 |
Основные задачи системы защиты корпоративной сети.
|
|
|
|
Главными задачами любой системы информационной безопасности являются:
· обеспечение доступности данных для авторизированных пользователей — возможности оперативного получения информационных услуг;
· гарантия целостности информации — ее актуальности и защищенности от несанкционированного изменения или уничтожения;
· обеспечение конфиденциальности сведений.
С чего нужно начать построение защиты корпоративной сети? Большинство экспертов по безопасности рекомендуют начать с тщательного отбора (в том числе по этическим и моральным критериям) сотрудников, в задачи которых будет входить администрирование сети и, в частности, создание и эксплуатация подсистемы информационной безопасности корпоративной сети. Т.к. именно администраторы сети - это те люди которые будут иметь практически не ограниченный доступ ко всем ресурсам сети.
Главной задачей, решаемой на этапе проектирования подсистемы информационной безопасности, является обеспечение безопасности информации в компьютерных сетях, что предполагает создание препятствий для любых несанкционированных попыток хищения или модификации данных, передаваемых в сети. В то же время очень важно сохранить такие свойства информации, как доступность, целостность и конфиденциальность.
- Доступность информации подразумевает обеспечение своевременного и беспрепятственного доступа пользователей к интересующим их сведениям.
- Целостность информации заключается в ее существовании в неискаженном виде, то есть неизменном по отношению к некоторому фиксированному ее состоянию.
- Конфиденциальность предполагает необходимость введения ограничений доступа к данной информации для определенного круга пользователей.
|
|
|
Прежде чем приступить к созданию подсистемы информационной безопасности сети, необходимо разработать концепции и политики безопасности, которые будут приняты в компании и которые неразрывно связаны с общим планом ее развития. Правильная политика безопасности позволит не только учесть все требования по безопасности, но и оптимально использовать финансовые средства, необходимые для ее реализации.
По результатам проведенного анализа возможных угроз необходимо определить методы и средства обнаружения враждебного воздействия и защиты от известных угроз, а также методы и средства реагирования при инцидентах. Необходимо помнить, что ущерб часто наносится не из-за чьего-то злого умысла, а просто по причине элементарных ошибок пользователей, которые случайно портят или удаляют данные, крайне важные для компании.
К основным компонентам системы защиты корпоративной сети можно отнести:
- Межсетевые экраны, которые обеспечивают организацию защитного периметра, защищающего информационные ресурсы организации от доступа извне и контролирующего процедуры взаимодействия пользователей корпоративной сети с внешними сетями, в основном с Интернетом. Межсетевой экран обеспечивает решение таких задач, как защита локальной сети от несанкционированного доступа из внешних сетей, безопасный доступ в Интернет корпоративных пользователей, удаленное подключение пользователей к ресурсам корпоративной информационной системы. На критически важные узлы корпоративной сети возможна установка отдельного межсетевого экрана.
- Антивирусные продукты обеспечивают надежную защиту серверов, рабочих станций, почтовых систем и Интернет-трафика от поражения компьютерными вирусами.
- Система организации защищенного удаленного доступа пользователей к ресурсам корпоративной сети предоставляет возможность создания защищенных Интернет-каналов, реализованных на базе технологии построения виртуальных частных сетей, что обеспечивает высокий уровень безопасности корпоративного трафика при небольших финансовых затратах.
|
|
|
- Системы обнаружения вторжений и системы анализа защищенности ресурсов корпоративной сети, работающие в едином комплексе, обеспечивают предотвращение хакерских атак, позволяют предупреждать внешние и внутренние хакерские атаки, контролируют проходящий трафик и процессы на ключевых серверах сети, дают возможность в автоматическом режиме блокировать атаки, обнаруживать и устранять уязвимости в системе защиты корпоративной сети. Данная система позволяет обнаруживать атаки и злоупотребления в отношении узлов корпоративной сети компании. Система может обеспечивать как защиту конкретного узла, так и целого сетевого сегмента. Основной принцип работы системы обнаружения и предотвращения вторжений заключается в выявлении и блокировании сетевых атак в корпоративной сети на основе анализа пакетов данных, циркулирующих в этой сети, и в последующем выявлении аномалий сетевого трафика сети. Система позволяет с равной степенью эффективности выявлять и блокировать атаки со стороны как внешних, так и внутренних нарушителей.
