Технология обеспечения защиты информации

Размещено на http://www.allbest.ru/

Содержание

Постановка задачи

Введение

1. Описание структуры организации

2. Исследование рынка программно-аппаратных средств

3. Основные угрозы информационной безопасности на предприятии

4. Анализ рисков

5. Рынок автоматизированных систем управления - проблемы и возможности

6. Рынок систем обнаружения компьютерных атак

7. Экономическое обоснование выбранных программно-аппаратных средств защиты

Список использованной литературы

Постановка задачи

Спроектировать систему и описать технологию обеспечения защиты информации при передаче по каналам связи, с использованием программно-аппаратных средств защиты. Защищенные Интернет технологии. Аудит информационной безопасности и аттестация АС. Инструментальные средства поддержки аудита информационной безопасности и аттестации АС (системные сканеры, ревизоры сети).

безопасность защита атака программный

Введение

Обеспечение внутренней информационной безопасности является не только российской, но и мировой проблемой. Если в первые годы внедрения корпоративных локальных сетей головной болью компаний был несанкционированный доступ к коммерческой информации путем внешнего взлома (хакерской атаки), то сегодня с этим научились справляться. В IT-отделе любой уважающей себя компании, как правило, имеется обширный инструментарий антивирусов, ограждающих программ (файрволов) и других средств борьбы с внешними атаками. Причем российские достижения в деле обеспечения внешней безопасности весьма велики - отечественные антивирусы считаются одними из лучших в мире. С точки зрения информационной безопасности многие компании сегодня напоминают крепости, окруженные несколькими периметрами мощных стен. Однако практика показывает, что информация все равно утекает: в стенах имеются дыры. Точнее, даже не дыры, а калитки, потому что основным каналом утечки информации являются сотрудники компаний. Однако компании упустили из вида главную опасность, которую представляет внутренний нарушитель, собственный сотрудник, прошедший все рубежи авторизации и получивший неограниченный Нельзя утверждать, что большинство утечек информации допускается сотрудниками компаний намеренно. Чаще всего речь идет о халатности и перегруженности работой. Не секрет, что многие сотрудники берут работу на дом, желая обмозговать сложную проблему в спокойной обстановке. Однако они, как правило, не берут с собой кипу бумаг. Необходимая информация просто пересылается на личный электронный почтовый ящик, который может оказаться слабо защищенным от внешнего взлома. Кроме того, к нему могут иметь доступ члены семьи, друзья и прочие не связанные с компанией лица. Гарантировать, что среди них не окажется невольного инсайдера, невозможно. Человек, не связанный с компанией, может просто не понимать коммерческой ценности информации, к которой он случайно получил доступ.

Второй важной проблемой является отсутствие информационного контроля в менеджменте компании. В отличие от рядового сотрудника менеджер может просто дать устное указание на пересылку информации. Такие указания, как правило, очень трудно отследить, так как о них быстро забывают. Между тем ущерб от подобных утечек даже больше, чем от халатных действий рядовых сотрудников. Ведь стратегическая информация, к которой имеет доступ менеджер, обычно представляет большую коммерческую ценность.

Достаточно вспомнить кражи баз данных у сотовых операторов, баз кредитных историй и неплательщиков в крупнейших финансовых организациях, клиентских баз страховых компаний и банков данных самых разных госструктур. Еще пару лет назад IT-службы отвечали за защиту от внешних угроз, а с внутренними угрозами разбиралась служба безопасности. Сегодня она просто физически не может контролировать перемещение информации по электронным сетям и с помощью переносных носителей. Для этого нужны специально разработанные регламенты, ликбез сотрудников, специально подготовленные офицеры безопасности и технические средства для выявления попыток перемещения информации вовне.

Помимо ошибок сотрудников и менеджмента несанкционированные утечки могут быть результатом злонамеренных действий.

1. Описание структуры организации

В данном проекте рассматривается государственная организация ОАО «ТурбоПром», обрабатывающая конфиденциальную информацию и информацию, относящуюся к государственной тайне. Эта организация, имея четырехуровневую иерархию, состоит из сети головного центра, сетей подразделений, отделений и отделов, причем территориально они сильно распределены (но ограничены пределами одной страны).

Связь между зданиями организации осуществляется через общедоступную сеть Интернет.

Машины, обрабатывающие сведения, составляющие государственную тайну, располагаются в отдельных помещениях, не объединены сетью с другими ЭВМ и не имеют доступ в сеть Интернет (согласно указу Президента РФ "О мерах по обеспечению информационной безопасности РФ в сфере международного информационного обмена", в котором он запретил включать информсистемы и компьютеры, содержащие государственную тайну и секретную служебную информацию, в состав средств международного информационного обмена).

