Организация защиты информации в локальной вычислительной сети (на примере ОАО "Марийский машиностроительный завод")

Внешние источники - напрямую вызваны деятельностью человека. Среди них можно выделить: случайные и преднамеренные.

Случайные (непреднамеренные). Данные источники могут использовать такие классы уязвимостей, как субъективные и случайные. Субъективные могут выражаться в ошибках, совершенных при проектировании ИС и ее элементов, ошибками в программном обеспечении. Случайные могут определятся, различного рода, сбоями и отказами, повреждениями, проявляемыми в ИС компании. К таким источникам можно отнести персонал поставщиков различного рода услуг, персонал надзорных организаций и аварийных служб, др. Действия (угрозы) исходящие от данных источников совершаются по незнанию, невнимательности или халатности, из любопытства, но без злого умысла. Основные угрозы от таких действий - уничтожение, блокирование, искажение информации.

Преднамеренные. Проявляются в корыстных устремлениях субъектов (злоумышленников). Основная цель таких источников - умышленная дезорганизация работы, вывода системы из строя, разглашения и искажения конфиденциальной информации за счет проникновение в систему посредством несанкционированного доступа (НСД) и утечки по техническим каналам. Угрозы от таких источников могут быть самые разные: хищение (копирование информации); уничтожение информации; модификация информации; нарушение доступности (блокирование) информации; навязывание ложной информации. В качестве таких источников могут выступать: потенциальные преступники (террористы) и хакеры; недобросовестные партнеры; представители силовых структур.

Для реализации этих угроз внешние преднамеренные источники могут использовать следующие три класса уязвимостей: объективные; субъективные; случайные. Каждым отдельным источником может использоваться определенный класс уязвимостей, в зависимости от преследуемой цели. Например, хакеры могут воспользоваться сбоями в программном обеспечении (случайные уязвимости), недобросовестные партнеры, для получения доступа к информации, могут воспользоваться активизируемыми программными закладками, встроенными в поставленном ими же программном обеспечении (объективные уязвимости), др.

Внутренние источники - как правило, представляют собой первоклассных специалистов в области эксплуатации программного обеспечения и технических средств, знакомых со спецификой решаемых задач, структурой и основными функциями и принципами работы программно - аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети компании. К таким источника можно отнести: основной персонал; представителей служб безопасности; вспомогательный персонал; технических персонал (жизнеобеспечение, эксплуатация). Внутренние антропогенные источники, в связи с их положением в ИС, для реализации угроз, могут использовать каждый из классов уязвимостей (объективные, субъективные, случайные), опять же в зависимости от преследуемых целей. Угрозы от таких источников, также могут самые разные: хищение (копирование информации); уничтожение информации; модификация информации; нарушение доступности (блокирование) информации; навязывание ложной информации.

От реализации угроз, исходящих от антропогенных источников, последствия для информационной системы компании могут быть самыми различными от сбоя в работе, до краха системы в целом. НСД и утечка по техническим каналам может привести: к неконтролируемой передаче пользователями конфиденциальной информации; заражению компьютеров и сетей ИС компьютерными вирусами; нарушению целостности (уничтожению) информации, хранящейся в базах данных и серверах компании; преднамеренному блокированию серверов и сетевых служб; НСД к различным информационно - вычислительным ресурсам.

Угрозы этой группы могут реализовываться различными методами: аналитические; технические; программные; социальные; организационные.

Источники угроз техногенной группы, напрямую зависят от свойств техники и, поэтому требуют не меньшего внимания. Данные источники также могут быть как внутренними, так и внешними.

Внешние источники - средства связи (телефонные линии); сети инженерных коммуникаций (водоснабжение, канализации).

Внутренние источники - некачественные технические средства обработки информации; некачественные программные средства обработки информации; вспомогательные средства охраны (охраны, сигнализации, телефонии); другие технические средства, применяемые в компании.

Данная группа источников менее прогнозируема и напрямую зависит от свойств применяемой техники и поэтому требует особого внимания. Угрозы от таких источников могут быть следующие: потеря информации, искажение блокирование, др. Для предотвращения таких угроз необходимо использовать (по возможности) надежную вычислительную и другую необходимую для надежного функционирования технику, лицензионное программное обеспечение (ПО). Также во время анализа, не стоит упускать непредвиденные ошибки пользователей во время эксплуатации техники и ПО. Таки ошибки могут создать слабости, которыми в свою очередь могут воспользоваться злоумышленники. Согласно статистике, 65% потерь - следствие таких ошибок. Пожары и наводнения можно считать пустяками по сравнению с безграмотностью и расхлябанностью.

В связи с тем, что в настоящее время для обработки, обмена и хранения информации в основном используют различные технические средства, съем информации заинтересованными лицами происходит также с помощью специализированных способов и технических средств. Все такие средства можно разделить на два больших класса. К первому необходимо отнести способы, при помощи которых происходит хищение конфиденциальной информации, обрабатываемой, хранимой и пересылаемой с помощью компьютерных систем; ко второму - остальных современных технических средств, к которым можно отнести телефоны, факсимильные аппараты, системы оперативно-командной и громкоговорящей связи, системы звукоусиления, звукового сопровождения и звукозаписи и т.д.

