Организация использования средств межсетевого экранирования в информационной системе ИББ и анализ их эффективности

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

ДИПЛОМНАЯ РАБОТА

Тема

Организация использования средств межсетевого экранирования в информационной системе ИББ и анализ их эффективности

Список сокращений и условных обозначений

ИС - информационная сеть;

МЭ - межсетевой экран;

АС - автоматизированная система;

ИББ - институт безопасности бизнеса;

ИБ - информационная безопасность;

ПО - программное обеспечение;

VPN (Virtual Private Network) - виртуальная частная сеть;

СЗИ - система защиты информации;

ХС - хозяйствующий субъект;

ПАЗИ - программно-аппаратная защита информации;

ВУЗ - высшее учебное заведение;

ЭВМ - электронная вычислительная машина;

DNS (Domain Name System) - система доменных имён;

ЛВС - локальная вычислительная сеть;

СУБД - система управления базами данных;

DHCP (Dynamic Host Configuration Protocol) - протокол динамической конфигурации узла;

ОСЭП - Общеуниверситетская система электронной почты

ИВЦ - информационно-вычислительный центр;

IDS (Intrusion Detection System) - система обнаружения вторжений;

IPS (Intrusion Prevention System) - система предотвращения вторжений;

VPS (Virtual Private Server) - виртуальный выделенный сервер

Введение

Интенсивное развитие ресурсов компьютерных сетей, появление новых технологий поиска информации привлекают все большее внимание к сети Интернет со стороны частных лиц и различных организаций. Многие организации принимают решения по интеграции своих локальных и корпоративных сетей в Интернет. Использование Интернета в коммерческих целях, а также при передаче информации, содержащей сведения конфиденциального характера, влечет за собой необходимость построения эффективной системы защиты данных. Использование ресурсов сети Интернет обладает неоспоримыми достоинствами, но, как и многие другие новые технологии, имеет и свои недостатки. Развитие ресурсов привело к многократному увеличению количества не только пользователей, но и атак на компьютеры, подключенные к Интернету. Ежегодные потери из-за недостаточного уровня защищенности компьютеров оцениваются десятками миллионов долларов. Поэтому при подключении к Интернету локальной или корпоративной сети необходимо позаботиться об обеспечении ее информационной безопасности.

Основным элементом обеспечения информационной безопасности, блокирующей несанкционированный доступ в корпоративную сеть, является межсетевой экран. Так же МЭ называют firewall и брандмауэр.

Брандмауэр (нем. Brandmauer) -- заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в области компьютерных технологий в немецком языке употребляется слово «firewall».

Файрволл -- образовано транслитерацией английского термина firewall, эквивалентного термину межсетевой экран, в настоящее время не является официальным заимствованным словом в русском языке

Согласно Руководящему документу Гостехкомиссии при Президенте РФ «межсетевым экраном называется локальное (однокомпонентное) или функционально-распределенное средство (комплекс), которое реализует контроль за информацией, поступающей в автоматизированную систему и/или выходящей из нее, и обеспечивает защиту автоматизированной системы посредством фильтрации информации, т.е. анализа по совокупности критериев и принятия решения об ее распространении в (из) автоматизированной системе». Однако такое определение имеет общий характер и подразумевает слишком расширенное толкование.

Основной задачей межсетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача -- фильтровать (не пропускать) пакеты, не подходящие под критерии, определённые в конфигурации.

Межсетевые экраны являются необходимым, но явно недостаточным средством обеспечения информационной безопасности. Они представляют собой, так называемую «первую линию обороны ИС». В настоящие время на рынке МЭ имеется достаточное количество предложений, вследствие чего встаёт проблема выбора.

Для минимизации угроз информационной безопасности необходимо внедрение многоуровневой системы защиты информации, а первым уровнем обеспечения информационной безопасности, блокирующим несанкционированный доступ в корпоративную сеть, является система защиты информационной сети.

Современный межсетевой экран представляет собой интегрированный комплекс защитных средств. Под МЭ, как элементом системы защиты понимают локальное или функционально-распределенное средство, реализующее контроль за информацией, поступающей в автоматизированную систему и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в АС.

Целью данной работы является организация использования средств межсетевого экранирования на примере информационной системы ИББ и анализ их эффективности.

Для достижения цели в дипломной работе решаются следующие задачи:

· анализ роли и места средств межсетевого экранирования в общей СЗИ;

· провести моделирование информационной системы лаборатории «ПАЗИ» ИББ;

· провести выбор МЭ на основе их классификации и анализа;

· разработать рекомендации по использованию средств межсетевого экранирования в СЗИ лаборатории;

· обосновать затраты на систему защиты лаборатории «ПАЗИ», основанную на средствах межсетевого экранирования.

Новизна работы заключается в организации совместного использования средств межсетевого экранирования по прямому назначению, т.е. в интересах обеспечения ИБ и в учебном процессе, а так же в учете всех основных требований при организации подобной защиты.

Работа состоит из введения, трех глав, заключения и списка используемых источников. В первой главе произведён общий анализ роли и места средств межсетевого экранирования в СЗИ, определена характеристика угроз безопасности информационной системы учебного назначения, и поставлены задачи обеспечения безопасности с использованием средств межсетевого экранирования.

Во второй главе проводится моделирование информационной системы лаборатории «ПАЗИ» ИББ, анализ требований к СЗИ. А так же описывается модель информационной системы и СЗИ лаборатории «ПАЗИ».