Предполагается, что сети подразделений, обрабатывающих конфиденциальную тайну, разбиты на 2 подсети: обрабатывающие открытую информацию и обрабатывающие конфиденциальную информацию, либо, если осуществление подобного разбиения по каким-либо причинам трудно выполнимо, предполагается построение локальной сети с помощью коммутаторов, что позволит не допустить циркуляцию в одной среде информации, имеющей разные грифы секретности.

Все рабочие станции корпоративной сети работают под управлением операционной системы Microsoft Windows 7 Basic

Таблица 1 Описание структуры

2. Исследование рынка программно-аппаратных средств

Для уменьшения существующих рисков предлагается выбрать среди всего объема средств ПАЗИ, присутствующих сегодня на рынке, средства, реализующие следующие возможности:

Системные сканеры;

-Ревизоры сети.

Приведем обоснование необходимости таких средств.

1.Системный сканер. XSpider

XSpider может в полностью автоматическом режиме проверять компьютеры и сервисы в сети на предмет обнаружения уязвимостей. База уязвимостей постоянно пополняется специалистами Positive Technologies, что в сумме с автоматическим обновлением баз и модулей программы постоянно поддерживает актуальность версии XSpider.

XSpider может выполнять проверки по расписанию. Таким образом, настроив планировщик XSpider, автоматическое обновление и отправку отчетов о результатах проверки по почте или их сохранение на сетевом диске, можно значительно облегчить процесс обнаружения уязвимостей. Это позволит сконцентрировать свое внимание на борьбе с уже обнаруженными уязвимостями и на донастройке и обновлении программного обеспечения. В этом XSpider оказывает так же неоценимую помощь, выводя в отчет о результатах проверки не только информацию о найденной уязвимости, но и ссылки, например, на статьи на сайте Microsoft, которые описывают обнаруженную XSpider уязвимость и дают рекомендации по её устранению.

2. "Ревизор Сети" предназначен для использования администраторами и службами информационной безопасности вычислительных сетей, а также органами по аттестации объектов информатизации в целях обнаружения уязвимостей установленного сетевого программного и аппаратного обеспечения, использующего протоколы стека TCP/IP.

Объектами исследования сетевого сканера являются ПЭВМ, сервера, коммутационное оборудование, межсетевые экраны и другие узлы сети, имеющие IP-адреса.

В "Ревизоре Сети" реализованы различные категории проверок, функционально относящиеся к одному из двух основных режимов работы сканера: сбор информации о тестируемой сети и сканирование уязвимостей сети. Наборы проверок позволяют проводить тестирование наиболее распространенных сервисов (WEB, Mail, FTP, SNMP, RPC и пр.), подбор паролей, определение типов ОС, проверки типа "отказ в обслуживании", проверки учетных записей и системного реестра Windows и многие другие.

Сканер позволяет осуществлять параллельное многопоточное сканирование узлов сети, имеет развитый графический пользовательский интерфейс.

Сетевой сканер "Ревизор Сети" версии 2.0 представляет собой существенно обновленную модификацию сертифицированного ФСТЭК России сетевого сканера "Ревизор Сети" версии 1.2.1.0.

"Ревизор Сети" версии 2.0 включает в свой состав следующие новые возможности:

реализован уникальный механизм проверки установленных дистрибутивов семейства Linux (Mandriva, Gentoo, Red Hat, Slackware, Fedora Core, Debian, SUSE), а также ОС FreeBSD и Solaris на предмет наличия уязвимостей в программном обеспечении на основе уведомлений, выпускаемых производителями соответствующих дистрибутивов и ОС. При этом база уязвимостей постоянно обновляется с сайтов производителей дистрибутивов и ОС;

добавлен модуль анализа HTTP-серверов - проводится детальный анализ структуры и контента WEB-сайта на предмет наличия разного рода уязвимостей;

реализована возможность взаимодействия с известным сетевым сканером Nmap в части идентификации сервисов, сетевых устройств и типов операционных систем; «Ревизор Сети» версии 2.0 функционирует на базе операционной системы Windows 2000/XP/2003.

Поставка сетевого сканера "Ревизор Сети" осуществляется в рамках лицензии на ограниченное количество IP-адресов. В комплект включены электронные ключи Guardant для USB или LPT портов.

ЗАО «ЦБИ-сервис» на договорной основе принимает заявки от организаций по адаптации сканера к специфическим особенностям сети организации (в части разработки дополнительных проверок используемого сетевого программного и аппаратного обеспечения).