Имеется много физических мест и каналов несанкционированного доступа к информации в сети. Любые дополнительные соединения с другими сегментами или подключение к сети Интернет порождают новые проблемы, в том числе увеличивают возможность поражения сети компьютерными вирусами. Каждое устройство в сети является потенциальным источником электромагнитного излучения из-за неидеальности экранирования соответствующих полей, особенно на высоких частотах. Система заземления не является идеальной и вместе с кабельной системой может служить каналом доступа к информации в сети, в том числе на участках, находящихся вне зоны контролируемого доступа, и потому особенно уязвимых.

Кроме электромагнитного излучения, потенциальную угрозу представляет бесконтактное электромагнитное воздействие на кабельную систему. В случае использования проводных соединений типа коаксиальных кабелей или витых пар, возможно и непосредственное физическое подключение к кабельной системе. Если пароли для входа в сеть стали известны или подобраны, то для таких «пользователей» становится возможным непосредственный вход в сеть. Наконец, возможна утечка информации из хранилища носителей информации, находящихся вне сети.

В настоящее время подавляющее число организаций так или иначе использует для обработки и хранения информации те или иные компоненты информационных систем. Это могут быть как достаточно простые и уже привычные персональные компьютеры, так и более специализированные системы, к примеру, системы хранения данных. В связи с этим в последнее десятилетие стал очень актуальным вопрос об обеспечении безопасности данных в информационных системах, в том числе глобальной сети Интернет и локальных сетях. Необходимо понимать, что угроза целостности информации возникает только в том случае, если компьютер, на котором она хранится, является частью какой-либо локальной сети, либо имеет подключение к сети Интернет.

Технические угрозы:

- Ошибки в программном обеспечении.

- DoS- и DDoS-атаки.

- Компьютерные вирусы, черви, троянские кони.

- Анализаторы протоколов и прослушивающие программы

(«снифферы»).

- Атаки типа Man-in-the-Middle

- Атаки на уровне приложений

- Сетевая разведка

Человеческий фактор:

- Уволенные или недовольные сотрудники.

- Халатность.

- Низкая квалификация.

Ошибки в программном обеспечении - самое узкое место любой сети. Программное обеспечение серверов, рабочих станций, маршрутизаторов и т. д. написано людьми, следовательно, оно практически всегда содержит ошибки. Чем выше сложность подобного программного обеспечения, тем больше вероятность обнаружения в нем ошибок и уязвимостей. Большинство из них не представляет никакой опасности, некоторые же могут привести к трагическим последствиям, таким, как получение злоумышленником контроля над сервером, неработоспособность сервера, несанкционированное использование ресурсов (хранение ненужных данных на сервере, использование в качестве плацдарма для атаки и т.п.). Большинство таких уязвимостей устраняется с помощью пакетов обновлений, регулярно выпускаемых производителем программного обеспечения. Своевременная установка таких обновлений является необходимым условием безопасности сети.

DoS-атаки (Denial Of Service - отказ в обслуживании) - особый тип атак, направленный на выведение сети или сервера из работоспособного состояния. При DoS-атаках могут использоваться ошибки в программном обеспечении или легитимные операции, но в больших масштабах (например, посылка огромного количества электронной почты). Новый тип атак DDoS (Distributed Denial Of Service) отличается от предыдущего наличием огромного количества компьютеров, расположенных в большой географической зоне. Такие атаки просто перегружают канал трафиком и мешают прохождению, а зачастую и полностью блокируют передачу по нему полезной информации. Особенно актуально это для компаний, занимающихся каким-либо online-бизнесом, например, торговлей через Internet.

Компьютерные вирусы - старая категория опасностей, которая в последнее время в чистом виде практически не встречается. В связи с активным применением сетевых технологий для передачи данных вирусы все более тесно интегрируются с троянскими компонентами и сетевыми червями.

В настоящее время компьютерный вирус использует для своего распространения либо электронную почту, либо уязвимости в ПО, а часто и то, и другое. Теперь на первое место вместо деструктивных функций вышли функции удаленного управления, похищения информации и использования зараженной системы в качестве плацдарма для дальнейшего распространения. Все чаще зараженная машина становится активным участником DDoS-атак. Ниже рассмотрим современную классификацию вредоносных программ.

Типы компьютерных вирусов различаются между собой по следующим основным признакам:

- среда обитания;

- способ заражения.

Под «средой обитания» понимаются системные области компьютера, операционные системы или приложения, в компоненты (файлы) которых внедряется код вируса. Под «способом заражения» понимаются различные методы внедрения вирусного кода в заражаемые объекты.

По среде обитания вирусы можно разделить на:

- файловые;

- загрузочные;

- макро;

- скриптовые.

Файловые вирусы при своем размножении тем или иным способом используют файловую систему какой-либо (или каких-либо) ОС. Они:

- различными способами внедряются в исполняемые файлы (наиболее распространенный тип вирусов);

- создают файлы-двойники (компаньон-вирусы);

- создают свои копии в различных каталогах;

- используют особенности организации файловой системы (link-

вирусы).

По способу заражения файлов вирусы делятся на:

- перезаписывающие (overwriting);

- паразитические (parasitic);

- вирусы-компаньоны (companion);

- вирусы-ссылки (link);

- вирусы, заражающие объектные модули (OBJ);

- вирусы, заражающие библиотеки компиляторов (LIB);

- вирусы, заражающие исходные тексты программ.

Сетевые черви различаются между собой способом передачи своей копии на удаленные компьютеры.

