<<
>>

Технологии и инструменты обеспечения интегральной безопасности информационных систем

Технологическая модель подсистемы информационной безопасности ИС. Современные распределенные корпорации, имеющие подразделения на разных континентах, имеют сложную техническую, инженерную и информационную инфраструктуру.

Создание информационной сети такой корпорации и ее эффективная защита являются чрезвычайно сложной концептуальной и технологической задачей. Первоначальное решение использовать для формирования сети телефонные линии быстро привело к нагромождению коммуникаций и невозможности эффективной защиты. Последующее создание и сопровождение собственных корпоративных сетей для обеспечения информационного обмена данными на базе таких линий связи стало обходиться в миллионы долларов.

Быстрое развитие технологий Internet, образование, рост и развитие «всемирной паутины» позволили создать достаточно дешевые и надежные коммуникации. Однако техническая надежность связи вовсе не означала безопасности корпоративных сетей, имеющих выходы в Internet. Общие принципы построения Internet и его использование как общедоступной сети с публичными сервисами привели к тому, что стало очень трудно обеспечить надежную защиту от проникновения в корпоративные и государственные сети, построенные на базе протоколов TCP/IP и internet-приложений — Web, FTP, e-mail и т.д.

Целевое назначение любой КИС состоит в обеспечении пользователей необходимой информацией в режиме On-Line и адекватном информационном сопровождении деятельности предприятия. Базисом КИС является общесистемное программное обеспечение, которое включает в себя операционную систему и программные оболочки, программы общего и прикладного назначения: АРМ и Web-сервисы общего и специального назначения, СУБД и управление интегрированными вычислительными и мультимедийными приложениями, а также доступом в локальные и внешние сети.

Физически нижний уровень КИС базируется на серверах, рабочих станциях, ПК различного назначения и коммуникационных устройствах, а также на программном обеспечении, реализующем работу перечисленных устройств.

В связи с этим подсистема информационной безопасности начинается с защиты именно этого программно-аппаратного оборудования. С этой целью можно использовать известные защитные средства операционных систем, антивирусные пакеты, средства и устройства аутентификации пользователя, средства криптографической защиты паролей и данных прикладного уровня. Все эти средства образуют базу для реализации первого уровня технологической модели подсистемы информационной безопасности (рис. 22.3) [19].

Второй физический уровень КИС — рабочие станции, серверы и ПК объединятся в локальные сети, которые организуют внутреннее intranet-пространство предприятия и могут иметь выходы во внешнее internet-пространство. В этом случае речь идет о средствах информационной защиты второго уровня — уровня защиты локальных сетей, который обычно включает в себя: средства безопасности сетевых операционных систем;


средства аутентификации пользователей (UserAuthentication Facilities — UAF); средства физического и программного разграничения доступа к распределенным и разделяемым ИР; средства защиты домена локальной сети (Local Aron NiM work Domain — LAND); средства промежуточного доступа (Proxy Server) и межсетевые экраны (Firewall); средства организации виртуальных локальных подсетей (Virtual Local Area Network — VLAN); средства обнаружения атаки и уязвимостей в системе защиты локальных сетей.

Следующий уровень реализации КИС — объединение нескольких локальных сетей географически распределенного предприятия в общую корпоративную intranet-сеть через открытую сеть на базе современных технологий поддержки и сопровождения таких сетей (Quality of Service — QoS) с использованием открытой среды Internet в качестве коммутационной среды. В этом случае на третьем уровне защиты КИС используются технологии защищенных виртуальных сетей (Virtual Private Networks — VPN), которые часто интегрируются со средствами первого и второго уровней.

Такой защищенный VPN-канал может простираться не только до маршрутизаторов доступа и пограничных «файерволов», но и до серверов и рабочих станций локальной сети.

Последний этап защиты КИС — организация защищенного меж- корпоративного обмена в среде электронного бизнеса (e-Business). Методологической и технологической основой такой защиты являются методы и технологии управления публичными ключами и сертификатами криптографической защиты (Public Key Infrastructure — PKI). Суть этих технологий состоит в реализации двух глобальных функций: генерации и корректного распространения ключей и сертификатов и отслеживания их жизненного цикла. Базой для реализации средств защиты будут электронная цифровая подпись (Electronic Digital Signature — EDS) и VPN-технологии.

