Secure Shell как средство замены уязвимых сервисов TCP/IP 13 глава

4). В зависимости от деятельности организации должны быть выработаны разумные и реальные требования по информационной безопасности, определяющие конкретные виды защиты. Необходимо принять во внимание все вопросы обеспечения безопасности, начиная с шифрования, паролей и иерархического доступа пользователей к информации, и заканчивая установкой МЭ. Защита с помощью некоторых дорогостоящих средств, например МЭ, может оказаться нецелесообразной для интрасети с напряженным трафиком, поскольку использование многих МЭ существенно влияет на производительность сети. В некоторых случаях лучше "оставить двери широко распахнутыми", а основной упор сделать на методы обнаружения вторжения в сеть и реагирования на них, то есть перекрывать трафик только в случае возникновения реальной угрозы безопасности.

5). Интрасеть должна периодически тестироваться на предмет выявления возможных слабых мест, которыми могут воспользоваться взломщики. По результатам тестирования должны предприниматься действия по устранению этих слабых мест. Необходимо осуществлять постоянный сетевой мониторинг и аудит; все журналы регистрации событий в интрасети должны стать объектом регулярного анализа со стороны системных администраторов.

6). Обязательно должен быть разработан подробный план восстановления функционирования интрасети в случае, если она все же подвергнется взлому со стороны злоумышленников.

Производители средств защиты информации в Internet постоянно совершенствуют свои изделия и выпускают на рынок все новые и новые программные и аппаратные продукты. Поэтому возможно как приобретение уже существующих, так и разработка своих собственных средств защиты, предназначенных конкретно для решения задач защиты определенной организации.

После установки в интрасети СЗИ для их поддержания требуется повседневное осуществление следующих мероприятий:

1). Мониторинг, аудит и тестирование установленных в интрасети систем и оборудования для обнаружения проблем с обеспечением информационной безопасности и самих программно-аппаратных и технических СЗИ.

2). Тестирование и установка дополняющего защитного ПО ("заплаток", "патчей", "фикс") для программно-аппаратных средств, уже работающих в интрасети, имеющих определенные "лазейки" для взлома злоумышленниками и по каким-либо причинам не подлежащим замене на другие средства.

3). Определение, проведение и реализация политики и мер защиты безопасности.

4). Оценка новых средств защиты, которые предполагаются к использованию в СЗИ.

5). Ознакомление с новыми технологиями защиты и возможными угрозами информационной безопасности организации.

6). Осуществление постоянного обучения по вопросам защиты и доведение новостей в данной области до всех подразделений организации. Создание консультационных служб по обеспечению безопасности для клиентов/пользователей СЗИ.

7). Поддержка исследований, координация действий при атаках, составление отчетов и отслеживание попыток осуществления атак на саму СЗИ.

И в заключение выделим основные принципы построения архитектуры безопасности Internet.

1). Механизмы безопасности должны быть масштабируемы, чтобы удовлетворять постоянно увеличивающимся масштабам Internet (количеству сетей, компьютеров и пользователей). В частности, механизмы безопасности (аутентификация и контроль за доступом), использующие службы доменных имен, должны учитывать постоянный рост Internet.

2). Механизмы безопасности должны (иметь возможность) опираться на технологии нижних уровней (алгоритмы и протоколы), которые имеют проверенную гарантированную безопасность.

3). Механизмы безопасности не должны ограничивать топологию сети. Например, применение определенного механизма безопасности нежелательно, если условием его применения является использование единственного межсетевого устройства (например, маршрутизатора) для внешних соединений.

4). Рекомендуется применять механизмы безопасности и соответствующие продукты, которые не подвержены экспортно-импортным ограничениям или законодательному регулированию.

5). Целесообразно развивать такие технологии безопасности, которые используют общую инфраструктуру безопасности. Например, инфраструктура сертификации открытых ключей в соответствии со стандартом Х.509 используется для защиты данных в электронной почте в соответствии со стандартами РЕМ, Х.400, а также для поддержки механизмов безопасности службы директорий Х.500 и управления телекоммуникационными сетями Х.700.

6). Криптографические механизмы, используемые в Internet, должны быть широко известны и проверены временем. Это не является доказательством надежности таких механизмов, однако защищает от крупных ошибок.

Поскольку взломщики предпринимают все более изощренные атаки на интрасети, тратя на разработку средств НСД к информации большие суммы денег и умственных усилий, в обязанности администрации по безопасности должно входить изучение самых последних "достижений" злоумышленников.

Однако постоянное совершенствование лежащих в основе Internet сетевых технологий, протоколов, предоставляемых сервисов и служб, создание все более совершенных средств защиты в недалеком будущем будут способствовать решению задач обеспечения информационной безопасности в Internet. Например, новые реализации протоколов (типа IPv6, новых версий протокола SNMP) и интернациональные системы криптозащиты вселяют уверенность в устойчивость Internet перед натиском злоумышленников.

Следующий этап развития Internet начат в 1996-1997 гг. и связан с реализацией проектов Internet2, Next Generation Internet (NGI) и Very High Speed Backbone Network Service (vBNS). Создаются сетевые структуры, которые обеспечат быстродействие, во много раз превосходящее скорости передачи современной Internet. Проект Internet (http://www.internet2.edu/) воплощается в жизнь университетскими исследовательскими центрами (их уже более 120).

Ядром Internet2 является сеть vBNS Национального фонда науки США (National Science Foundation, NSF). Internet2 обеспечит скорость передачи до 2,4 Гбайт/с, а ее перевод на коммерческие рельсы потребует 3-5 лет. Параллельно развивается инициатива NGI (http://www.hpcc.gov/ngi-concept-08Apr97/), предусматривающая финансирование государственных исследовательских центров. В ней принимают участие Управление перспективных разработок Министерства обороны США (DARPA), Национальное управление по аэронавтике и исследованию космического пространства (NASA), фонд NSF, Министерство обороны и Министерство энергетики.

Все три проекта предназначены для расширенного доступа к средствам образования и повышения эффективности обучения, а также направлены на создание сети с исключительно широкими функциональными возможностями, способной поддержать такие широкополосные приложения, как видеоконференции, цифровые библиотеки, телепрезентации, телемедицина, пакеты коллективной работы с элементами трехмерной графики и распределенные системы визуализации для научных исследований.

Для функционирования Internet нового поколения потребуются приложения и сложные программные средства, согласованные с новыми сетевыми функциями, такими как дифференцированное обслуживание определенного качества (Quality of Service, QoS). Это позволит выделять приложениям определенные сетевые ресурсы (например, полосу пропускания) или обеспечивать заданный уровень задержки. Далее возникнет задача регулирования QoS, иначе все приложения будут запрашивать для своей работы максимум ресурсов. Для ее решения нужны совместимые между собой структуры аутентификации и проверки полномочий. После этого переход на новую технологию можно осуществить за счет ее "эволюционного распространения". Применение высокопроизводительных вычислительных средств в распределенных сетях, конечно же, потребует от разработчиков и более совершенных средств защиты данных.

ПРИЛОЖЕНИЕ 1 Примеры межсетевых экранов

В Приложении I в качестве справочного материала приводятся конкретные реализации МЭ и их свойства.