Третья глава содержит практические рекомендации по организации использования средств межсетевого экранирования в СЗИ лаборатории, сравнительный анализ и выбор средств межсетевого экранирования, их структуру и оценку затрат на организацию системы защиты лаборатории, а так же разработка рекомендаций по использованию средств межсетевого экранирования по прямому назначению и в учебном процессе.

Глава 1. Анализ роли и места средств межсетевого экранирования в СЗИ

Межсетевой экран это устройство контроля доступа в сеть, предназначенное для блокировки всего трафика, за исключением разрешенных данных. Этим оно отличается от маршрутизатора, функцией которого является доставка трафика в пункт назначения в максимально короткие сроки.

Существует мнение, что маршрутизатор также может играть роль межсетевого экрана. Однако между этими устройствами существует одно принципиальное различие: маршрутизатор предназначен для быстрой маршрутизации трафика, а не для его блокировки. Межсетевой экран представляет собой средство защиты, которое пропускает определенный трафик из потока данных, а маршрутизатор является сетевым устройством, которое можно настроить на блокировку определенного трафика.

Кроме того, межсетевые экраны, как правило, обладают большим набором настроек. Прохождение трафика на межсетевом экране можно настраивать по службам, IP-адресам отправителя и получателя, по идентификаторам пользователей, запрашивающих службу. Межсетевые экраны позволяют осуществлять централизованное управление безопасностью. В одной конфигурации администратор может настроить разрешенный входящий трафик для всех внутренних систем организации. Это не устраняет потребность в обновлении и настройке систем, но позволяет снизить вероятность неправильного конфигурирования одной или нескольких систем, в результате которого эти системы могут подвергнуться атакам на некорректно настроенную службу.

Современные информационные сети представляют собой сложные системы, состоящие из большого числа компонентов, среди которого можно выделить серверы и рабочие станции, системное и прикладное ПО, сетевое оборудование и соединительные (кабельные) системы.

Межсетевые экраны устанавливаются в разрыв канала связи, поэтому основными критериями выбора средств межсетевого экранирования наряду с эффективностью являются производительность, надёжность и обеспечение функционала высокой доступности. Высокая доступность, как правило, обеспечивается резервированием, путём установки нескольких дублирующих межсетевых экранов. Существует ряд архитектурных решений по обеспечению высокопроизводительной и отказоустойчивой работы системы межсетевого экранирования.

Средства межсетевого экранирования в составе корпоративной информационной системы могут работать совместно с рядом подсистем обеспечения ИБ. Интеграция с подсистемами управления и мониторинга позволяет реализовать централизованный контроль функционирования межсетевых экранов, сократить трудозатраты на реализацию политик безопасности, а также на основе собранных данных мониторинга принимать своевременные меры по предотвращению и минимизации последствий инцидентов ИБ. Интеграция межсетевых экранов с такими подсистемами как подсистема организации VPN или подсистема обнаружения и предотвращения вторжений даёт возможность совместить функции безопасности в одном устройстве, и организовать единый интерфейс управления. Данный подход позволяет увеличить рентабельность использования средств защиты в малых организациях и филиалах, однако в ряде случаев такой подход не применим, поскольку может привести к появлению единой точки отказа.

1.1 Общая характеристика угроз безопасности информационной системы учебного назначения

ИС ВУЗа является организационно - технической системой, в которой реализуются информационные технологии, и предусматривается использование аппаратного, программного и других видов обеспечения, необходимого для реализации информационных процессов сбора, обработки, накопления, хранения, поиска и распространения информации. Основу современной ИС высшей школы, как правило, составляют территориально распределенные компьютерные системы (вычислительные сети) элементы которых расположены в отдельно стоящих зданиях, на разных этажах этих зданий и связаны между собой транспортной средой, которая использует физические принципы ("витая пара", оптико-волоконные каналы, радиоканал и т.п.). Основу аппаратных (технических) средств таких систем составляют ЭВМ (группы ЭВМ), периферийные, вспомогательные устройства и средства связи, сопрягаемые с ЭВМ. Состав программных средств определяется возможностями ЭВМ и характером решаемых задач в данной ИС [3].

Обеспечения информационной безопасности должна носить комплексный характер. Она должна основываться на глубоком анализе негативных всевозможных последствий. Анализ негативных последствий предполагает обязательную идентификацию возможных источников угроз, факторов, способствующих их проявлению (уязвимостей) и как следствие определение актуальных угроз информационной безопасности. Исходя из этого, моделирование и классификация источников угроз и их проявлений, целесообразно проводить на основе анализа взаимодействия логической цепочки, которую мы видим на рисунке 1

Рис.1. Логическая цепочка угроз и их проявлений

Источники угроз - это потенциальные антропогенные, техногенные и стихийные угрозы безопасности. Под угрозой (в целом) понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим - либо интересам. Под угрозой интересам субъектов информационных отношений понимают потенциально возможное событие, процесс или явление которое посредством воздействия на информацию или другие компоненты ИС может прямо или косвенно привести к нанесению ущерба интересам данных субъектов.

Уязвимость - это присущие объекту ИС причины, приводящие к нарушению безопасности информации на конкретном объекте и обусловленные недостатками процесса функционирования объекта ИС, свойствами архитектуры ИС, протоколами обмена и интерфейсами, применяемым программным обеспечением и аппаратной платформы, условиями эксплуатации, невнимательностью сотрудников.

Последствия - это возможные действия реализации угрозы при взаимодействии источника угрозы через имеющиеся уязвимости.

Основными угрозами информации являются:

· хищение (копирование информации);

· уничтожение информации;

· модификация (искажение) информации;

· нарушение доступности (блокирование) информации;

· отрицание подлинности информации.

Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность) так и объективные проявления. Причем источники угроз могут находиться как внутри ИС - внутренние источники, так и вне нее - внешние источники.

Все источники угроз информационной безопасности можно разделить на три основные группы:

1. Обусловленные действиями субъекта (антропогенные источники) - субъекты, действия которых могут привести к нарушению безопасности информации, данные действия могут быть квалифицированны как умышленные или случайные преступления. Источники, действия которых могут привести к нарушению безопасности информации могут быть как внешними, так и внутренними. Данные источники можно спрогнозировать, и принять адекватные меры.

2. Обусловленные техническими средствами (техногенные источники) эти источники угроз менее прогнозируемы и напрямую зависят от свойств техники и поэтому требуют особого внимания. Данные источники угроз информационной безопасности, также могут быть как внутренними, так и внешними.

3. Стихийные источники - данная группа объединяет обстоятельства, составляющие непреодолимую силу (стихийные бедствия, или др. обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить), такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. Такие источники угроз совершенно не поддаются прогнозированию и, поэтому меры против них должны применяться всегда. Стихийные источники, как правило, являются внешними по отношению к защищаемому объекту и под ними, как правило, понимаются природные катаклизмы.

Территориально распределенная структура ИС ВУЗа, создает ряд предпосылок для реализации разнообразия потенциальных угроз ИБ, которые могут нанести ущерб ИС. Это разнообразие настолько велико, что не позволяет предусмотреть каждую угрозу. Поэтому анализируемые характеристики угроз надо выбирать с позиций здравого смысла, одновременно выявляя не только сами угрозы, размер потенциального ущерба, но их источники и уязвимости системы.

Классификацию потенциальных источников угроз и их проявлений, целесообразно проводить на основе анализа взаимодействия логической цепочки, показанной на рисунке 1. На рисунке 2 данная логическая цепочка преобразуется в модель



Рис.2. Модель реализации угроз ИБ

Анализ угроз ИБ является одним из ключевых моментов политики безопасности любой ИС. Разрабатывая политику безопасности ВУЗа, целесообразно использовать системный подход, под которым понимается, прежде всего, то, что защита информации заключается не только в создании соответствующих механизмов, а представляет собой регулярный процесс, осуществляемый на всех этапах жизненного цикла ИС, с применением единой совокупности законодательных, организационных и технических мер, направленных на выявление, отражение и ликвидации различных видов угроз информационной безопасности.

1.2  Использование средств межсетевого экранирования в СЗИ. Роль, место и выполняемые функции

Для защиты информационных ресурсов и обеспечения оптимальной работы информационных систем необходимо применение комплексной системы информационной безопасности, которая позволит эффективно использовать достоинства межсетевых экранов и компенсировать их недостатки с помощью других средств безопасности.

Использование межсетевых экранов позволяет организовать внутреннюю политику безопасности сети предприятия, разделив всю сеть на сегменты. Сегмент сети-- логически или физически обособленная часть сети. Разбиение сети на сегменты осуществляется с целью оптимизации сетевого трафика и/или повышения безопасности сети в целом.

Это позволяет сформулировать основные принципы архитектуры безопасности корпоративной сети:

· введение N категорий секретности и создание соответственно N выделенных сетевых сегментов пользователей. При этом каждый пользователь внутри сетевого сегмента имеет одинаковый уровень секретности (допущен к информации одного уровня секретности). Данный случай можно сравнить с секретным заводом, где все сотрудники в соответствии со своим уровнем доступа имеют доступ только к определенным этажам. Эта структура объясняется тем, что ни в коем случае нельзя смешивать потоки информации разных уровней секретности. Не менее очевидным объяснением подобного разделения всех пользователей на N, изолированных сегментов является легкость осуществления атаки внутри одного сегмента сети;

· выделение в отдельный сегмент всех внутренних серверов компании. Эта мера также позволяет изолировать потоки информации между пользователями, имеющими различные уровни доступа;

· выделение в отдельный сегмент всех серверов компании, к которым будет предоставлен доступ из Интернета (создание демилитаризованной зоны для внешних ресурсов);

· создание выделенного сегмента административного управления;

· создание выделенного сегмента управления безопасностью.

Межсетевой экран пропускает через себя весь трафик, принимая относительно каждого проходящего пакета решение: дать ему возможность пройти или нет. Для того чтобы межсетевой экран мог осуществить эту операцию, ему необходимо определить набор правил фильтрации. Решение о том, фильтровать ли с помощью межсетевого экрана конкретные протоколы и адреса, зависит от принятой в защищаемой сети политики безопасности. Межсетевой экран представляет собой набор компонентов, настраиваемых для реализации выбранной политики безопасности.

При использовании межсетевого экрана прикладного уровня все соединения проходят через него. Как показано на рисунке 3, соединение начинается на системе-клиенте и поступает на внутренний интерфейс межсетевого экрана. Межсетевой экран принимает соединение, анализирует содержимое пакета и используемый протокол и определяет, соответствует ли данный трафик правилам политики безопасности. Если это так, то межсетевой экран инициирует новое соединение между своим внешним интерфейсом и системой-сервером.

Межсетевые экраны прикладного уровня используют модули Доступа для входящих подключений. Модуль доступа в межсетевом экране принимает входящее подключение и обрабатывает команды перед отправкой трафика получателю. Таким образом, межсетевой экран защищает системы от атак, выполняемых посредством приложений.

Эти экраны содержат модули доступа для наиболее часто используемых протоколов, таких как HTTP, SMTP, FTP и telnet. Некоторые модули доступа могут отсутствовать. Если модуль доступа отсутствует, то конкретный протокол не может использоваться для соединения через межсетевой экран.