Отметим, что два нижних уровня являются достаточно традиционными, так как они предназначены для обеспечения безопасности конкретной физически реализованной КИС. Верхние два уровня относятся к обеспечению безопасности передачи данных

и электронного бизнеса, который осуществляется уже не в физическом, а в виртуальном пространстве, при этом VPN-технологии обеспечивают защищенный обмен данными в межкорпоративном пространстве, а PKI-технологии—VPN-устройства ключами и сертификатами. В настоящее время на рынке имеется достаточное число технических и программных решений для защиты данных, систем и сетей. Далее рассмотрены некоторые базовые технологии на примере криптографической защиты данных, технологий межсетевых экранов и защищенных VPN-каналов связи.

Технологии криптографической защиты информации. Криптография — это совокупность технических, математических, алгоритмических и программных методов преобразования данных (шифрование данных), которая делает их бесполезными для любого пользователя, у которого нет ключа для расшифровки. Криптографические преобразования обеспечивают решение следующих базовых задач защиты: конфиденциальности (невозможности прочитать данные и извлечь полезную информацию); целостности (невозможности модифицировать данные для изменения смысла или внесения ложной информации).

Технологии криптографии позволяют реализовать процессы информационной защиты: идентификации (отождествление) объекта или субъекта сети или ИС; аутентификации (проверка подлинности) объекта или субъекта сети; контроль (разграничение) доступа к ресурсам локальной сети или внесетевым сервисам; обеспечение и контроль целостности данных.

Общая схема простой криптосистемы показана на рис. 22.4 [19].

Отправитель сообщения генерирует открытый текст сообщения lt;Мgt; для передачи по незащищенному каналу связи. Для того чтобы передаваемый текст невозможно было прочитать, отправитель преобразует (шифрует) его с помощью алгоритма обратимого преобразования lt;Екgt;, формируя зашифрованный текст (криптограмму) lt;С — Ek (M) gt;. Адресат, получив криптограмму, применяет известное ему обратное преобразование lt;D = Ek - 1gt; и получает исходный открытый текст М: lt;Dk(C) = = Ek- (Ek (M)) = Мgt;. Множество преобразований {Ек}( образуют семейства криптоалгоритмов {Ек}ы. Параметр К, с помощью

Рис. 22.4. Схема симметричной криптосистемы с закрытым ключом

которого производится преобразование текста сообщения, называется ключом. Такой ключ, по сути, является уникальным параметром — только его владелец (группа владельцев) может использовать этот ключ. Таким образом, криптографическая система — это однопараметрическое семейство {Ek}ke К обратимых преобразований lt;Ek: M —gt; Сgt; из пространства {М} сообщений открытого текста в пространство {С} зашифрованных текстов. Параметр шифрования К выбирается из конечного множества {К}, называемого пространством ключей.

Существует два класса криптосистем: симметричные (с одним ключом) и асимметричные (с двумя ключами). Симметричные криптосистемы (рис. 22.4) используют один и тот же ключ в процедурах шифрования и расшифровки текста, поэтому такие системы называются системами с секретным ключом. Ключ должен быть известен только тем, кто занимается отправкой и получением сообщений.

Таким образом, задача обеспечения конфиденциальности сводится к обеспечению конфиденциальности ключа. Передача такого ключа от адресата пользователю может быть выполнена только по защищенному каналу связи (рис. 22.4, пунктирная линия), что является существенным недостатком симметричной системы шифрования. Такой вид шифрования наиболее часто используется в закрытых локальных сетях, в том числе входящих в КИС, для предотвращения несанкционированного доступа в отсутствие владельца ресурса. Таким способом можно шифровать как отдельные тексты и файлы, так и логические и физические диски.

Асимметричные криптосистемы используют различные ключи (рис. 22.5). Открытый ключ K1 используется для шифрования

данных и вычисляется по параметрам секретного ключа K2. Секретный ключ K2 применяется для расшифровки информации, зашифрованной с помощью парного ему открытого ключа K1.

Открытый и секретный ключи и K2 генерируются попарно, при этом ключ K2 остается у его владельца и должен быть надежно защищен от несанкционированного доступа. Копии ключа K1 распространяются среди пользователей сети, с которыми обменивается информацией обладатель секретного ключа K2. Таким образом, в асимметричной криптосистеме ключ K1 свободно передается по открытым каналам связи, а секретный ключ K2 хранится на месте его генерации.

Система защиты информации называется криптостойкой, если в результате предпринятой злоумышленником атаки на зашифрованное послание невозможно расшифровать перехваченный зашифрованный текст С для получения открытого текста M или зашифровать текст злоумышленникам' для передачи правдоподобного зашифрованного текста С' с искаженными данными.

В настоящее время используется следующий подход реализации криптозащиты — криптосистема, реализующая семейство криптографических преобразований {Ek}k е К, является открытой системой. Это очень важный принцип криптозащиты, так как защищенность системы не должна зависеть от того, что нельзя было бы быстро перенастроить в случае необходимости, если произошла утечка секретной информации.

