательно иметь системе средства автоматической подготовки отчетных документов установленной формы.
Универсальные механизмы защиты обладают своими достоинствами и недостатками и могут применяться в различных вариантах и совокупностях в конкретных методах и средствах защиты.