"Ревизор Сети" позиционируется в качестве одного из элементов создаваемой ЗАО «ЦБИ-сервис» линейки интегрированных между собой программных продуктов, обеспечивающих комплексное тестирование, анализ и контроль защищенности вычислительных сетей различного уровня и назначения в условиях гетерогенной программной среды.

Изделие имеет сертификат ФСТЭК №1455 до 05 сентября 2010 г.

3. GFI LANguard Network Security Scanner 7.0 - лучший коммерчески доступный сканер безопасности по мнению пользователей Nmap. С помощью этой программы Вы также можете выявить вирусы, трояны и прочие программы с вредоносным кодом. Программа работает в фоновом режиме и следит за всеми подозрительными действиями, способными нанести вред. Кроме того, GFI LANguard Network Security Scanner (N.S.S.) автоматически определяет прорехи в системе обеспечения сетевой безопасности и позволяет взглянуть на вашу сеть с точки зрения хакера, после чего составляются детальные отчеты и автоматически устанавливаются необходимые обновления и патчи.

GFI LANguard N.S.S. использует современные базы данных проверки уязвимостей на основе OVAL и SANS Top 20, предлагая более 15 000 оценок уязвимости при сканировании сети. GFI LANguard N.S.S. обеспечивает вас информацией и средствами, необходимыми для многоплатформенного сканирования сред, анализа состояния сети и эффективной установки и управления исправлениями на всех машинах с различными операционными системами и языками. Результатом является согласованное окружение, обеспечивающее защиту.

3. Основные угрозы информационной безопасности на предприятии

В качестве основных угроз здесь рассматриваются:

несанкционированное подключение к каналам связи и осуществление

перехвата (прослушивания) информации;

модификация (подмена) передаваемых по каналам данных (почтовые

сообщения, файлы и т.п.);

нарушение работы внутренней сети предприятия.

Реализация первой угрозы позволит конкурентам получить конфиденциальные сведения; используя их, усилить свои позиции на рынке и, возможно, привести экономическое состояние нашего предприятия в упадок.

Реализация второй угрозы может нарушить информационный обмен между подразделениями предприятия, помешать передаче команд и указаний из головного центра в подчиненные и т.п., что в любом случае также приведет к экономическим потерям.

Реализация третьей угрозы (со стороны сети Интернет она может осуществляться с помощью Dоs или DDos атак) приведет к неработоспособности локальных сетей или отдельных ее компонентов, остановку работы служащих и снижение производительности их труда.

4. Анализ рисков

Для анализа рисков, то есть оценки возможного ущерба, будем рассматривать перечисленные выше угрозы, то есть перехват информации, подмена информации и нарушение работы сети предприятия.

Возможные риски будем считать как произведение вероятности реализации угрозы со стороны «врагов» на величину потерь, которые понесет предприятие при их успешной реализации.

По вероятности успешной реализации угрозы разобьем все угрозы на 4 типа: низко вероятные (от 5% до 20%), маловероятные (около 25%), средней вероятности (от 50 до 75%%) и высокой вероятности (свыше 75%).

Для подсчета использовалось предположение, что средняя прибыль предприятия от одного выполненного заказа составляет около 5000000 рублей, один час простоя одного отдела организации обходится в 10000. Считается, что полученная несанкционированным путем информация сразу попадает к конкурирующим структурам.

При этом риски нарушения работы каналов связи посчитаны для одного подразделения. Если учесть все связи между рабочими станциями и серверами, между серверами и другими сетевыми устройствами во всех сетях всех зданий предприятия, конечный риск возрастет в несколько раз и составит сумму примерно равную 54000000 рублей.

Стоит подчеркнуть, что это субъективная приблизительная оценка, основной целью которой является экономически оправданный выбор средств защиты сети предприятия. Документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации. Порядок сертификации определяется законодательством Российской Федерации».

Следовательно, для достижения поставленных целей придется выбирать только ПАЗИ, прошедшие сертификацию, что немного сужает выбор.