Изменение программно-аппаратной части системы защиты информации требует значительных финансовых и временных затрат, а изменение ключей является несложным делом. Именно поэтому стойкость криптосистемы определяется в основном секретностью ключа K2.

Формальные математические методы криптографии были разработаны Клодом Шенноном («Математическая теория криптографии»,


1945 г.). Он доказал теорему о существовании и единственности абсолютно стойкого шифра — это такая система шифрования, когда текст однократно зашифровывается с помощью случайного открытого ключа такой же длины. В 1976 г. американские математики У. Диффи и М. Хеллман обосновали методологию асимметричного шифрования с применением открытой однонаправленной функции (это такая функция, когда по ее значению нельзя восстановить значение аргумента) и открытой однонаправленной функции с секретом.

В 1990-е г. в США были разработаны методы шифрования с помощью особого класса функций — хэш-функций (Hash Function). Хэш- (iдайджест-) функция — это отображение, на вход которого подается сообщение переменной длины М, а выходом является строка фиксированной длины h (M) — дайджест сообщения. Криптостойкость такого метода шифрования состоит в невозможности подобрать документ M', который обладал бы требуемым значением хэш-функции. Параметры вычисления хэш-функции h являются семейством ключей {K}N. В настоящее время на этих принципах строятся алгоритмы формирования ЭЦП.

Наиболее известными симметричными алгоритмами шифрования в настоящее время являются Data Encryption Standard (DES), International Data Encryption Algorithm (IDEA), RC2, RC5, CAST, Blowfish. Асимметричные алгоритмы: Rivest ShamirAdleman (RSA), алгоритм Гамаля, криптосистема ECC на эллиптических кривых, алгоритм открытого распределения ключей Диффи—Хеллмана. Алгоритмы, основанные на применении хэш-функций: Message Digest 4 (MD4), Message Digest 5 (MD5), SHA (Secure Hash Algorithm) [15].

Выбор алгоритма шифрования, кроме обязательного DES, зависит от разработчика. Это создает дополнительное преимущество, так как злоумышленник должен определить, какой шифр следует вскрыть. Если добавить необходимость подбора ключей, то шансы расшифровки существенно уменьшаются.

В России установлен единый алгоритм криптографических преобразований данных для систем обработки и передачи данных в сетях, который установлен стандартом ГОСТ 28147—89. Другой российский стандарт ГОСТ P 34.11—94 определяет алгоритм и процедуру вычисления хэш-функций для любых последовательностей двоичных символов, используемых в криптографических методах защиты информации. Отечественный стандарт ГОСТ P 34.10—94 является стандартом, определяющим алгоритм формирования ЭЦП.

Технологии нижнего уровня защиты локальных сетей: межсетевые экраны. Межсетевой экран (МЭ) (брандмауэр, Firewall) — программно-аппаратная система межсетевой защиты, которая отделяет одну часть сети от другой и реализует набор правил для прохождения данных из одной части в другую. Границей является раздел между корпоративной локальной сетью и внешними internet-сетями или различными частями локальной распределенной сети. Экран фильтрует текущий трафик, пропуская одни пакеты информации и отсеивая другие. Межсетевой экран является одним из основных компонентов защиты сетей. Наряду с internet-протоколом межсетевого обмена (Internet Security Protocol — IPSec) МЭ является одним из важнейших средств защиты, осуществляя надежную аутентификацию пользователей и защиту от несанкционированного доступа. Отметим, что большая часть проблем с информационной безопасностью сетей связана с «прародительской» зависимостью коммуникационных решений от ОС UNIX — особенности открытой платформы и среды программирования UNIX сказались на реализации протоколов обмена данными и политики информационной безопасности. Вследствие этого ряд internet-служб и совокупность сетевых протоколов (Transmission Control Protocol/Internet Protocol — TCP/IP) имеет «бреши» в защите [19]. К числу таких служб и протоколов относятся: служба сетевых имен (Domain Name Server — DNS); доступ к всемирной паутине WWW; программа электронной почты E-mail; служба эмуляции удаленного терминала Telnet; простой протокол передачи электронной почты (Simple Mail Transfer Protocol — SMTP); протокол передачи файлов (File Transfer Protocol); графическая оконная система X Windows.