Для обнаружения вторжений система использует метод, основанный на выявлении сигнатур известных атак, а также метод, базирующийся на анализе поведения сети. Метод, основанный на выявлении сигнатур, обеспечивает обнаружение атак посредством специальных шаблонов. В качестве сигнатуры атаки могут выступать строка символов, семантическое выражение на специальном языке, формальная математическая модель и др., причем каждая сигнатура может быть соотнесена с соответствующей атакой нарушителя. При получении исходных данных о сетевом трафике корпоративной сети система проводит их анализ на соответствие определенным шаблонам или сигнатурам атак, хранимым в постоянно обновляющейся базе данных системы. В случае обнаружения сигнатуры в исходных данных система фиксирует факт обнаружения сетевой атаки и блокирует ее дальнейшие действия. Преимуществом сигнатурного метода является его высокая точность.
|
|
|
Для выявления новых типов атак в системе обнаружения вторжений реализован метод, который основан на анализе поведения корпоративной сети и использует информацию о штатном процессе функционирования корпоративной сети. Принцип работы этого метода заключается в обнаружении несоответствия между текущим режимом функционирования корпоративной сети и моделью штатного режима работы, заложенной в параметрах работы метода. Любое несоответствие рассматривается как информационная атака. В случае осуществления атаки, которая может привести к выведению из строя узлов корпоративной сети, возможны автоматическое завершение соединения с атакующим узлом, блокировка учетной записи нарушителя (если он является сотрудником компании) или реконфигурация межсетевых экранов и маршрутизаторов таким образом, чтобы в дальнейшем соединения с атакующим узлом были запрещены.
В состав системы обнаружения и предотвращения вторжений входят следующие компоненты: сетевые сенсоры, серверные сенсоры, датчики, сервер управления сенсорами, а также консоль администратора. Сетевые сенсоры, предназначенные для защиты объектов сетевых сегментов корпоративной сети, обеспечивают перехват и анализ всего сетевого трафика, передаваемого в рамках того сегмента, где они установлены. Серверные сенсоры устанавливаются на серверы корпоративной сети и обеспечивают защиту определенных сетевых сервисов сети. В числе таких сенсоров могут быть серверные сенсоры для почтовых, файловых и Web-серверов, а также для серверов баз данных. На одном сервере корпоративной сети может быть одновременно установлено несколько типов сенсоров. Датчики выполняют функции управления серверными и сетевыми сенсорами, а также функции обеспечения передачи информации между сенсорами и сервером управления сенсорами. Сервер управления сенсорами обеспечивает централизованный сбор, хранение и анализ информации, поступающей от серверных и сетевых сенсоров, и дает возможность выявления распределенных сетевых атак на основе анализа полученной информации. Консоль администратора предназначена для централизованного управления компонентами системы и отображения результатов работы системы.
|
|
|
Сообщение об обнаруженной атаке, как правило, формируется в соответствии со стандартом IDMEF (Intrusion Detection Message Exchange Format) и содержит следующую информацию:
· дата и время обнаружения атаки;
· общее описание атаки, включая возможные ссылки на дополнительные источники информации о выявленной атаке;
· символьный идентификатор атаки по классификатору CVE (Common Vulnerabilities Exposures) или CERT (Computer Emergency Response Team);
· уровень приоритета обнаруженной атаки (низкий, средний или высокий);
· информация об источнике атаки (IP-адрес, номер порта, доменное имя и др.);
· информация об объекте атаки (IP-адрес, номер порта, доменное имя и др.);
· рекомендации по устранению уязвимости, в результате которой был зафиксирован факт реализации атаки.
База данных сигнатур атак системы обнаружения и предотвращения вторжений должна регулярно обновляться.