Email-Worm -- почтовые черви - черви, которые для своего распространения используют электронную почту. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском вебсайте).Троянские программы различаются между собой по тем действиям, которые они производят на зараженном компьютере.

Троянские программы класса Backdoor -- троянские утилиты удаленного администрирования, являются утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.

Единственная особенность этих программ заставляет классифицировать их как вредные троянские программы: отсутствие предупреждения об инсталляции и запуске. При запуске «троянец» устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянца в системе. Более того, ссылка на «троянца» может отсутствовать в списке активных приложений. В результате «пользователь» этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.

Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер ит. д. В результате эти троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т. п. - пораженные компьютеры оказываются открытыми для злоумышленных действий хакеров.

Таким образом, троянские программы данного типа являются одним из самых опасных видов вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий, присущих другим видам троянских программ.

Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают компьютерные черви. Отличает такие «троянцы» от червей тот факт, что они распространяются по сети не самопроизвольно (как черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.

Семейство Trojan-PSW объединяет троянские программы, «ворующие» различную информацию с зараженного компьютера, обычно -- системные пароли (PSW -- Password-Stealing-Ware). При запуске PSW-троянцы ищут системные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов и пароли доступа к интернету) и отсылают ее по указанному в коде «троянца» электронному адресу или адресам.

Существуют PSW-троянцы, которые сообщают и другую информацию о зараженном компьютере, например, информацию о системе (размер памяти и дискового пространства, версия операционной системы), тип используемого почтового клиента, IP-адрес и т. п. Некоторые троянцы данного типа «воруют» регистрационную информацию к различному программному обеспечению, коды доступа к сетевым играм и прочее.

Семейство Trojan-Clicker - троянские программы, основная функция которых -- организация несанкционированных обращений к интернет- ресурсам (обычно к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows).

Троянские программы класса Trojan-Downloader предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя.

Троянские программы класса Trojan-Dropper написаны в целях скрытной инсталляции других программ и практически всегда используются для «подсовывания» на компьютер-жертву вирусов или других троянских программ.

Данные троянцы обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска C:, во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение.

В результате использования программ данного класса хакеры достигают двух целей:

скрытная инсталляция троянских программ и/или вирусов; защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.

Trojan-Proxy -- троянские прокси-сервера семейство троянских программ, скрытно осуществляющих анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама.

Trojan-Spy -- шпионские программы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику.

Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем.

Rootkit -- программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.).

Троянцы типа Trojan-Notifier предназначены для сообщения своему «хозяину» о зараженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т. п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице «хозяина», ICQ-сообщением.

Данные троянские программы используются в многокомпонентных троянских наборах для извещения своего «хозяина» об успешной инсталляции троянских компонент в атакуемую систему.

Необходимо учесть, что цели работы таких программ на компьютере могут быть как совершенно безобидными, шутливыми, так и несущими вполне реальную угрозу в виде потери конфиденциальной информации.

К сожалению, в настоящее время продолжают увеличиваться темпы роста численности вредоносных программ, тысячи новых вариантов которых обнаруживаются каждый день. Этот процесс постепенно начинает сопровождаться и ростом их технологической сложности, а также смещением вектора атаки в сторону тех областей информационной безопасности, которые пока не защищены в той же мере, что и традиционные - имеются в виду как технологии Web 2.0, так и мобильные устройства.

По-прежнему происходит реинкарнация старых идей и техник, реализация которых на новом уровне несет совершенно иную степень опасности. Это и заражение загрузочных секторов жестких дисков, и распространение вредоносных программ при помощи съемных накопителей, и заражение файлов.

В группу анализаторов протоколов и «снифферов» входят средства перехвата передаваемых по сети данных - «сниффинга». «Сниффинг» - «прослушивание» сегмента сети. Сниффинг - один из самых популярных методов воровства данных в сети (паролей, имен пользователей, ключей и т.д.) посредством специального программного обеспечения. Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен. В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию. Такие средства могут быть как аппаратными, так и программными. Обычно данные передаются по сети в открытом виде, что позволяет злоумышленнику внутри локальной сети перехватить их. Некоторые протоколы работы с сетью (POPS, FTP) не используют шифрование паролей, что позволяет злоумышленнику перехватить их и использовать самому. При передаче данных по глобальным сетям эта проблема встает наиболее остро.

3. Разработка мер и выбор средств обеспечения информационной безопасности локальной вычислительной сети ОАО «Марийский машиностроительный завод»

3.1 Организационные меры. Политика безопасности

Основным компонентом защиты информации является политика информационной безопасности, представляющая свод правил и положений, определяющих средства и способы обеспечения защиты при обработке информации в автоматизированных системах и сетях различного назначения, используемых на предприятии. В политику включаются следующие этапы работ:

оценка существующего программно-аппаратного обеспечения;

приобретение дополнительных программно-технических средств;

монтаж и наладка систем безопасности;

тестирование системы безопасности, проверка эффективности средств защиты;

обучение пользователей и персонала, обслуживающего систему.

От эффективности разработанной политики в наибольшей степени зависит успешность любых мероприятий по обеспечению информационной безопасности. В широком смысле политика безопасности определяется как система документированных управленческих решений по обеспечению информационной безопасности организации. В узком -- как локальный нормативный документ, определяющий требования безопасности, систему мер либо порядок действий, а также ответственность сотрудников и механизмы контроля для определенной области обеспечения информационной безопасности.