Настройки МЭ, т.е. решение пропускать или отсеивать пакеты информации, зависят от топологии распределенной сети и принятой политики информационной безопасности. В связи с этим политика реализации МЭ определяет правила доступа к ресурсам внутренней сети. Эти правила базируются на двух общих принципах: запрещать все, что не разрешено в явной форме, и разрешать все, что не запрещено в явной форме. Использование первого принципа дает меньше возможностей пользователям и охватывает жестко очерченную область сетевого взаимодействия. Политика, основанная на втором принципе, является более мягкой, но во многих случаях она менее желательна, так как она предоставляет пользователям больше возможностей «обойти» МЭ и использовать запрещенные сервисы через нестандартные порты (User Data Protocol — UDP), которые не запрещены политикой безопасности.

Функциональные возможности МЭ охватывают следующие разделы реализации информационной безопасности: настройка правил фильтрации; администрирование доступа во внутренние сети; фильтрация на сетевом уровне; фильтрация на прикладном уровне; средства сетевой аутентификации; ведение журналов и учет.

Программно-аппаратные компоненты МЭ можно отнести к одной из трех категорий: фильтрующие маршрутизаторы, шлюзы сеансового уровня и шлюзы уровня приложений. Эти компоненты МЭ — каждый отдельно и в различных комбинациях — отражают базовые возможности МЭ и отличают их один от другого.

Фильтрующий маршрутизатор (FilterRouter — FR) фильтрует IP-пакеты по параметрам полей заголовка пакета: IP-адрес отправителя, IP-адрес адресата, TCP/UDP-порт отправителя и TCP/UDP-порт адресата. Фильтрация направлена на безусловное блокирование соединений с определенными хостами и (или) портами — в этом случае реализуется политика первого типа. Формирование правил фильтрации является достаточно сложным делом, к тому же обычно отсутствуют стандартизированные средства тестирования правил и корректности их исполнения. Возможности FR по реализации эффективной защиты ограничены, так как на сетевом уровне эталонной модели OSI обычно он проверяет только IP-заголовки пакетов. К достоинствам применения FR можно отнести невысокую стоимость, гибкость формирования правил, незначительную задержку при передаче пакетов. Недостатки FR являются достаточно серьезными: отсутствует аутентификация конкретного пользователя; указанную выше аутентификацию по IP-адресу можно «обойти» путем замещения информации пользователя информацией злоумышленника, использующего нужный 1Р-адрес; внутренняя сеть «видна» из внешней; правила фильтрации сложны в описании и верификации, они требуют высокой квалификации администратора и хорошего знания протоколов TCP/UDP; нарушение его работы приводит к полной незащищенности всех компьютеров, которые находятся за этим МЭ.

Шлюз сеансового уровня (Session Level Gateway — SLG) — это активный транслятор TCP-соединения. Шлюз принимает запрос авторизованного клиента на предоставление услуг, проверяет допустимость запрошенного сеанса (Handshaking), устанавливает нужное соединение с адресом назначения внешней сети и формирует статистику по данному сеансу связи. После установления факта, что доверенный клиент и внешний хост являются «законными» (авторизованными) участниками сеанса, шлюз транслирует пакеты в обоих направлениях без фильтрации. При этом часто пункт назначения оговаривается заранее, а источников информации может быть много (соединение «один-ко-мно- гим») — это, например, типичный случай использования внешнего Web-pecypca. Используя различные порты, можно создавать разлные конфигурации соединений, обслуживая одновременно всех пользователей, имеющих право на доступ к ресурсам сети. Существенным недостатком SLG является то, что после установления связи пакеты фильтруются только на сеансовом уровне модели OSI без проверки их содержимого на уровне прикладных программ. Авторизованный злоумышленник может спокойно транслировать вредоносные программы через такой шлюз. Таким образом, реализация защиты осуществляется в основном на уровне квитирования (Handshaking).

Для компенсации недостатков FR- и SLG-шлюзов в МЭ встраивают прикладные программы для фильтрации пакетов при соединениях с такими сервисами, как Telnet, FTP и пр. Эти приложения называются Ргоху-службажи, а устройство (хост), на котором работает служба, называется шлюзом уровня приложений (Application Layer Gateway — ALG). Шлюз исключает прямое взаимодействие между авторизованным пользователем и внешним хостом. Зафиксировав сетевой сеанс, шлюз останавливает его и вызывает уполномоченное приложение для реализации запрашиваемой услуги — Telnet, FTP, WWW или E-mail. Внешний пользователь, который хочет получить услугу соединения в сети, соединяется вначале с ALG, а затем, пройдя предусмотренные политикой безопасности процедуры, получает доступ к нужному внутреннему узлу (хосту). Отметим явные преимущества такой технологии: уполномоченные приложения вызывают только те службы, которые прописаны в сфере их действия, исключая все остальные, которые не отвечают требованиям информационной безопасности в контексте запрашиваемой услуги; уполномоченные приложения обеспечивают фильтрацию протокола, например, некоторые ALG могут быть настроены на фильтрацию FTP-соединения и запрещают при этом выполнение команды FTP put, что однозначно не позволяет передавать информацию на анонимный FTP-сервер; шлюзы прикладного уровня, как правило, фиксируют в специальном журнале выполняемые сервером действия и в случае необходимости сообщают сетевому администратору о возможных коллизиях и попытках проникновения; структура внутренней сети не видна из internet-cera, шлюз осуществляет надежную аутентификацию и регистрацию, правила фильтрации просты, так как экран пропускает прикладной трафик, предназначенный только для шлюза прикладного уровня, блокируя весь остальной.