- Система анализа защищенности предназначена для проведения регулярных, всесторонних или выборочных тестов с целью выявления и устранения уязвимостей программно-аппаратного обеспечения корпоративной сети: сетевых сервисов, операционных систем, прикладного программного обеспечения, систем управления базами данных, маршрутизаторов, межсетевых экранов, а также для проверки наличия последних модулей обновления и т.п. При выявлении уязвимостей система предоставляет администратору отчеты, содержащие подробное описание каждой обнаруженной уязвимости, данные об их расположении в узлах корпоративной сети и рекомендации по их коррекции или устранению.
В состав системы анализа защищенности входят сканеры безопасности, предназначенные для проведения заданного множества проверок в соответствии с параметрами, определенными администратором безопасности; сервер хранения результатов работы системы; консоль администратора для централизованного управления системой.
Сканер безопасности представляет собой программное средство для удаленной или локальной диагностики различных элементов сети на предмет выявления в них уязвимостей, использование которых может привести к компьютерным нарушениям. Основными пользователями таких сканеров являются системные администраторы и специалисты по безопасности. Сканеры безопасности сокращают время, необходимое для поиска уязвимостей, за счет автоматизации операций по оценке защищенности систем. Принципы работы такого сканера заключается в том, что основной модуль программы подсоединяется по сети к удаленному компьютеру. В зависимости от активных сервисов формируются проверки и тесты. Найденная при сканировании каждого порта служебная информация сравнивается с таблицей правил определения сетевых устройств, операционных систем и возможных уязвимостей. На основе проведенного сравнения делается вывод о наличии или отсутствии потенциальной уязвимости.
|
|
|
Система анализа защищенности требует постоянного внимания и контроля. Любое изменение конфигурации корпоративной сети компании, а также сетевого программного обеспечения должно быть исследовано системой анализа защищенности. Несоответствие в конфигурации может привести к увеличению количества ложных срабатываний, а также к появлению дыр в безопасности. Работа системы основана на анализе сетевого трафика с использованием метода сигнатур, поэтому система анализа защищенности требует постоянного обновления базы уязвимостей. Эксплуатация данной системы имеет смысл только при условии, что она развивается вместе с сетью, которую она защищает. Разумеется, что подразумевается регулярное проведение тестов.
В настоящее время многие компании, занимающиеся вопросами информационной безопасности (например, Internet Security Systems и др.), предлагают стратегию применения описанных выше систем в составе единых комплексов, позволяющих осуществлять централизованное управление информационной безопасностью корпоративной сети. С помощью единого управления всеми компонентами подсистемы информационной безопасности корпоративной сети, а также на основе сбора и анализа информации от различных компонентов в режиме реального времени можно значительно повысить эффективность работы администраторов безопасности, сократить число сотрудников соответствующих служб и уменьшить затраты на их обучение.
Подобные системы позволяют вести единую базу данных шаблонов, вариантов реагирования и обновлений для всех компонентов подсистемы безопасности, автоматизировать рутинные задачи администраторов безопасности (обновление сигнатур атак, сканирование удаленных узлов и т.д.), а также проводить всесторонний анализ различных событий путем корреляции данных от разнообразных средств защиты.
- Средства управления политикой безопасности и защиты от несанкционированного доступа реализуют комплексные решения для организации доступа пользователей и администраторов к ресурсам корпоративной сети, предусматривают использование электронных ключей с уникальными персональными идентификаторами пользователей, электронных замков и других средств защиты серверов, рабочих станций и телекоммуникационного оборудования от несанкционированного доступа. Прежде всего следует отметить, что данная система не выполняет функций защиты от таких злонамеренных действий, как использование побочных электромагнитных излучений и наводок, подслушивание, подглядывание и т.п., — для противодействия подобного рода нарушениям должен быть реализован комплекс организационно-технических мероприятий по физическому контролю (размещение, охрана и т.п.) контролируемых узлов корпоративной сети. Основной же задачей системы управления политикой безопасности и защиты от несанкционированного доступа является обнаружение фактов несанкционированных действий пользователей корпоративной сети на основе сбора и анализа информации о событиях, регистрируемых на информационных ресурсах корпоративной сети.