Рис.3. Порядок соединения модуля доступа межсетевого экрана прикладного уровня

Межсетевой экран также скрывает адреса систем, расположенных по другую сторону от него. Так как все соединения инициируются и завершаются на интерфейсах межсетевого экрана, внутренние системы сети не видны напрямую извне, что позволяет скрыть схему внутренней адресации сети.

При использовании межсетевого экрана с пакетной фильтрацией соединения не прерываются на нем, как показано на рисунке 4, а направляются непосредственно к конечной системе. При поступлении пакетов межсетевой экран выясняет, разрешены ли данный пакет и состояние соединения правилами политики. Если это так, пакет передается по своему маршруту. В противном случае пакет отклоняется или аннулируется.

Межсетевые экраны, работающие только посредством фильтрации пакетов, не используют модули доступа, и поэтому трафик передается от клиента непосредственно на сервер. Если сервер будет атакован через открытую службу, разрешенную правилами политики межсетевого экрана, последний никак не отреагирует на атаку. Межсетевые экраны с пакетной фильтрацией также позволяют видеть извне внутреннюю структуру адресации. Внутренние адреса скрывать не требуется, так как соединения не прерываются на межсетевом экране.

Рис.4. Порядок передачи трафика через межсетевой экран с фильтрацией пакетов

В то время как базовая функциональность межсетевых экранов обоих типов осталась прежней (что является причиной большинства «слабых мест» этих устройств), сегодня на рынке присутствуют гибридные межсетевые экраны. Практически невозможно найти межсетевой экран, функционирование которого построено исключительно на прикладном уровне или фильтрации пакетов. Это обстоятельство отнюдь не является недостатком, так как оно позволяет администраторам, отвечающим за безопасность, настраивать устройство для работы в конкретных условиях.

Политика сетевой безопасности каждой организации должна включать две составляющие:

· политика доступа к сетевым сервисам;

· политика реализации межсетевых экранов.

Политика доступа к сетевым сервисам должна быть уточнением общей политики организации в отношении защиты информационных ресурсов в организации. Для того чтобы межсетевой экран успешно защищал ресурсы организации, политика доступа пользователей к сетевым сервисам должна быть реалистичной. Таковой считается политика, при которой найден гармоничный баланс между защитой сети организации от известных рисков и необходимостью доступа пользователей к сетевым сервисам. В соответствии с принятой политикой доступа к сетевым сервисам определяется список сервисов Интернета, к которым пользователи должны иметь ограниченный доступ. Задаются также ограничения на методы доступа, необходимые для того, чтобы пользователи не могли обращаться к запрещенным сервисам Интернета обходными путями.

Межсетевой экран может реализовать ряд политик доступа к сервисам. Но обычно политика доступа к сетевым сервисам основана на одном из следующих принципов:

· запретить доступ из Интернета во внутреннюю сеть и разрешить доступ из внутренней сети в Интернет;

· разрешить ограниченный доступ во внутреннюю сеть из Интернета, обеспечивая работу только отдельных авторизованных систем, например информационных и почтовых серверов [5].

В соответствии с политикой реализации межсетевых экранов определяются правила доступа к ресурсам внутренней сети. Прежде всего необходимо установить, насколько «доверительной» или «подозрительной» должна быть система защиты. Иными словами, правила доступа к внутренним ресурсам должны базироваться на одном из следующих принципов:

· запрещать все, что не разрешено в явной форме;

· разрешать все, что не запрещено в явной форме.

Эффективность защиты внутренней сети с помощью межсетевых экранов зависит не только от выбранной политики доступа к сетевым сервисам и ресурсам внутренней сети, но и от рациональности выбора и использования основных компонентов межсетевого экрана.

Функциональные требования к межсетевым экранам охватывают следующие сферы:

· фильтрация на сетевом уровне;

· фильтрация на прикладном уровне;

· настройка правил фильтрации и администрирование;

· средства сетевой аутентификации;

· внедрение журналов и учет.

Большинство компонентов межсетевых экранов можно отнести к одной из трех категорий:

· фильтрующие маршрутизаторы;

· шлюзы сетевого уровня;

· шлюзы прикладного уровня.

Эти категории можно рассматривать как базовые компоненты реальных межсетевых экранов. Лишь немногие межсетевые экраны включают только одну из перечисленных категорий. Тем не менее, эти категории отражают ключевые возможности, отличающие межсетевые экраны друг от друга.

Для защиты корпоративной или локальной сети применяются следующие основные схемы организации межсетевых экранов:

· межсетевой экран - фильтрующий маршрутизатор;

· межсетевой экран на основе двупортового шлюза;

· межсетевой экран на основе экранированного шлюза;

· межсетевой экран - экранированная подсеть.

Для защиты информационных ресурсов и обеспечения оптимальной работы распределенных корпоративных информационных систем необходимо применение комплексной системы информационной безопасности, которая позволит эффективно использовать достоинства межсетевых экранов и компенсировать их недостатки с помощью других средств безопасности.

Полнофункциональная защита корпоративной сети должна обеспечить:

· безопасное взаимодействие пользователей и информационных ресурсов с внешними сетями;

· технологически единый комплекс мер защиты для распределенных и сегментированных локальных сетей подразделений предприятия;

· наличие иерархической системы защиты, предоставляющей средства обеспечения безопасности для различных по степени закрытости сегментов корпоративной сети.

Характер современной обработки данных в корпоративных системах интернет требует наличия у межсетевых экранов следующих основных качеств:

· мобильность и масштабируемость относительно различных аппаратно-программных платформ;

· возможность интеграции с аппаратно-программными средствами других производителей;

· простота установки, конфигурирования и эксплуатации;

· управление в соответствии с централизованной политикой безопасности.