5. Рынок автоматизированных систем управления-проблемы и возможности

Oдним из важнейших аспектов экономической интеграции является наличие общепринятого стандарта в деле компьютеризации коммерческой и хозяйственной деятельности. Такой стандарт в наше время, пожалуй, не менее важен, чем наличие общих основ в законодательстве. Наверное, самый яркий пример интеграции компьютерных систем дает нам всемирная сеть Internet. Соблюдая определенные правила игры, абоненты этой сети обмениваются всевозможной информацией. В современном деловом мире абсолютное большинство документов создается компьютерными программами. Следовательно, при выборе автоматизированной системы управления бизнесом мы должны руководствоваться не только соображениями удобств, которые предоставляет та или иная система для бухгалтера, но и соображениями соответствия системы общепринятым, желательно, мировым стандартам обработки деловой информации. Известно, что в нашей стране готовится переход к международному стандарту бухучета, и вслед за этим - к общепринятой практике документооборота, как внутреннего, в пределах одной организации, так и внешнего, в пределах одного государства, содружества государств (Европейский союз) или мирового сообщества. В данной статье мы рассмотрим две системы, удовлетворяющие самым высоким требованиям, как по уровню средств, предоставляемых пользователю в рамках своей организации, так и по уровню коммуникабельности с внешним миром. Мы предлагаем рассматривать их в комплексе как одну двухуровневую систему управления деловыми процессами. System 21 (старое название Business 400) - программный пакет управления хозяйственной, коммерческой и производственной деятельностью для крупных и средних организаций, разработанный и поддерживаемый по всему миру британской компанией JBA, появился на российском рынке около двух лет назад. В течение полутора лет он переводился на русский язык и адаптировался к российской деловой практике силами специалистов компьютерного центра ComputerLand, представляющего интересы JBA на территории России и стран СНГ. Фирма JBA - разработчик пакета System 21, является стратегическим партнером IBM, имеет свои отделения в США, Германии, Франции, Италии, Испании, Голландии, Японии и других развитых и развивающихся странах. У пакета около 5000 установок во всевозможных организациях в сфере производства, торговли и других. В настоящее время пакет полностью удовлетворяет российским требованиям, он был существенно переработан и дополнен. System 21 как типичный представитель международных систем управления бизнесом, позволяет очень хорошо учитывать, накапливать и анализировать великое множество и разнообразие простых операций, таких как закупки, продажи, складской учет и операции производственных циклов. Немного труднее такие системы приспосабливать к ведению сложных, растянутых во времени контрактов и вообще к бумажному делопроизводству, ведению деловой переписки и т.п. Эффект от внедрения финансово-складского пакета мог бы быть значительно большим, если бы финансовые данные, получаемые на выходе пакета, могли автоматически превращаться во фрагменты административных, справочных документов, циркуляров, деловых писем, и наоборот, такие текстоемкие документы, как договора, с промежуточными актами, поправками и т.п., могли бы естественным образом осаждать финансовые операции в базу данных бухгалтерской системы. С другой стороны, типичным примером компьютеризованной системы документооборота, а скорее уже признанным мировым стандартом систем этого рода, является пакет Lotus Notes, также распространяемый и поддерживаемый компанией ComputerLand. На основе опыта предпроектных исследований потребностей своих потенциальных клиентов специалисты ComputerLand пришли к выводу о необходимости построения супер-системы, построенной на тесном взаимодействии этих двух программных продуктов. Среди прочих преимуществ такого подхода следует отметить, что значительно повышается коммуникабельность системы, в том числе с внешним миром, за счет естественного для Lotus Notes выхода на сеть Internet. Был разработан ряд механизмов такого взаимодействия, и сейчас проводится маркетинг этой новой системы. Основные тенденции развития рынка информационных систем По прошествии нескольких лет после начала экономической революции в России ситуация на рынке мощных программных пакетов управления бизнесом претерпела качественные изменения. На начальном этапе свободного экономического плавания большинство так называемых кооперативов, затем малых предприятий, ТОО и т.