Общие принципы безопасного функционирования общества подразумевают:

Своевременность обнаружения проблем. Организация должна своевременно обнаруживать проблемы, потенциально способные повлиять на ее бизнес-цели.

Прогнозируемость развития проблем. Организация должна выявлять причинно-следственную связь возможных проблем и строить на этой основе точный прогноз их развития.

Оценка влияния проблем на бизнес-цели. Организация должна адекватно оценивать степень влияния выявленных проблем на ее бизнес- цели.

Адекватность защитных мер. Организация должна выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от выполнения угроз.

Эффективность защитных мер. Организация должна эффективно реализовывать принятые защитные меры.

Использование опыта при принятии и реализации решений. Организация должна накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения.

Непрерывность принципов безопасного функционирования. Организация должна обеспечивать непрерывность реализации принципов безопасного функционирования.

Контролируемость защитных мер. Организация должна применять только те защитные меры, правильность работы которых может быть проверена, при этом организация должна регулярно оценивать адекватность защитных мер и эффективность их реализации с учетом влияния защитных мер на бизнес-цели организации.

Специальные принципы обеспечения информационной безопасности общества подразумевают:

Определенность целей. Функциональные цели и цели ИБ организации должны быть явно определены во внутриорганизационном документе. Неопределенность приводит к «расплывчатости» организационной структуры, ролей персонала, политик ИБ и невозможности оценки адекватности принятых защитных мер.

Знание своих клиентов и служащих. Организация должна обладать информацией о своих клиентах, тщательно подбирать персонал (служащих), вырабатывать и поддерживать корпоративную этику, что создает благоприятную доверительную среду для деятельности организации по управлению активами.

Персонификация и адекватное разделение ролей и ответственности.

Ответственность должностных лиц организации за решения, связанные с ее активами, должна персонифицироваться и осуществляться преимущественно в форме поручительства. Она должна быть адекватной степени влияния на цели организации, фиксироваться в политиках, контролироваться и совершенствоваться.

Адекватность ролей функциям и процедурам и их сопоставимость с критериями и системой оценки. Роли должны адекватно отражать исполняемые функции и процедуры их реализации, принятые в организации. При назначении взаимосвязанных ролей должна учитываться необходимая последовательность их выполнения. Роль должна быть согласована с критериями оценки эффективности ее выполнения. Основное содержание и качество исполняемой роли реально определяются применяемой к ней системой оценки.

Доступность услуг и сервисов. Организация должна обеспечить доступность для своих клиентов и контрагентов услуг и сервисов в установленные сроки, определенные соответствующими договорами (соглашениями) и/или иными документами.

Наблюдаемость и оцениваемость обеспечения ИБ. Любые предлагаемые защитные меры должны быть устроены так, чтобы результат их применения был явно наблюдаем (прозрачен) и мог быть оценен подразделением организации, имеющим соответствующие полномочия.

В настоящее время на ОАО «Марийский машиностроительный завод» разработана и действует политика безопасности, которая определяет такие вопросы, как общее видение организации информационной безопасности, обязанности сотрудников и их ответственность за нарушение правил информационной безопасности, а также порядок работы с документами общества.

Однако меры по обеспечению информационной безопасности при работе на средствах, входящих в локальную вычислительную сеть, не разработаны и не определены. К таким относятся:

Меры защиты информации при работе на серверном оборудовании;

Меры защиты информации при работе на АРМ пользователей;

Меры защиты информации при работе в сети Интернет.

Следовательно, необходимо такие локальные документы разработать и включить в состав политики безопасности предприятия в виде отдельных документов.

Мероприятия по повышению защищенности ЛВС

Таким образом, определимся с конкретными мероприятиями, необходимыми для обеспечения безопасности информации, обрабатываемой в ЛВС ОАО «ММЗ».

В сети отсутствует система резервирования данных, что ставит под угрозу сохранность информации в случае возникновения нештатной ситуации (перепад напряжения, неисправность рабочей станции или сервера ит. д.).

Поэтому необходимо спроектировать в ЛВС систему резервного копирования.

Простейшим и оправданным в нашем случае способом защиты данных от потерь в сетях офисных ПК является централизованное копирование данных на высокопроизводительном стримере большой емкости, подключенном к серверу с использованием интерфейса SCSI. В такой схеме представлены следующие основные компоненты: клиент системы резервного копирования и сервера. Клиент системы резервного копирования - компьютерная система, данные из которой подлежат резервному копированию. Система в данном случае должна быть представлена файловым сервером, сервером приложений и баз данных, а также программным компонентом, который считывает данные из устройств хранения и отправляет их на сервер резервного копирования. Такое программное обеспечение обычно поставляется в комплекте систем резервного копирования. Серверы резервного копирования - системы, которые копируют данные и регистрируют выполненные операции.