В зависимости от масштабов организации и принятой на предприятии политики безопасности могут применяться различные межсетевые экраны. Для небольших предприятий, использующих до десятка узлов, подойдут межсетевые экраны с удобным графическим интерфейсом, допускающие локальное конфигурирование без применения централизованного управления. Для крупных предприятий предпочтительнее системы с консолями и менеджерами управления, которые обеспечивают оперативное управление локальными межсетевыми экранами, поддержку виртуальных частных сетей.

Увеличение потоков информации, передаваемых по Интернету компаниями и частными пользователями, а также потребность в организации удаленного доступа к корпоративным сетям являются причинами постоянного совершенствования технологий подключения корпоративных сетей к Интернету.

Следует отметить, что в настоящее время ни одна из технологий подключения, обладая высокими характеристиками по производительности, в стандартной конфигурации не может обеспечить полнофункциональной защиты корпоративной сети. Решение данной задачи становится возможным только при использовании технологии межсетевых экранов, организующей безопасное взаимодействие с внешней средой. Также межсетевые экраны позволяют организовать комплексную защиту корпоративной сети от несанкционированного доступа, основанную как на традиционной (IP-пакетной) фильтрации контролируемых потоков данных, осуществляемой большинством ОС семейства Windows и UNIX, так и на семантической (контентной), доступной только коммерческим специальным решениям.

1.3 Постановка задачи обеспечения безопасности информационной системы учебного назначения с использованием средств межсетевого экранирования

Для обеспечения безопасности ИС учебного назначения с использованием средств межсетевого экранирования, необходимо разработать комплекс мер, по защите от проникновения злоумышленника. Для решения задачи обеспечения защиты периметра информационной сети хозяйствующего субъекта, необходимо провести анализ существующих методов и средств защиты периметра ИС, выбрать наиболее приемлемое средство защиты, т.е. провести сравнительный анализ средств выбранной группы, выбрать наиболее подходящий.

Уровень защиты должен достигаться с учетом последующих пунктов:

· масштаба ХС и топологии и размера его корпоративной сети;

· циркулирующей в сети информации, ее цене и ценности для ХС;

· построенной модели нарушителя, а так же возможного ущерба, который нарушитель может нанести ИС.

· выделенных средств, на организацию такой системы.

Для разработки рекомендаций по организации и обеспечению защиты безопасности ИС учебного назначения с использованием средств межсетевого экранирования, необходимо:

· провести моделирование информационной системы (п.2.2);

· составить классификацию выбранных средств межсетевого экранирования (п.3.1);

· обосновать показатели и критерии выбора таких средств (п.3.1);

· провести сравнительный анализ средств (п.3.1);

· разработать комплекс организационно-технических мероприятий по организации безопасности лаборатории «ПАЗИ» (п.3.2);

· обосновать затраты на защиту лаборатории (п.3.3).

Все эти критерии будут рассмотрены в последующих разделах данной дипломной работы.

Выводы по первой главе

В рамках анализа роли и места средств межсетевого экранирования в СЗИ были рассмотрены выполняемые функции МЭ сетей, с учетом их типовых особенностей, это позволит выделить наиболее полную и эффективную модель МЭ для защиты лаборатории. В дальнейшем, в рамках данной работы, будет рассматриваться сравнительный анализ и выбор средств межсетевого экранирования.

В первой главе проводился анализ угроз безопасности информационной системы ВУЗа, в данном случае Института безопасности бизнеса. Были идентифицированы основные типы угроз, факторов, способствующих их проявлению (уязвимостей) на информационные ресурсы сети, как внешние, так и внутренние. Анализ угроз ИБ является одним из ключевых моментов политики безопасности любой ИС. Так же в первой главе были рассмотрены роль и место, выполняемые функции и проанализировано использование средств межсетевого экранирования в СЗИ. Это позволит организовать внутреннюю политику безопасности сети ХС. В соответствии с политикой реализации межсетевых экранов определяются правила доступа к ресурсам внутренней сети. Так же были рассмотрены различные категории, виды МЭ и требования к ним.

Задачи, которые были описаны в первой главе, показывают, что необходимо разработать комплекс мер по защите от проникновения нарушителя извне и по защите от внутренних угроз, что позволит разработать рекомендации по организации и обеспечению безопасности информационной системы учебного назначения, путем обоснования требований к системе защиты информации, проведения классификации средств межсетевого экранирования по основным показателям, обоснования показателей и критериев сравнения, по которым будет проводится выбор средства, а так же сравнительного анализа отобранных средств защиты информационной системы. Кроме этого в данной главе была выполнена постановка задачи обеспечения защищенности корпоративной информационной сети.

Глава 2. Моделирование информационной системы лаборатории «ПАЗИ» ИББ

Федеральный закон РФ «Об информации, информационных технологиях и о защите информации» даёт следующее определение: «информационная система -- совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств».

В данном разделе мы моделируем ИС учебной лаборатории для проведения учебных занятий по предмету: «Программно-аппаратная защита информации» и защиты сети от вредоносных объектов при помощи межсетевого экрана.

Под информационной системой понимается - совокупность технического, программного и организационного обеспечения, а также персонала, предназначенная для того, чтобы своевременно обеспечивать надлежащих людей надлежащей информацией [6]. Также информационной системой называют только подмножество компонентов ИС в широком смысле, включающее базы данных, СУБД и специализированные прикладные программы.