п. в качестве компьютеризации довольствовались сетями ПК с Novell-серверами и такими программными средствами, как Лексикон, Word, Excel или небольшими отечественными бухгалтерскими пакетами, написанными кое-как на таких подручных средствах, как Clipper, Fox-Pro, Paradox (список этих вполне достойных средств можно было бы продолжить и всем им отдать должное). У всех этих пакетов было общее свойство - они были очень дешевы, а часто доставались просто даром.На этом же начальном этапе крупные организации либо добивали свои мэйнфреймовские или мини-компьютерные системы со старыми АСУ, либо пробовали также подешевле решить новые проблемы силами своих или приглашенных программистов на базе все тех же упомянутых выше программных и аппаратных средств. Немногие из них достигли впечатляющих результатов. По существу, проблема интегрированной, надежной и полноценной системы управления оставалась нерешенной. Несколько лет назад на российский рынок стали поступать зарубежные мощные дорогостоящие программные продукты, базирующиеся на центральном компьютере, например, IBM AS/400 или других системах. Сегодня уже очень многие поняли на собственном печальном опыте, что дешевая система дает дешевые результаты, а иногда просто производит опустошающий эффект в силу своей некомпетентности, ненадежности и простоты, которая, как говорят, порой, хуже воровства. За прошедший период многие когда-то малые предприятия стали крупными коммерческими структурами и потребность в настоящей компьютеризации бизнеса встала очень остро. Гиганты отечественной индустрии тоже вошли во вкус. Цены на программные комплексы порядка $500000 уже мало кого удивляют. Но теперь у тех, кто решился купить что-то стоящее, как назло, возникла другая, очень серьезная, да что там говорить, просто страшная проблема. Проблема выбора.Выбор, на первый взгляд, большой, и каждый производитель или продавец заверяет, что все будет в порядке. Но уже имеется печальный опыт по установке и грозящему растянуться на вечность внедрению дорогостоящих, солидных программных продуктов. Нередко приходится слышать мнение, высказываемое не только в кулуарах, но и на официальных семинарах, презентациях и т.п., что ни один международный пакет, какой бы отличной репутацией он не пользовался за рубежом, и сколько бы ни твердили о том, что он адаптирован к российской практике, не годится для России. Как говорят, что для немца хорошо, для русского мужика - смерть. Определенный резон в таких высказываниях есть, судить об этом можно по опыту адаптации пакета System 21. Нужна опытная команда по части внедрения делового ПО в России, нужна открытая структура базы данных и исходных текстов программ, нужна смелость и решительность для массированного оперативного вмешательства. Тогда российский пользователь увидит в системе что-то родное и близкое. А иначе, внедрение импортной системы потребует коренного ре-инжиниринга в организации, купившей пакет. Пакет будет диктовать практику ведения учета и управления. Этот процесс может сильно затянуться и в конце пути привести в тупик. Возникает соблазн приобрести одну из солидных систем отечественного производства, появившихся на рынке в последнее время. В таком решении есть, казалось бы, несколько преимуществ. Первое - система на порядок лучше адаптирована к нашей действительности. Второе - она намного дешевле. Третье - внедряется быстрее, и по идее, должна лучше поддерживаться. Но только по идее. И здесь начинается перечисление недостатков. Главный недостаток большинства отечественных систем - нестабильность, короткий период полураспада фирм-производителей. Программисты, авторы пакета, переходят в другие фирмы или уезжают на постоянное место жительства. Конторы лопаются, степень ответственности перед клиентом, как правило, невысокая. Кроме того, сравнительно новые программные продукты нуждаются в длительной обкатке на практике, для того чтобы все скрытые и даже не очень скрытые промахи были выявлены и устранены. Хороший программный пакет - это огромное сооружение, состоящее из многих блоков, постепенно усовершенствованных и притертых друг к другу, всесторонне проверенных, как по отдельности, так и во взаимодействии. Это должно быть хорошо документированное сооружение, со сложившейся системой обучения, поддержки, постоянного развития. Такая система требует устойчивого и многочисленного коллектива специалистов, работающих в спокойной обстановке на протяжении многих лет. Такие организации существуют, но ... там, где нас нет.