Как показывает практика, защита на уровне приложений позволяет дополнительно осуществлять другие проверки в системе защиты информации, а это снижает опасность «взлома» системы, имеющей «прорехи» в системе безопасности.

Межсетевые экраны можно разделить по четырем основным признакам: по исполнению — программный и программно-аппаратный; используемой технологии — контроль состояния протокола (Stateful Inspection Protocol) или с использованием модулей посредников (Proxy Server); схеме подключения—схема единой защиты сети, схема с закрытым и не защищаемым открытым сегментами сети, схема с раздельной защитой закрытого и открытого сегментов сети.

На рис. 22.6 показан вариант защиты локальной сети на базе программно-аппаратного решения — межсетевого экрана Cisko 2610 amp; PIX Firewall 520 компании «Cisco Systems» [15].

Отличительной особенностью этой модели является специальная операционная систем реального времени, а высокая производительность реализуется на базе алгоритма адаптивной безопасности (Adaptive SecurityAlgorithm — ASA). Приведенное решение имеет несомненные достоинства: высокая производительность и пропускная способность до 4 Гб/с; возможность поддержки до 256 тыс. одновременных сессий; объединение преимуществ пакетного и прикладного шлюзов, простота и надежность в установке и эксплуатации, возможность сертификации в государственных сертифицирующих органах.

В заключение отметим, что МЭ не решают всех вопросов информационной безопасности распределенных КИС и локальных сетей. Существуют ограничения на их применение и ряд угроз, от которых МЭ не могут защитить. Отсюда следует, что технологии МЭ надо применять комплексно — с другими технологиями и средствами защиты [10].

Концепция защищенных виртуальных частных сетей. При выходе локальной сети в открытое internet-пространство возникают угрозы двух основных типов: несанкционированный доступ к данным в процессе их передачи по открытой сети и к внутренним ресурсам КИС.

Компьютер

Рис. 22.6. Использование комплекса «маршрутизатор—межсетевой экран» в системах защиты информации при подключении к сети Internet

Информационная защита при передаче данных по открытым каналам реализуется следующими мерами: взаимная аутентификация сторон, прямое и обратное криптографическое преобразование данных, проверка достоверности и целостности полученных данных.

Организация защиты с использованием технологии виртуальных частных сетей VPN подразумевает формирование защищенного «виртуального туннеля» между узлами открытой сети, доступ в который невозможен потенциальному злоумышленнику. Преимущества этой технологии очевидны: аппаратная реализация довольно проста, нет необходимости создавать или арендовать дорогие выделенные физические сети, можно использовать открытый дешевый Internet, скорость передачи данных по туннелю такая же, как по выделенному каналу.

В настоящее время существует четыре вида архитектуры организации защиты информации на базе применения технологии VPN [19]. Локальная сеть VPN (Local Area Network-VPN). Обеспечивает защиту потоков данных и информации от несанкционированного доступа внутри сети компании, информационную безопасность на уровне разграничения доступа, системных и персональных паролей, безопасность функционирования операционной системы, ведение журнала коллизий, шифрование конфиденциальной информации. Внутрикорпоративная сеть VPN (Intranet-VPN). Обеспечивает безопасные соединения между внутренними подразделениями распределенной компании. Для такой сети подразумеваются: мощные криптографические средства шифрования данных; надежность работы критически важных транзакционных приложений, СУБД, электронной почты, Telnet, FTP; скорость и производительность передачи, приема и использования данных; гибкость управления средствами подключения новых пользователей и приложений.