Модель сети это описание совокупности составляющих сеть аппаратно-программных средств и протоколов обмена данными между ее элементами, обеспечивающих ее функционирование, и в достаточной степени повторяющие свойства реальной сети, существенные для отражения процессов в сети [8].

В лабораторию ПАЗИ необходимо внедрение и использование небольшой информационной сети, к которой не будут предъявляться особые требования к ее функционированию. В сети такого масштаба решаются задачи получения доступа к файлам соседних компьютеров, распечатка документов на общем принтере и подключения компьютеров к Интернет. Именно при подключении локальной сети к Интернет встает задача защиты периметра. Однако выбор средств защиты будет напрямую зависеть от топологии сети. При построении сети масштаба малого предприятия обычно используются 2 вида сетей:

· одноранговая сеть;

· сеть с централизованным управлением.

Одноранговой сетью сегодня уже никто не пользуется, она является не актуальной, поэтому рассмотрим только сеть с централизованным управлением.

Сеть с централизованным управлением - это локальная вычислительная сеть, в которой сетевые устройства централизованы и управляются одним или несколькими серверами.

Рабочие станции или клиенты обращаются к ресурсам сети через сервер. Сети на основе сервера применяются в тех случаях, когда в сеть должно быть объединено много рабочих станций, либо необходимо уделить особое внимание вопросам безопасности сети малого предприятия. В этих случаях возможностей одноранговой сети не хватит.

С этой целью в корпоративную информационную сеть хозяйствующего субъекта включается специализированный компьютер - сервер, который обслуживает только сеть и не решает никаких других задач.

Сервер - логический или физический узел сети, обслуживающий запросы к одному адресу или доменному имени, и состоящий из одного или нескольких аппаратных серверов, на котором выполняются один или система серверных программ [9].

Программное обеспечение, управляющее работой ЛВС с централизованным управлением, состоит из двух частей:

· сетевой операционной системы, устанавливаемой на сервере;

· программного обеспечения на рабочей станции, представляющего набор программ, работающих под управлением операционной системы, которая установлена на рабочей станции.

Исходя из выше сказанного можно сделать вывод, что в лаборатории ПАЗИ необходима организация централизованной системы защиты периметра, которая позволяет вести централизованную настройку средств защиты, вовремя и адекватно реагировать на атаки, производящиеся извне на корпоративную сеть, что не позволит злоумышленникам узнать внутреннюю топологию сети.

2.1 Анализ требований к системе защиты информации

Периметр защищаемой системы - лучшее место для раннего обнаружения вторжения. Вредоносные объекты в первую очередь взаимодействует с периметром, производя преодоление системы защиты, они создают возмущения, которые регистрируются специальными средствам. Сеть периметра - компьютерная сеть логически находящаяся между ЛВС и сетью Интернет и предназначенная для концентрации средств защиты информации с целью защиты ИТ-инфраструктуры предприятия от вредоносных воздействий из сети Интернет. Таким образом, системы защиты периметра являются наиболее эффективными средствами защиты от несанкционированного доступа в ИС, поскольку могут выдавать тревожный сигнал до того, как злоумышленник реализует атаку.

В данной области нет единых подходов к организации такой защиты. Однако в данной работе нами проводится обобщение основных требований, предъявляемых системам защиты периметра ИС.

К системам защиты периметра предъявляются следующие требования:

· отсутствие возможности управлять системой извне - например системы, встроенные в операционные системы такие, как Windows, Unix. Они обладают одним очень существенным недостатком - гипотетической возможностью удаленного управления, что очень существенно сказывается на защищенности этих систем;

· скрытый характер функционирования системы - система защиты периметра не должна обнаруживать свое функционирование как для соединений извне, так и поступающих соединений из внутренней сети. Это не позволит злоумышленнику определить характеристики средства защиты;

· отсутствие известных уязвимостей - компания-производитель системы защиты периметра должна обеспечивать всестороннюю поддержку своего продукта и своевременно устранять обнаруженные уязвимости системы. Данное требование возможно при официальном обновлении продукта;

· постоянная отчётность о ошибках и работоспособности - любые события связанные с нарушением работоспособности системы и отсутствием подключения к внешней или внутренней сети должны быть доведены до ответственного за обеспечение защиты периметра специалиста по защите информации или администратора. Например, в случае, если внутреннюю сеть попытались физически переключить напрямую к внешней сети в обход системы защиты периметра.

· наличие автономного питания системы - системы защиты периметра должны быть независимыми от электросети, ввиду возможных перебоев с электроснабжением. Система должна работать постоянно;

Кроме того, системы защиты периметра должны обладать максимально высокой чувствительностью, чтобы обнаружить даже самого опытного нарушителя, но, в то же время, должны обеспечивать низкую вероятность ложных срабатываний. Для этого необходимо сделать оптимизацию настроек системы защиты.

При осуществлении защиты периметра информационной сети лаборатории ПАЗИ, могут возникнуть определенные сложности с организацией такой системы, обусловленные [5]:

· нечеткостью границ системы. Если у физического объекта есть видимая граница или такую границу не сложно провести, то у информационной сети такая граница не очевидна;

· сложностью обнаружения злоумышленника. Если, при защите периметра физического объекта, можно зафиксировать злоумышленника, преодолевающего систему защиты, визуально или с помощью специальных датчиков и извещателей, то при защите информационной сети это затруднительно;

· скрытость ошибок в программном обеспечении и технических средствах защиты и функционирования сети. Данные ошибки можно сравнить с дырами в заборе, которые хорошо видны и легко устраняемы при физической защите. Однако в ИС такие дыры не всегда заметны для службы защиты, но о них могут знать злоумышленники.