Качество зарубежных программных пакетов в этом отношении на порядок выше. Их надежность и постоянная поддержка гарантирована известными во всем мире фирмами. Некоторые из них прошли огонь, воду и медные трубы, успешно приспособившись к странам с самыми различными способами ведения бухучета, разными законами и разными видами беззакония. Например, знакомый уже пакет System 21 был успешно внедрен и не менее успешно поддерживается в тысячах организаций по всему миру, в развитых странах, таких как США, Англия, Германия, Франция, Италия, Япония, в странах Латинской Америки, Восточной Европы и молодых тиграх Юго-восточной Азии. Открытость структуры и врожденная гибкость позволили ему без коренных изменений внедряться в самых разных условиях, в самые разные структуры. Отдельные модули пакета легко сопрягаются с уже использующимися у заказчика программами других фирм-производителей. Накоплен колоссальный опыт работы пакета и его переделки для предприятий самых различных профилей. Конечно, ни одна отечественная компания в этом отношении не идет ни в какое сравнение. Далее, импортные пакеты естественным образом поддерживают международные стандарты делового учета. Это требуется многим российским клиентам, выходящим на мировой рынок со своей продукцией или своими финансовыми средствами. Как только российский бухучет будет переведен на один из западных стандартов, что тогда делать с нашими программами? При адаптации пакета System 21 разработчики российской версии постарались, помимо значительно модифицированного российского варианта системы, оставить нетронутым стандартный вариант. В каком из них работать, пользователь выбирает нажатием одной клавиши. Это дает возможность заказчику вести двойную бухгалтерию, и делает его подготовленным к внезапному переходу на LAS/GAAP. Но так дело обстоит далеко не со всеми зарубежными системами. Как уже говорилось выше, необходимым условием внедрения некоторых таких систем является полная перестройка ведения учета, анализа и т.д. Может потребоваться и смена персонала, который не сумеет освоить принципиально нового способа производства. Во многих случаях внедрению начинает мешать явный или неявный саботаж со стороны среднего звена, и чем сложнее система, чем дальше она от привычной практики, тем успешнее этот саботаж. Часто у заказчика и у продавца системы не хватает специалистов и энтузиазма, чтобы вовремя преодолевать инерцию и решать массу мелких проблем одновременно и согласованно. Это приводит иногда к тому, что дорогостоящую систему просто бросают, как раньше бросали под открытым небом дорогостоящее импортное оборудование, не сумев или не захотев его внедрить.Говоря о преимуществах пакета, выгодно отличающих его от существующих на рынке аналогов, необходимо выделить следующие: Наиболее важные свойства пакета System 21 System 21 - это мощный пакет для крупных и средних организаций, который удовлетворяет всем стандартным международным требованиям. Продукт является мировым лидером в деловом ПО на платформе AS/400. Основные свойства пакета: Множественные валюты с мощными механизмами конвертации, переоценки, перевода из одной валюты в другую. Можно вести параллельный учет в нескольких валютах. Множественные компании со всевозможными структурами взаимосвязей, от полностью независимых до консолидированных. Широкое использование свободного текста для описания каждой операции, каждого предмета учета, каждого платежного документа и т.д. Автоматическое вычисление и проводки НДС. Определяемый пользователем план счетов, фискальные и мемо-счета, контрольные счета, подкниги и иерархии счетов. Подробные файлы данных по заказчикам и поставщикам, тщательное отслеживание дебиторской и кредиторской задолженности. Эффективные средства для отчетов и справок, отслеживание любых изменений в системе и отчеты по этим изменениям, всевозможные проверки, согласования, сопоставления данных. Уникальные средства защиты от несанкционированного доступа. Например, пользователь может быть уполномочен для работы только с одним экраном системы. Различные пользователи могут иметь различные полномочия в принятии или непринятии скидок, недоплаты или переплаты, причем каждый из них имеет свой предельный процент или абсолютное значение, выше которого он не имеет право принимать решение. На каждой позиции каждого экрана пользователь может получить помощь с разъяснением каждой операции и рекомендациями по выбору того или иного действия.Повсюду действует механизм сообщений об ошибках, выдаются различные предупреждения и технические рекомендации.Все отчетные периоды архивируются и могут быть в любое время восстановлены. Основные преимущества пакета System 21Пакет одновременно удовлетворяет стандартным требованиям западной деловой практики и российским условиям. Он работает на русском и английском языках. Пакет удовлетворяет самым строгим стандартам для ПО, в частности, стандартам IBM, и легко настраивается на взаимодействие с другими программными продуктами. Пакет полностью поддерживается российской компанией Системы 21 (ComputerLand), и если в этом возникнет необходимость - компанией JBA. Пакет имеет открытую внутреннюю структуру, и специалисты Заказчика могут быть обучены для сопровождения пакета, если такое решение будет принято администрацией Заказчика.