и отделов через открытое пространство Internet. Такая сеть организует: адекватную систему идентификации и аутентификации удаленных и мобильных пользователей, эффективную систему управления ресурсами защиты, находящимися в географически распределенной ИС. Межкорпоративная сеть VPN (Extranet-VPN). Обеспечивает эффективный защищенный обмен информацией с поставщиками, партнерами, филиалами корпорации в других странах. Предусматривает использование стандартизированных и надежных VPN-продуктов, работающих в открытых гетерогенных средах и обеспечивающих максимальную защищенность конфиденциального трафика, включающего в себя аудио- и видеопотоки информации — конфиденциальные телефонные переговоры и телеконференции с клиентами.

Можно выделить два основных способа технической реализации виртуальных туннелей: построение совокупности соединений (Frame Relay или Asynchronous Transfer Mode) между двумя нужными точками единой сетевой инфраструктуры, надежно изолированной от других пользователей механизмом организации встроенных виртуальных каналов; построение виртуального IP-туннеля между двумя узлами сети на базе использования технологии туннелирования, когда каждый пакет информации шифруется и «вкладывается» в поле нового пакета специального вида (конверт), который и передается по IP-туннелю — при этом пакет протокола более низкого уровня помещается в поле данных пакета более высокого уровня.

Виртуальный туннель обладает всеми свойствами защищенной выделенной линии, проходящей через открытое пространство Internet. Особенность технологии туннелирования состоит в том, что она позволяет зашифровать не только поле данных, а весь исходный пакет, включая заголовки. Это важная деталь, так как из заголовка исходного пакета злоумышленник может извлечь данные о внутренней структуре сети, например информацию о числе локальных сетей и узлов и их IP-адресах. Зашифрованный пакет инкапсулируется в другой пакет с открытым заголовком, который транспортируется по соответствующему туннелю. При достижении конечной точки туннеля из внешнего пакета извлекается

внутренний, расшифровывается, и его заголовок используется для дальнейшей передачи во внутренней сети или подключенному к локальной сети мобильному пользователю (рис. 22.7).

Туннелирование используется не только для обеспечения конфиденциальности внутреннего пакета данных, но и для его целостности и аутентичности. Механизм туннелирования часто применяется в различных протоколах формирования защищенного канала связи. Технология позволяет организовать передачу пакетов одного протокола в логической среде, использующей другой протокол. Таким образом, можно реализовать взаимодействие нескольких разнотипных сетей, преодолевая несоответствие внешних протоколов и схем адресации.

Средства построения защищенной VPN достаточно разнообразны — они могут включать в себя маршрутизаторы с механизмом фильтрации пакетов (Filtering Router), многофункциональные межсетевые экраны (Multifunction Firewall), промежуточные устройства доступа в сеть (Proxy Server), программно-аппарат- ные шифраторы (Firmware Cryptograph). По технической реализации можно выделить следующие основные виды средств формирования VPN: специализированные программные решения, дополняющие стандартную операционную систему функциями VPN; программно-аппаратное устройство на базе специализированной операционной системы реального времени, имеющее


два или несколько сетевых интерфейсов и аппаратную криптографическую поддержку; средства VPN, встроенные в стандартный маршрутизатор или коммутатор; расширение охвата защищаемой зоны канала передачи и приема данных за счет дополнительных функций МЭ.

Туннели VPN создаются для различных типов конечных пользователей: это может быть локальная сеть LAN со шлюзом безопасности (Security Gateway) или отдельные компьютеры удаленных или мобильных пользователей с сетевым программным обеспечением для шифрования и аутентификации трафика — клиенты VPN (рис. 22.7). Через шлюз безопасности проходит весь трафик для внутренней корпоративной сети. Адрес шлюза VPN указывается как внешний адрес входящего туннелируемого пакета, а расшифрованный внутренний адрес пакета является адресом конкретного хоста за шлюзом.

Технологии VPN на базе сетевых операционных систем. Для формирования виртуальных защищенных туннелей в 1Р-сетях сетевая операционная система Windows NT использует протокол PPTP (Point-to-Point Transfer Protocol). Туннелирование информационных пакетов производится инкапсулированием и шифрованием (криптоалгоритм RSA RC4) стандартных блоков данных фиксированного формата (РРР Data Frames) в IP-дейтаграммы, которые и передаются в открытых IP-сетях. Данное решение является недорогим, и его можно эффективно использовать для формирования VPN-каналов внутри локальных сетей, домена Windows NT или для построения internet- и extranet-VPN для небольших компаний малого и среднего бизнеса с целью защиты некритичных приложений.