Технологически сервера резервного копирования делятся на два типа: Master- сервер и Media - сервер. Master-сервер - сервер управления системой резервного копирования. В его задачу входит планирование операций резервного копирования и восстановления, а также ведения каталога резервных копий. Программный компонент сервера управления резервным копированием, выполняющий функции, менеджера резервного копирования. Media - сервер - сервер копирования резервируемых данных. Его основной задачей является выполнение команд поступающих от Master-сервера, по копированию данных. К серверам данного типа подключаются устройства хранения резервных копий. Устройство хранения резервных копий - накопители на лентах, магнитных или оптических дисках. Процедура создания резервных копий представляется собой трехстороннее взаимодействие между клиентом, Master-сервером и Media-сервером. Клиент отправляет список файлов, подлежащих резервному копированию, на Master- сервер, а данные со своих томов на Media-сервер. В свою очередь менеджер резервного копирования инициирует и контролирует выполнение заданий в соответствии с заданным расписанием. Media-сервер выбирает одно или несколько устройств хранения, загружает носители информации, принимает от клиента по сети и записывает их на носители резервных копий. Аналогичным образом только в обратном направлении происходит восстановление данных из резервных копий.

Согласно данным РАО «ЕЭС Россия», как указывалось выше, пропадания энергоснабжения носят кратковременный характер (не более получаса), но происходят довольно часто - до 100 раз в год или раз в три- четыре дня, то есть вероятность пропадания питания каждый рабочий день может достигать 10 %. Возможный ущерб от таких перебоев будет складываться из стоимости оборудования, которое может выйти из строя, стоимости времени восстановления нормальной работы и утерянных данных, а также убытков от упущенного бизнеса. Более длительное отсутствие питания происходит около 1 раза в 5 лет и приравнивается к чрезвычайной ситуации. Поэтому в данном случае необходимо и достаточно будет оснастить оборудование сети ИБП малой мощности. В случае пропадания питания ИБП будут поддерживать работу станций на время, необходимое для корректного ее завершения. Так будет решена проблема возможной утраты данных в случаях с перебоями в электропитании на предприятии.

Брандмауэры целесообразно расположить на стыках сети Интернет и DMZ, DMZ и внутренней сети, как это уже указывалось выше. Во втором случае будет использоваться встроенный сетевой экран системы Windows Server 2003 плюс настроенные списки разграничения ACL маршрутизатора, который должен быть настроен по запретительному принципу - администратор задает только те параметры (адреса, протоколы, порты, службы, бюджеты пользователей и т. д.), функционирование которых разрешено, все остальные службы запрещены, в первом - аппаратный межсетевой экран.

Для выбора такого экрана необходимо учитывать следующие требования:

- это должно быть решение от известного производителя;

- должно присутствовать достаточное количество портов Fast Ethernet;

- осуществление контроля на прикладном уровне с учетом состояния, контроля прикладного протокола;

- проверка пакетов на соответствие заданным условиям;

- поддержка Exchange;

- обнаружение и предотвращение несанкционированного доступа;

- высокая производительность.

Распространение вредоносных программ имеет целью:

- воровство частной и корпоративной банковской информации (получение доступа к банковским счетам персональных пользователей и организаций);

- воровство номеров кредитных карт;

- распределенные сетевые атаки (DDoS-атаки) с последующим требованием денежного выкупа за прекращение атаки;

- создание сетей троянских прокси-серверов для рассылки спама (и коммерческое использование этих сетей);

- создание зомби-сетей для многофункционального использования;

- создание программ, скачивающих и устанавливающих системы показа нежелательной рекламы;

- и тому подобное.

Выбор конкретной антивирусной программы зависит от многих факторов (стоимость, результаты тестирований и др.), к числу которых относится и его популярность. К примеру, доли основных участников рынка антивирусной защиты в России на 2013 год распределились следующим образом (рисунок 3.1).

Рисунок 3.1 Распределение рынка антивирусных компаний

Задача обеспечения антивирусной защиты корпоративной сети - одна из первоочередных задач в процессе построения комплексной защиты ЛВС.

Большая часть информации в банке является конфиденциальной, поэтому экономия средств для покупки антивирусного пакета является сомнительной. При выборе антивирусных программ необходимо учитывать результаты независимых тестирований.

Одним из первых тестировать антивирусные продукты начал британский журнал Virus Bulletin, первые тесты, опубликованные на их сайте, относятся к далекому 1998 году. Основу теста составляет коллекция вредоносных программ WildList. Для успешного прохождения теста необходимо выявить все вирусы этой коллекции и продемонстрировать нулевой уровень ложных срабатываний на коллекции “чистых” файлов журнала. Тестирование проводится несколько раз в год на различных операционных системах; успешно прошедшие тест продукты получают награду VB100%. В обобщенном рейтинге антивирус Касперского занимает 1 место.

После анализа состава компонентов антивирусных пакетов данной фирмы, очевидно, что для использования в корпоративной локальной сети наиболее подходит Kaspersky Security Center - решение для целостной зашиты корпоративных сетей от всех видов современных интернет-угроз.

Управление защитой рабочих мест.

Установка, настройка и управление защитой рабочих мест в решениях «Лаборатории Касперского» выполняются в Kaspersky Security Center. В единой консоли вы можете управлять безопасностью вашего бизнеса и защищать его от известного и нового вредоносного программного обеспечения, предотвращать риски для IT-безопасности и уменьшать издержки на защиту.

Антивирусная защита и сетевой экран.

Позволяет администратору производить аудит использования приложений, разрешать или блокировать их запуск.

Белые списки Kaspersky Security Center предоставляет гибкие возможности управления средствами защиты от вредоносного программного обеспечения:

- возможность задавать политику защиты для нескольких платформ, включая Windows, Linux и Mac, и управлять ими;

- настраивать параметры защиты для отдельных устройств, групп серверов и рабочих станций;

- выполнять антивирусные проверки по требованию и по расписанию;

- выполнять обработку объектов, помещенных в карантин;

- управлять обновлениями антивирусных баз;

- управлять облачной защитой Kaspersky Security Network;

- настраивать сетевой экран и систему предотвращения вторжений (HIPS) и управляйте ими.