6. Рынок систем обнаружения компьютерных атак

Обнаружение сетевых атак - Snort

Программные комплексы, контролирующие содержимое трафика, называются сетевыми системами обнаружения вторжения. Они функционируют на сетевом уровне по модели OSI и проводят контроль устанавливаемых соединений, анализ структуры и содержимого сетевых пакетов.

Программные комплексы, контролирующие содержимое трафика, называются сетевыми системами обнаружения вторжения (Network Intrusion Detection System, сокращенно -- NIDS). Они функционируют на сетевом уровне по модели OSI и проводят контроль устанавливаемых соединений, анализ структуры и содержимого сетевых пакетов. Система NIDS анализирует весь проходящий трафик как на отдельном компьютере, так и на выделенном сервере (шлюз, маршрутизатор, зонд). При обнаружении атаки NIDS включает механизм реагирования на данный тип угрозы. Спектр ее возможностей довольно широк: от передачи предупредительных сообщений на рабочую консоль (e-mail, пейджер, телефон, факс) до блокировки учетной записи, разрыва соединения, реконфигурации брандмауэра или маршрутизатора.

Механизм контроля и анализа статистики устанавливаемых соединений позволяет выявить попытку сканирования системы или проведения атаки вида «отказ в обслуживании» (одновременно открывается множество соединений с каким-либо сервисом). Контроль за содержимым трафика реализуется путем поиска определенных последовательностей данных (сигнатур), передаваемых в сетевом пакете. Например, если во время соединения, установленного с Microsoft SQL-сервером, перехвачен пакет, содержащий последовательность данных «81 F1 03 01 04 9B 81 F1 01», а также строки «sock» и «send», то имеет место попытка эксплуатации «переполнения буфера». Это уязвимое место обнаружено в Microsoft SQL Server 2000 Resolution Service и Microsoft Desktop Engine (MSDE) 2000. Хотя она известна довольно давно и уже выпущены специальные программные «заплатки», дебют 25 января 2003 г. сетевого вируса Slammer, использующего его, оказался успешным.

Системы обнаружения вторжения имеют собственную базу знаний, где собраны известные типы сетевых атак. Они также позволяют пользователям разрабатывать и включать новые описания сетевых инцидентов.

Потенциально скользкий момент в работе NIDS -- достоверность определения IP-адреса нападающего. Злоумышленнику несложно имитировать атаку со стороны посторонних хостов. Далее по сценарию развития ситуации NIDS определит IP-адреса из сфальсифицированных злоумышленником сетевых пакетов, и в результате будут предприняты карательные действия против «невиновных» хостов. Для повышения надежности защиты необходимо контролировать всю архитектуру сети, размещая зонды (компьютеры с NIDS) в каждом сегменте сети (рис. 1).

Рис. 1 Схема размещения зондов в сети

Зонд 1 расположен в зоне максимальной потенциальной сетевой опасности. Здесь анализируется весь входящий и исходящий трафик и велика вероятность большого числа ложных срабатываний. При повышенной нагрузке на сеть возможно возникновение такой ситуации, когда NIDS не сумеет обработать весь поток трафика и произойдет огрубление методов анализа, например, за счет уменьшения числа проверяемых сигнатур.

Зонд 2 анализирует серверный трафик. Здесь входящий трафик отфильтрован межсетевым экраном. При корректно настроенном брандмауэре это более безопасная зона сети. Из-за уменьшения величины трафика число ложных срабатываний сокращается. Зонд 2 должен быть настроен с учетом специфики серверов.

Зонд 3 анализирует трафик локальной сети, теоретически являющейся наиболее защищенной зоной. Следует обращать внимание на любую сетевую активность, отличную от обычной. Число ложных срабатываний в этой зоне должно быть наименьшим, и потому следует уделять большее внимание сообщениям зонда 3.

Продолжим знакомство с сетевыми системами обнаружения вторжений на примере проекта Snort.

Проект Snort

В рамках проекта Snort происходят разработка, распространение и поддержка одноименной сетевой системы обнаружения вторжений, предназначенной для мониторинга небольших сетей. Система Snort распространяется свободно в исходных текстах или в откомпилированном двоичном формате при условии соблюдения лицензии GNU GPL (General Public License).

Snort позволяет в режиме реального времени анализировать сетевой трафик, проверяя корректность структуры сетевых пакетов и соответствие содержимого определенным правилам. Для описания сетевых инцидентов и определения реакции системы используется гибкий язык сценариев. Встроенная база знаний позволяет определить распространенные типы сетевых нападений: «скрытое» сканирование (использующее установленные в сетевых пакетах флаги FIN, ASK), сбор баннеров сетевых сервисов (Services & OS fingerprinting), переполнение буфера различных сервисов, атаки, использующие преднамеренное нарушение структуры сетевых пакетов (ping of death), атаки вида «отказ в обслуживании» (DOS). Включено описание множества атак, эксплуатирующих определенные «дыры» в различных сетевых сервисах.

При фиксировании системой Snort описанного сетевого инцидента можно, конфигурируя брандмауэр, предотвратить сетевую атаку или передать предупреждающее сообщение через syslog-сервер, определенный пользовательский файл, Unix-сокет или службу Windows WinPopup.

Система Snort способна работать:

как пакетный "снифер" (анализатор сетевого трафика, аналог tcpdump);

в режиме сохранения информации обо всех переданных и полученных пакетах (удобно для диагностики сети);

в качестве полнофункциональной сетевой системы обнаружения вторжения.

Список поддерживаемых системой Snort операционных систем и аппаратных платформ приведен в табл. 1.