Данная система обеспечивает мониторинг, контроль и сбор информации о действиях легальных пользователей корпоративной сети. Если по результатам анализа собранных данных выявляется факт несанкционированных действий, система блокирует дальнейшие действия нарушителя и оповещает администратора безопасности о действиях пользователя. Кроме того, система контролирует работу приложений, запущенных на рабочих станциях пользователей. Информация о случае нарушении политики безопасности записывается в базу данных системы и может использоваться для дальнейшего анализа.
В задачу этой системы входит сбор информации о следующих событиях:
· изменение файловой системы контролируемого узла корпоративной сети;
· использование внешних устройств ввода-вывода (дисководов, USB-устройств и т.п.);
· запуск и остановка процессов на контролируемом узле;
· локальная либо удаленная регистрация начала сеанса работы пользователя, а также завершение работы пользователей;
· использование принтеров и других периферийных устройств;
· ведение статистики использования сетевых сервисов;
· изменение аппаратной и программной конфигурации контролируемого узла.
Система управления политикой безопасности и защиты от несанкционированного доступа имеет распределенную архитектуру и включает такие компоненты, как программные сенсоры, сервер управления сенсорами и консоль администратора. Программные сенсоры устанавливаются на контролируемые узлы корпоративной сети и обеспечивают сбор, фильтрацию и передачу параметров собранных событий серверу управления сенсорами. Сервер управления сенсорами осуществляет хранение и анализ информации о событиях, поступающих от сенсоров системы. Консоль администратора служит для централизованного управления сервером управления сенсорами и сенсорами системы, отображения результатов работы системы и формирования отчетов.
Использование таких средств защиты, как межсетевые экраны, системы контроля доступа пользователей и т.п., не дает полной гарантии устойчивости корпоративной сети к атакам. Любое программное или аппаратное обеспечение не является совершенным, и в нем имеются уязвимости, позволяющие совершить какие-либо действия в нарушение установленного порядка использования информационных ресурсов. Кроме того, реагировать на несанкционированную активность или попытки взлома сети в режиме реального времени практически невозможно, если эти функции выполняются вручную. Своевременное обнаружение попыток взлома информационных ресурсов и оперативная реакция на эти действия позволяют значительно повысить уровень защищенности сети.
Многие пользователи считают, что для обеспечения надежной защиты вполне достаточно антивирусного программного обеспечения, другие полагают, что лучшее решение — полная шифрация данных. Однако использование антивирусного ПО при его правильной настройке и эксплуатации означает всего лишь то, что вирусы из общеизвестных списков с большой долей вероятности не попадут в защищаемый информационный ресурс. Кроме того, существует большое количество программ, типа троянцев и т.п., которые не обнаруживаются антивирусным программным обеспечением и могут функционировать на зараженном компьютере годами. Полное шифрование данных само по себе тоже не является панацеей, так как шифруемая стойкими алгоритмами важная информация может быть легко передана злоумышленнику так называемыми клавиатурными шпионами. В то же время следует учитывать, что система шифрования является одним из ключевых (хотя и не единственным!) элементов единой комплексной подсистемы информационной безопасности корпоративной сети компании.
Администратору подсистемы безопасности следует иметь в виду то, что конфиденциальная информация компании может быть послана сотрудником компании по электронной почте. Для обнаружения подобных фактов подсистема безопасности должна включать средства контроля содержимого почтовых сообщений.
Постановка задачи
Проанализировав все особенности и слабые места корпоративной сети я поставил для себя следующие задачи обеспечения безопасности БД:
· обеспечение доступа к базе данным только лиц, имеющих право допуска;
· проведения инструктажа сотрудников организации.
· обеспечение защитного периметра, защищающего информационные ресурсы организации от доступа извне, безопасного доступа в интернет.
· установка антивирусных продуктов.
· обеспечение защищенного удаленного доступа пользователей к ресурсам корпоративной сети
· обеспечение системы обнаружения и предотвращения вторжений.
· организация комплекса организационно-технических средств по физическому контролю узлов корпоративной сети.
|
|
|