Контроль программ, устройств и Веб-Контроль

Централизованное управление IT-инфраструктурой позволяет создать политики безопасности и обеспечить дополнительную защиту ценных данных, Можно устанавливать правила для групп и отдельных пользователей.

ограничивать запуск нежелательных приложений в сети с помощью Контроля программ;

создавать правила доступа для устройств, которые пользователи подключают к сети, на основании типа или серийного номера устройства, а также на основании способа подключения устройства;

отслеживать и контролировать доступ в интернет для всего предприятия или групп пользователей.

Защита файловых серверов

Единственный зараженный объект из сетевого хранилища способен инфицировать большое число компьютеров. Чтобы избежать этого, Kaspersky Security Center дает возможность настроить все функции защиты для файловых серверов и управлять ими.

Средства системного администрирования.

Помимо детального контроля над обеспечением безопасности IT-инфраструктуры, Kaspersky Security Center предоставляет средства системного администрирования, которые упрощают задачи управления инфраструктурой и позволяют повысить производительность и сократить операционные издержки.

Развертывание ОС и программ Kaspersky Security Center дает возможность управлять образами ОС и программ: создавать, оперативно копировать и развертывать.

Установка программного обеспечения

Функция удаленной установки программного обеспечения в Kaspersky Security Center экономит время администраторов и помогает снизить объем трафика, передаваемого по корпоративной сети.

развертывание программного обеспечения по требованию или по расписанию.

Использование выделенных серверов обновлений

Управление лицензиями и учет аппаратных и программных средств Kaspersky Security Center позволяет управлять аппаратным и программным обеспечением, а также отслеживать лицензии на программное обеспечение в пределах вашей IT-инфраструктуры:

- отслеживать все устройства в сети с помощью функции автоматического учета аппаратного обеспечения;

- наблюдать за использованием программ и отслеживать проблемы обновления лицензий с помощью сводных отчетов, создаваемых Kaspersky Security Center.

Мониторинг уязвимостей.

После инвентаризации аппаратного и программного обеспечения можно выполнить поиск уязвимостей в операционных системах и приложениях, для которых не были установлены исправления:

- формирование подробных отчетов об уязвимостях;

- выполнение оценки уязвимостей и расставление приоритетов для установки исправлений.

Управление установкой исправлений.

Обнаружив уязвимости, вы сможете эффективно организовать распространение самых важных исправлений с помощью Kaspersky Security Center:

- управление загрузкой исправлений с серверов «Лаборатории Касперского»;

- управление установкой обновлений и исправлений Microsoft на компьютеры сети.

Для обеспечения управляемости и безопасности сети также необходимо обеспечить разграничение полномочий доступа пользователей к достаточно большому количеству сетевых ресурсов. Традиционным решением этого вопроса является создание доменов сети.

Домен есть одно из основных средств формирования пространства имён каталога Active Directory (АД). Наряду с доменами таковыми средствами формирования являются административная иерархия и физическая структура сети. В настоящее время используются три основных способа построения АД и создания доменов:

- создание в ЛВС одного домена, обслуживающего всю сеть в целом - целесообразно применять при относительно небольшом размере фирмы и отсутствии ее разделения на отдельные подразделения;

- создание леса доменов с глобальным каталогом (или корнем леса), в роли которого выступает основной домен - применяется при географическом разнесении отделов фирмы. В этом случае свои домены существуют у головного офиса фирмы и ее филиалов, связаны они через сеть Интернет;

- создание некоторого количества независимых доменов с глобальным каталогом - применяется при жестком административном разделении фирмы на несколько отделов.

Таким образом, вариант построения АД и домена зависит, прежде всего, от административной модели предприятия.

В данном случае, так как отсутствует географическое и строгое иерархическое разделение фирмы, оптимальным вариантом является создание сети с единым доменом.

Основой домена станет сервер с установленной серверной операционной системой MS Windows 2003 Server - основной контроллер домена (PDC).

Путем создания доменной структуры будут решены следующие задачи:

создание областей административной ответственности - возможно деление корпоративной сети на области, управляемые отдельно друг от друга.

создание областей действия политики учетных записей - политика учетных записей определяет правила применения пользователями учетных записей и сопоставленных им паролей. В частности задается длина пароля, количество неудачных попыток ввода пароля до блокировки учетной записи, а также продолжительность подобной блокировки.

разграничение доступа к объектам - каждый домен реализует собственные настройки безопасности (включая идентификаторы безопасности и списки контроля доступа).

изоляция трафика репликации - для размещения информации об объектах корпоративной сети используются доменные разделы каталога. Каждому домену соответствует свой раздел каталога, называемый доменным. Все объекты, относящиеся к некоторому домену, помещаются в соответствующий раздел каталога. Изменения, произведенные в доменном разделе, реплицируются исключительно в пределах домена.

ограничение размера копии каталога - каждый домен Active Directory может содержать до миллиона различных объектов. Тем не менее, реально использовать домены такого размера непрактично. Следствием большого размера домена является большой размер копии каталога.

Соответственно, огромной оказывается нагрузка на серверы, являющиеся носителями подобной копии.