В системе защиты лаборатории информационной системы также возможна разработка и использование отдельных модулей защиты, однако эффективность такой системы будет очень низкой из-за децентрализации, плохой совместимости и повышающейся вероятности появления ошибки.

Существует комплексная система, позволяющая обеспечить все требования по защите периметра ИС, реализующая в себе все средства, с помощью которых достигается защищенность периметра. Эта система может оповещать администратора безопасности о попытках взлома системы, о попытках преодоления системы, о попытках вывода из строя системы, кто, куда и как пытается войти, а так же о действиях персонала компании по доступу к ресурсам сети с оповещением о превышении ими полномочий, попытках несанкционированного доступа к ресурсу. Из чего следует, что данная система реализует защиту сети не только извне, но и изнутри. Такой системой может служить - межсетевой экран. Однако не стоит полагать, что задачу защиты периметра МЭ в состоянии решить полностью, необходим комплексный подход к решению данной задачи, путем внедрения системы обнаружения вторжения и системы мониторинга информационной безопасности. Но в рамках данной работы будут рассмотрены возможности по защите периметра межсетевыми экранами.

Межсетевой экран в ПАЗИ это аппаратное или программное средство первой необходимости при подключении локальной сети к Интернету. Межсетевые экраны способны анализировать входящий и выходящий трафик и принимать решения о его пропуске или блокировании. При выборе типа приобретаемого или создаваемого МЭ прежде всего следует проанализировать существующую политику безопасности и определить службы, к которым пользователи должны получить доступ после подключения к сети. С помощью политики безопасности можно будет разработать стратегию МЭ и использовать маршрутизаторы и другие методы для обеспечения безопасности сети [10].

Таким образом, в данном разделе мною определены требования к системам защиты периметра ИС путем анализа различных подходов к реализации таких систем, в том числе сложности, которые могут возникнуть при организации данной защиты, а так же выбрана комплексная система защиты периметра ИС межсетевой экран.

2.2 Описание модели информационной системы лаборатории

Использование современных компьютерных технологий в учебном процессе при проведении лабораторных занятий по различным дисциплинам и выполнении студенческих научно-исследовательских работ требует наличия информационной системы, предусматривающей работу с большими объемами информации с высоким быстродействием и разграничением доступа.

Решение задачи информационного и программного обеспечения учебного процесса основано на использовании высокопроизводительной локальной вычислительной сети.

При создании ЛВС в лаборатории ПАЗИ, наиболее подходящей является топология типа «Звезда. Это объясняется тем, что в сетях, построенных по данному типу, обеспечивается наибольший уровень безопасности и гарантируется отсутствие «коллизий» (столкновений данных), что в свою очередь позволяет получить довольно высокую пропускную способность при достаточной мощности сервера. Что касается экономического аспекта, то ввиду небольшого расстояния между рабочими станциями и сервером (в пределах лаборатории), не затребует сравнительно высоких затрат.

В лаборатории ПАЗИ реализован доступ к ресурсам глобальной сети Интернет от ИВЦ. Информационно-Вычислительный Центр Московского Энергетического Института (Технического Университета) - общеуниверситетское подразделение, выполняющее исследования, разработку и сопровождение распределенных информационных систем для МЭИ (ТУ). Основной целью ИВЦ МЭИ (ТУ) является исследование и разработка передовых информационных технологий, их внедрение для обеспечения информационных потребностей университета в научной, учебной и административной сферах.

В настоящее время ИВЦ МЭИ (ТУ) является мощной корпоративной компьютерной сетью, объединяющей около 2000 компьютеров по всему университету. ИВС активно используется для обеспечения учебного процесса, научных исследований и управления ВУЗом.

ИВЦ МЭИ (ТУ) является частью научно-образовательной сети FREEnet, объединяющей академические сети России и сети некоторых крупных высших учебных заведений.

Соединение с Internet обеспечивается посредством оптоволоконного кабеля, связывающий МЭИ (ТУ) с Северной Московской опорной сетью и опорным узлом Российского сегмента Internet на международной телефонной станции М9, так называемой точкой обмена трафиком M9-IX. Соединение использует технологию АТМ, позволяющую организовать множество каналов суммарной производительностью до 155 Мбит/сек. Сейчас скорость канала, связывающего МЭИ (ТУ) и FREEnet, составляет 10 Мбит/сек. В сутки передается и принимается около 45 Гбайт информации.

На сегодняшний день к ИВЦ МЭИ (ТУ) подключены практически все подразделения университета, находящиеся в основных корпусах. Ведется активная работа по подключению подразделений, находящихся в отдельных зданиях на значительном удалении от основных корпусов.

Соединение с Internet и другими сетями осуществляется через мощную модульную систему управления маршрутизацией CISCO 3662 фирмы CISCO Systems. Маршрутизатор CISCO 3662 обеспечивает кроме связи с внешними сетями, маршрутизацию внутри сети университета и защиту ИВС МЭИ (ТУ) от несанкционированного доступа.

ИВЦ МЭИ (ТУ) служит основой для различных информационных систем, используемых в учебном процессе, активно применяется для проведения научных исследований и обеспечения организационных аспектов деятельности ВУЗ'а. На базе ИВС работают десятки информационных серверов подразделений (в том числе и сервер лаборатории ПАЗИ ИББ), централизованная общеуниверситетская служба электронной почты, Web-портал университета, мощная информационная система ИРИС ООП, и другие информационные системы различного назначения. Так же осуществляется задача электронной почты, так называемый ОСЭП - это корпоративная система, предназначенная для обеспечения информационного обмена между преподавателями, сотрудниками, студентами и аспирантами университета. Таким образом, ОСЭП позволяет организовать единое информационное сообщество университета.