Технология VPN на базе маршрутизаторов. В России лидером на рынке VPN-продуктов является компания «Cisko Systems». Построение каналов VPN на базе маршрутизаторов Cisko осуществляется средствами операционной системы версии Cisko IOS 12.x. Для организации туннеля маршрутизаторы Cisko используют протокол L2TP канального уровня эталонной модели OSI, разработанный на базе «фирменных» протоколов Cisko L2F и Microsoft РРТР, и протокол сетевого уровня IPSec, созданный ассоциацией «Проблемная группа проектирования Internet (Internet Engineering Task Force — IETF). Эффективно применяется Cisko VPN Client, который предназначен

для создания защищенных соединений Point-to Point между удаленными рабочими станциями и маршрутизаторами Cisko, что позволяет построит практически все виды VPN-соединений в сетях.

Технология VPN на базе межсетевых экранов. Эта технология считается наиболее сбалансированной и оптимальной с точки обеспечения комплексной безопасности КИС и ее защиты от атак из внешней открытой сети. В России нашел широкое применение программный продукт Check Point Firewall-1/VPN-l компании «Check Point Software Technologies». Это решение позволяет построить глубоко комплексную эшелонированную систему защиты КИС. В состав продукта входят: Check Point Firewall-1, набор средств для формирования корпоративной виртуальной частной сети Check Point VPN-1, средства обнаружения атак и вторжений Real Secure, средства управления полосой пропускания информационных пакетов Flood Gate, средства VPN-I Secure Remote, VPN-I Appliance и VPN-I Secure Client для построения Localnet/Intranet/ Internet/Extranet VPN-каналов. Весь набор продуктов Check Point VPN-I построен на базе открытых стандартов IPSec, имеет развитую систему идентификации и аутентификации пользователей, взаимодействует с внешней системой распределения открытых ключей PKI, поддерживает централизованную систему управления и аудита.

На российском рынке можно указать два продукта, получивших достаточно широкую известность: криптографический комплекс «Шифратор IP-пакетов» производства[LXXXIV] и ряд программных продуктов ЗАСТАВА компании «ЭЛВИС+»[LXXXV]. Самым быстрорастущим сегментом рынка систем информационной безопасности по исследованиям «ГОС», «Price Waterhouse Cooper» и «Gartner Group» являются системы блокировки корпоративных каналов связи. Быстрее всего растут продажи систем защиты от утечек внутренней информации (Intrusion Detection and Prevention — IDP), которые позволяют контролировать трафик электронной почты и доступ к внешним internet-pecypcaM.

Обеспечение интегральной безопасности информационных систем. Наряду с системной и функциональной интеграцией ИС в последнее время стала активно развиваться сфера интегральной информационной безопасности (Integral Information Safety — HS). Это такое состояние условий функционирования сотрудников, объектов, технических средств и систем, при котором они надежно защищены от всех возможных видов угроз в ходе непрерывного процесса подготовки, хранения, передачи и обработки информации.

Интегральная информационная безопасность (ИИБ) включает в себя следующие составляющие: физическая безопасность — защита зданий, помещений, подвижных средств, людей, а также аппаратных средств, в том числе компьютеров, носителей информации, сетевого оборудования, кабельного хозяйства, поддерживающей инфраструктуры; безопасность сетей и телекоммуникационных устройств — защита каналов связи от воздействий любого рода; безопасность системного и прикладного программного обеспечения — защита от вирусов, логических «мин», несанкционированного изменения конфигурации систем и программного кода; безопасность данных — обеспечение конфиденциальности, целостности и доступности данных.

Задача обеспечения ИИБ появилась вместе с проблемой передачи и хранения информации. На современном этапе можно выделить три подхода к ее решению: частный — основывается на решении частных задач обеспечения информационной безопасности. Этот подход является малоэффективным, но достаточно часто используется, так как не требует больших финансовых и интеллектуальных затрат; комплексный — реализуется решением совокупности частных задач по единой программе. Этот подход в настоящее время применяется наиболее часто; интегральный — основан на объединении различных вычислительных подсистем ИС, подсистем связи, подсистем обеспечения безопасности в единую информационную систему с общими техническими средствами, каналами связи, программным обеспечением и базами данных.

Третий подход направлен на достижение ИИБ, что предполагает обязательную непрерывность процесса обеспечения безопасности как во времени (в течение всей «жизни» ИС), так и в пространстве (по всему технологическому циклу деятельности) с обязатель ным учетом всех возможных видов угроз (несанкционирован ный доступ, съём информации, терроризм, пожар, стихийные бедствия и т.п.). В какой бы форме ни применялся интегральный подход, он связан с решением ряда сложных разноплановых частных задач в их тесной взаимосвязи. Наиболее очевидными из них являются задачи разграничения доступа к информации, ее технического и криптографического «закрытия», устранение паразитных излучений технических средств, технической и физической укрепленности объектов, охраны и оснащения их тревожной сигнализацией.