В целом создание доменной структуры сети позволит упростить и автоматизировать администрирование сети, повысить ее управляемость, масштабируемость и безопасность.

Основной контроллер домена содержит копию АД, которая описывает всю ЛВС и политики взаимодействия между ее элементами. Такая информация является исключительно важной для функционирования всей сети, при ее потере ЛВС превращается просто в совокупность рабочих станций, серверов, другого оборудования и утрачивает возможность исполнять свои функции.

Поэтому необходимо предусмотреть создание резервного контроллера домена сети (BDC) - копии основного и работающего параллельно с ним. Наличие резервного контроллера домена оправдано и в других случаях, к примеру, обновления аппаратного обеспечения основного сервера.

В качестве сетевого оборудования нам необходимо произвести выбор устройства резервного копирования.

В качестве устройства резервирования данных будем использовать дисковую систему IBM System Storage DS3200, которая имеет собственное программное обеспечение управления резервированием информации. Основные характерисуноктики этой системы приведены ниже.

Масштабируемость до 3,6 Тб при использовании дисков SAS объемом 300 Гб с возможностью горячей замены.

Упрощение развертывания и управления с помощью DS3000 Storage Manager.

Возможность дополнительного подключения до трех дисковых полок EXP3000 общим объемом 14,4 Тб.

Доступная цена для малых и средних предприятий.

Интерфейс - Serial Attached SCSI

Цена - 96 873 рубля.

Стандартная гарантия: 3 года с обслуживанием на месте.

3.3 Внедрение комплексной системы защиты информации

Выше нами были рассмотрены мероприятия, позволяющие обеспечить информационную защищенность системы ОАО «Марийский машиностроительный завод» от посягательств третьих лиц, а также от злонамеренных или просто неосознанно вредоносных действий сотрудников предприятия.

Однако, так как предусмотренные средства в основном защищают существующую сеть от посягательств из сети Интернет, необходимо также защитить информацию, которая циркулирует внутри организации.

В этом направлении нами уже предусмотрены такие мероприятия, как аутентификация пользователей с помощью службы AD, однако, как показывает практика, этого недостаточно. Поэтому необходимо рассмотреть средства, которые бы могли:

1. Осуществить дополнительную идентификацию пользователей;

2. Защитить внутренний трафик в сети ОАО «ММЗ».

Кроме того, необходимо подобрать такое решение, с помощью которого можно было бы реализовать обе функции.

Одной из таких наиболее популярных систем является комплексная система защиты информации «Панцирь».

С ее использованием решаются следующие задачи:

- реализация разграничительной политики внешнего доступа к ресурсам локальной вычислительной сети;

- реализация разграничительной политики доступа к ресурсам в корпоративной ПС, в локальной, либо в распределенной корпоративной сети;

- шифрование трафика в локальной вычислительной сети;

- ключи eToken PRO/32K и eToken PRO/64K (в форм факторе USB ключа и смарт-карты);

- криптопровайдер «КриптоПро CSP» версий 3.0 (и 3.6), сертифицирован по требованиям к шифрованию конфиденциальной информации ФСБ России.

СЗИ содержит в своем составе следующие компоненты:

Клиентскую часть. Устанавливается на компьютеры в составе ЛВС. Реализует прозрачное для пользователя шифрование трафика на стеке протоколов TCP/IP и разграничительную политику доступа субъектов к объектам;

Криптопровайдер «КриптоПро CSP» версия 3.0 - применяется при необходимости использования сертифицированного по требованиям безопасности решения. Устанавливается вместе с клиентской частью на компьютеры в составе корпоративной сети и на серверную часть;

Серверную часть (основную). Устанавливается на выделенном компьютере в составе корпоративной сети. Идентифицирует компьютеры в составе корпоративной сети, автоматически генерирует и предоставляет клиентским частям сеансовые ключи шифрования, формирует разграничительную политику доступа к ресурсам, осуществляет аудит идентификации субъектов и объектов доступа в корпоративной сети.

АРМ администратора безопасности. Устанавливается на выделенном компьютере в составе корпоративной сети. Предоставляет администратору безопасности интерфейс настройки VPN, инструментальные средства обработки аудита.

В СЗИ «Панцирь» для идентификации субъектов и объектов доступа введена отдельная логическая сущность «Идентификатор субъекта/объекта» (ID), которая, в общем случае, никак не связана ни с конкретным компьютером, ни с учетной записью пользователей, заведенных на компьютере.

При создании на сервере VPN субъекта/объекта доступа администратор безопасности создает его идентификатор, и, в соответствии с тем, что эта сущность идентифицирует (пользователя или компьютер) размещает данный идентификатор при установке клиентской части СЗИ в соответствующем ресурсе компьютера (объект реестра или файловый объект) для его последующей идентификации, либо предоставляет данный идентификатор на внешнем носителе пользователю (Flash-устройство, электронный ключ или смарт-карта).

Данная сущность не является секретной информацией, передается по каналам связи в открытом виде, служит для идентификации субъекта/объекта на сервере VPN и взаимной идентификации субъектов/объектов в составе корпоративной VPN.

При назначении идентификатора субъекту/объекту на сервере VPN администратор безопасности относит его либо к корпоративным, либо к доверенным (присваивая идентификатору соответствующую дополнительную логическую сущность «тип субъекта/объекта»).