То, что ОСЭП является корпоративной системой, определяет состав функций, предоставляемых абонентам. В частности, в состав ОСЭП включены такие функции, как единая адресная книга университета, мощная поисковая система, возможность отправки писем через WEB, предоставление сведений об административных единицах и сотрудниках университета, наличие общих папок. ОСЭП может использоваться для рассылки объявлений и официальной информации учебного и научного управлений сотрудникам, студентам и аспирантам ВУЗа. С помощью ОСЭП может осуществляться общение между преподавателями и студентами [11].

Создание интерфейса пользователей для доступа к информации и программному обеспечению выполняется в операционной системе Windows 2008 Server. Порядок создания информационной системы реализована в лаборатории «Программно-аппаратной защиты информации» Института безопасности бизнеса МЭИ (ТУ). Локальная вычислительная сеть лаборатории объединяет 16 компьютеров типа Intel PC. На сервере установлены операционная система Windows 2008 Server, DHCP-сервер, DNS-сервер, доменная служба и файловая служба. Локальные компьютеры имеют операционные системы Windows-XP с установленным браузером Internet Explore и протоколом обмена по сети TCP/IP. На сервере и на локальных компьютерах установлен официальный антивирус Symantec Endpoint Protection.

Подробное описание оборудования ЭВМ лаборатории ПАЗИ написано в Приложении 1. На рисунке 5 показана схема аудитории К-303 и размещения ЭВТ, которые находится в лаборатории ПАЗИ ИББ.

Рис.5. План размещения ЭВТ в лаборатории ПАЗИ

В созданной ИС компьютерного класса используются средства разграничения доступа и администрирования ресурсов, предусмотренные в операционной системе Windows 2008 Server. Распределенные данные на файловом сервере дают возможность авторам удаленно изменять, перемещать и удалять свои файлы и каталоги, а также изменять свойства этих файлов и каталогов на сервере. В распоряжении системного администратора имеются программные средства, позволяющие тестировать ЛВС, следить за используемыми ресурсами и попытками несанкционированного доступа.

2.3 Система защиты лаборатории «ПАЗИ»

При разработке системы защиты лаборатории ПАЗИ, представленной на рисунке 6, используются ресурсы сервера ЛВС, в котором созданы веб-сервер, файловый сервер, так же на сервере будет установлена система обнаружения и предотвращения вторжений IDS/IPS. В наш сервер будет поступать Интернет по выделенному каналу со статическим IP-адресом. Также в системе защиты обязательно должен присутствовать маршрутизатор, в котором встроены межсетевой экран и VPN-сервер для удаленного доступа. Как видно на рисунке 7, после маршрутизатора Интернет-трафик идет на коммутатор, который раздаёт на рабочие станции (ПК) лаборатории. Для учебного процесса будет создан виртуальный сервер, на котором студенты смогут выполнять различные задания, а так же можно будет проводить лабораторные работы.

межсетевой экранирование безопасность информационный



Рис. 6. Схема ЛВС лаборатории ПАЗИ

Виртуальный сервер будет создан на сервере ЛВС, и это позволит с безопасностью проводить занятия с заданиями как по безопасности информационной системы, так и с попытками по выведению её из строя. А Безопасность заключается в том, что проводя работы на виртуальном сервере, любые изменения коснутся только виртуальной сети, а рабочая ИС ИББ будет не затронута, что не приведёт к нарушению или сбою работы учебного подразделения.

Как было уже написано, на главном сервере ЛВС реализован файловый сервер. Файловый сервер - это выделенный сервер, оптимизированный для выполнения файловых операций ввода-вывода. Так же предназначен для хранения файлов любого типа. Как правило, обладает большим объемом дискового пространства [2]. В пользе учебного процесса на этом сервер будут хранится документы преподавателей к занятиям для общего пользования студентов, так же сами студенты смогут благодаря файловому серверу оставлять свои документы для преподавателя или обмениваться различными файлами между собой. Для этого были создана структура хранения файлов доступная пользователям домена. Вход в домен осуществляется по логину и паролю учётной записи.

Домен Windows - группа компьютеров одной сети, имеющих единый центр (который называется контроллером домена), использующий единую базу пользователей (то есть учётные записи находятся не на каждом в отдельности компьютере, а на контроллере домена, т.н. сетевой вход в систему), единую групповую и локальную политики, единые параметры безопасности (применимо к томам с файловой системой NTFS), ограничение времени работы учётной записи и прочие параметры, значительно упрощающие работу системного администратора организации, если в ней эксплуатируется большое число компьютеров. Также становится возможным сделать для каждого аккаунта перемещаемый профиль, сетевой путь к которому хранится в одном месте - на контроллере домена. В результате пользователи могут работать со своим «рабочим столом», «моими документами» и прочими индивидуально настраиваемыми элементами с любого компьютера домена [2]. При помощи домена возможно создать политику безопасности для группы пользователей, что необходимо для проведения учебного процессе, чтобы избежать поломок или аварий.

Также на жёстких дисках сервера будет осуществляться резервное копирование данных сервера ЛВС и данных файлового сервера. Резервное копирование - процесс создания копии данных на носителе (жёстком диске, флеш - накопителе и т. д.), предназначенном для восстановления данных в оригинальном месте их расположения в случае их повреждения или разрушения. Резервное копирование необходимо для возможности быстрого и недорогого восстановления информации (документов, программ, настроек и т. д.) в случае утери рабочей копии информации по какой-либо причине.