Стандартный набор средств комплексной защиты информации в составе современной ИС обычно содержит следующие компоненты: средства обеспечения надежного хранения информации с использованием технологии защиты на файловом уровне (File Encryption System — FES); средства авторизации и разграничения доступа к ИР, а также защиты от несанкционированного доступа к информации с использованием систем биометрической авторизации и технологии токенов (смарт-карты, touch-memory, ключи для USB-портов и т.п.); средства защиты от внешних угроз при подключении к общедоступным сетям связи (Internet), а также средства управления доступом из Internet с использованием технологии межсетевых экранов (Firewall) и содержательной фильтрации (Content Inspection); средства защиты от вирусов с использованием специализированных комплексов антивирусной профилактики; средства обеспечения конфиденциальности, целостности, доступности и подлинности информации, передаваемой по открытым каналам связи с использованием технологии VPN; средства обеспечения активного исследования защищенности информационных ресурсов с использованием технологии обнаружения атак (Intrusion Detection); средства обеспечения централизованного управления системой ИИБ в соответствии с согласованной и утвержденной «Политикой безопасности компании».

В зависимости от масштаба деятельности компании методы и средства обеспечения информационной безопасности могут различаться, но квалифицированный CIO или специалист ГГ-службы скажет, что любая проблема в области информационной безопасности не решается односторонне — всегда требуется комплексный, интегральный подход. В тех компаниях, где руководство и специалисты всерьез задумались над тем, как обезопасить свой бизнес и избежать финансовых потерь, признано, что одними локальными мерами или радикальными «подручными» средствами уже не обойтись, а нужно применять именно комплексный подход.

<< | >>
Источник: под ред. В. В. Трофимова. Информационные технологии УЧЕБНИК. 2011

Еще по теме Технологии и инструменты обеспечения интегральной безопасности информационных систем:

  1. ГЛАВА 22               Информационные технологии обеспечения безопасности
  2. 8.2. ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЫ
  3. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РЕСПУБЛИКИ БЕЛАРУСЬ
  4. ГЛАВА 9 ТЕХНОЛОГИИ АУТЕНТИФИКАЦИИ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЛАТЕЖЕЙ
  5. Часть 3. Информационные технологии в инвестиционном проектировании Раздел 13. ИНФОРМАЦИОННЫЕ СИСТЕМЫ И ТЕХНОЛОГИИ (ИС&Т) В ИНВЕСТИЦИОННОЙ ДЕЯТЕЛЬНОСТИ (ИД)
  6. 8.3. МОДЕЛЬНЫЕ РЕШЕНИЯ и СТАНДАРТЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
  7. Информационные технологии финансовой системы Автоматизированная информационная система «Финансы»
  8. Программное обеспечение и информационные технологии (ИТ)
  9. Программное обеспечение и информационные технологии
  10. 13 Информационная безопасность экономических систем
  11. Безопасность информационных систем
  12. Глава 13 Информационная безопасность экономических систем
  13. Принципы построения системы информационной безопасности
  14. ИНФОРМАЦИОННЫЕ СИСТЕМЫ И ТЕХНОЛОГИИ В АПК
- Бюджетная система - Внешнеэкономическая деятельность - Государственное регулирование экономики - Инновационная экономика - Институциональная экономика - Институциональная экономическая теория - Информационные системы в экономике - Информационные технологии в экономике - История мировой экономики - История экономических учений - Кризисная экономика - Логистика - Макроэкономика (учебник) - Математические методы и моделирование в экономике - Международные экономические отношения - Микроэкономика - Мировая экономика - Налоги и налолгообложение - Основы коммерческой деятельности - Отраслевая экономика - Оценочная деятельность - Планирование и контроль на предприятии - Политэкономия - Региональная и национальная экономика - Российская экономика - Системы технологий - Страхование - Товароведение - Торговое дело - Философия экономики - Финансовое планирование и прогнозирование - Ценообразование - Экономика зарубежных стран - Экономика и управление народным хозяйством - Экономика машиностроения - Экономика общественного сектора - Экономика отраслевых рынков - Экономика полезных ископаемых - Экономика предприятий - Экономика природных ресурсов - Экономика природопользования - Экономика сельского хозяйства - Экономика таможенного дел - Экономика транспорта - Экономика труда - Экономика туризма - Экономическая история - Экономическая публицистика - Экономическая социология - Экономическая статистика - Экономическая теория - Экономический анализ - Эффективность производства -