Корпоративные субъекты/объекты смогут взаимодействовать только с корпоративными субъектами/объектами (на которых устанавливаются клиентские части СЗИ), весь трафик между ними будет шифроваться).

Доверенные субъекты/объекты смогут взаимодействовать, как с корпоративными субъектами/объектами (на которых устанавливаются клиентские части СЗИ), весь трафик между ними будет шифроваться, так и с внешними по отношению к корпоративной VPN субъектами/объектами по открытым каналам связи.

Решение по реализации ключевой политики в СЗИ основано на использовании двух типов симметричных ключей шифрования: ключ шифрования трафика между клиентской и серверной частями (технологический ключ) и сеансовые ключи шифрования между парами клиентских частей.

При создании субъекта/объекта доступа на сервере VPN, вместе с назначением идентификатора и его типа (корпоративный или доверенный), администратором безопасности генерируется технологический ключ (для каждого субъекта/объекта генерируется свой технологический ключ). В зависимости от того, что представляет собою сущность субъект/объект (пользователя или компьютер), администратор размещает технологический ключ при установке клиентской части СЗИ в ресурсе компьютера (объект реестра или файловый объект), либо предоставляет технологический ключ на внешнем носителе пользователю (Flash- устройство, электронный ключ или смарт-карта), на этом же носителе должен располагаться идентификатор пользователя

Технологический ключ является секретной информацией, возможность несанкционированного доступа к которой должна предотвращаться, ключ не должен передаваться по каналу связи в открытом виде.

Технологический ключ используется для получения в зашифрованном виде клиентской частью VPN таблицы сеансовых ключей субъекта/объекта для обмена информацией с другими субъектами/объектами из состава VPN (для каждой пары субъектов/объектов свой сеансовый ключ), и при сеансовой идентификации субъекта/объекта на сервере VPN при запросе таблицы сеансовых ключей.

Сеансовая идентификация субъекта/объекта на сервере VPN осуществляется следующим образом. Клиентская часть СЗИ автоматически при включении компьютера, если идентифицируется субъект/объект компьютер, либо по запросу пользователя - при подключении пользователем к компьютеру носителя с идентифицирующей его информацией - ID и технологическим ключом шифрования, если идентифицируется субъект/объект пользователь, обращается к серверу VPN, высылая ему в открытом виде соответствующий идентификатор (ID) и хэш (необратимое шифрование) технологического ключа. Сервер VPN, получив запрос от субъекта/объекта, определяет его ID, определяет корректность соответствия технологического ключа и ID. Если они соответствуют, сеансовая идентификация субъекта/ объекта считается успешной (об этом, и в случае некорректной идентификации, на сервере VPN откладывается соответствующая информация в аудите).

В СЗИ реализовано три иерархических уровня реализации разграничительной политики доступа к ресурсам корпоративной VPN.

Первый уровень - уровень контроля доступа к сетевым ресурсам. Состоит в полном запрете доступа к сетевым ресурсам не идентифицированных субъектов/объектов. Реализуется следующим образом. Вне зависимости от того, как определен субъект/объект доступа, на котором установлена клиентская часть СЗИ, кроме, как к серверу VPN, до осуществления его успешной идентификации на сервере VPN (что подтверждается загрузкой с сервера таблицы сеансовых ключей шифрования), невозможен.

Второй уровень - уровень контроля доступа к корпоративным ресурсам. Состоит в реализации различных возможностей доступа к сетевым ресурсам для корпоративных и доверенных субъектов/объектов. Корпоративным субъектам/объектам разрешается взаимодействие только с корпоративными субъектами/объектами, при этом их трафик шифруется соответствующими сеансовыми ключами (для каждой пары субъект/объект свой сеансовый ключ шифрования). Доверенным субъектам/объектам разрешается взаимодействие, как с корпоративными субъектами/объектами, при этом их трафик шифруется соответствующими сеансовыми ключами (для каждой пары субъект/объект свой сеансовый ключ шифрования), так и с внешними по отношению к корпорации субъектами/объектами, при этом их трафик не шифруется. Это реализуется следующим образом. При сетевом взаимодействии в рамках VPN, взаимодействующие клиентские части взаимно идентифицируют друг друга (обмениваются своими ID). Результатом подобной взаимной идентификации является принятие сторонами решения о возможности взаимодействия, при возможности - выбор способа взаимодействия, при выборе защищенного способа - выбор сеансового ключа шифрования. Так, если к корпоративному субъекту/объекту обращается корпоративный субъект/объект, будет осуществлена взаимная идентификация субъектов/объектов клиентскими частями СЗИ, взаимодействие сторонам будет разрешено, каждой стороной будет однозначно определен сеансовый ключ шифрования (он свой для каждой пары идентифицированных субъектов/объектов). То же произойдет, если к доверенному субъекту/объекту обращается доверенный субъект/объект (их взаимодействие будет разрешено по защищенному сеансовым ключом каналу). В случае если к корпоративному субъекту/объекту обращается некий внешний по отношению к VPN субъект/объект, не будет осуществлена взаимная идентификация субъектов/объектов взаимодействие будет запрещено. В случае если к доверенному субъекту/объекту обращается некий внешний по отношению к VPN субъект/объект, не будет осуществлена взаимная идентификация субъектов/объектов - взаимодействие будет разрешено по открытому каналу связи. То же произойдет и в случае, если доверенный субъект/объект обращается к некому внешнему по отношению к VPN субъекту/объекту.