Система обнаружения BlackICE

BlackICE -- специализированное приложение-агент, которое предназначено исключительно для выявления злоумышленников. Обнаружив непрошеного гостя, оно направляет отчет об этом событии управляющему модулю ICEcap, анализирующему информацию, поступившую от разных агентов, и стремящемуся локализовать атаку на сеть.

Впрочем, протестированные продукты трех других производителей тоже неплохо справлялись со своими обязанностями. Так, ПО Intruder Alert компании Axent Technologies больше похоже на инструментарий для специалистов в области информационной безопасности, поскольку оно предоставляет максимальную гибкость в определении стратегий защиты сети. Пакет Centrax производства CyberSafe устроен по принципу «все в одном»: в его составе нам удалось обнаружить средства контроля за системой безопасности, мониторинга трафика, выявления атак и выдачи предупреждающих сообщений. Система eTrust Intrusion Detection корпорации Computer Associates, напротив, особенно сильна функциями контроля за информационной безопасностью и управления стратегиями защиты, хотя и в этом продукте реализованы средства выдачи предупреждений в режиме реального времени, шифрования данных и обнаружения атак.

Хакеры нечасто бесцеремонно вторгаются в вашу сеть с оружием в руках. Вместо этого они предпочитают проверить, надежны ли запоры на задней двери и все ли окна вы закрыли. Они незаметно анализируют образцы трафика, входящего в вашу сеть и исходящего из нее, отдельные IP-адреса, а также выдают внешне нейтральные запросы, адресованные отдельным пользователям и сетевым устройствам.

Для обнаружения этих искусно закамуфлированных врагов приходится устанавливать интеллектуальное ПО детектирования сетевых атак, обладающее высокой чувствительностью. Приобретаемый продукт должен предупреждать администратора не только о случаях явного нарушения системы информационной безопасности, но и о любых подозрительных событиях, которые на первый взгляд кажутся совершенно безобидными, а в действительности скрывают полномасштабную хакерскую атаку.

Нет нужды доказывать, что о всякой активной попытке взлома системных паролей администратор должен быть извещен немедленно. Но предположим, что один из компьютеров сети получил ping-запрос от управляющего приложения pcANYWHERE. Источником такого события может быть как зарегистрированный удаленный пользователь указанного ПО, так и хакер, стремящийся установить связь с незащищенной станцией-клиентом, где инсталлировано приложение pcANYWHERE. В обоих случаях эта ситуация должна быть отмечена для последующего углубленного анализа.

Предупреждения, генерируемые агентами BlackICE, очень конкретны, чтобы не сказать прямолинейны. Вот примеры выдаваемых ими сообщений: «Атака BackOrifice», «Команда ping от pcANYWHERE», «Unix-команда scan». Подобный текст не заставит администратора усомниться в характере зарегистрированного события, а в большинстве случаев и в его важности. Кроме того, продукт позволяет администратору настроить содержание собственных предупреждающих сообщений, но по большому счету в этом нет никакой необходимости.

Весьма полезным свойством разработок Network ICE, а также пакета Intruder Alert компании Axent Technologies является возможность загрузки самых свежих сигнатур хакерских атак с сервера фирмы-производителя: ведь именно сигнатуры позволяют точно идентифицировать злоумышленника. Правда, отыскать интересовавшие нас сигнатуры для ПО Intruder Alert оказалось не так-то просто, зато на сервере корпорации Network ICE мы сразу нашли все что нужно.

По средствам уведомления администратора пальму первенства могли бы разделить упомянутый пакет Intruder Alert и система Centrax производства CyberSafe, однако они превратятся в эффективное средство отражения внешних нападений только после того, как будут определены наборы правил, относящиеся к защите данных, заданы тексты предупреждающих сообщений и сконфигурированы сценарии их выдачи. Другими словами, эти две разработки представляют собой скорее инструментарий для построения собственной системы детектирования сетевых атак. Чтобы в полной мере воспользоваться их возможностями, организация должна иметь в своем штате программистов соответствующей квалификации либо располагать бюджетом, позволяющим заказать подобную работу по схеме аутсорсинга.

Как написано в «Руководстве пользователя» к пакету Intruder Alert, «необходимо выполнить компоновку правил защиты для выявления таких изощренных атак, в которых используются сетевые зонды или SYN-запросы». Приведенная фраза вызвала у нас неподдельное удивление, поскольку упомянутые в ней атаки широко распространены и непонятно, почему средства их выявления надо разрабатывать с нуля.

Несмотря на то что все испытывавшиеся продукты легко инсталлируются, управление системами Intruder Alert и Centrax простым не назовешь. Скажем, если Centrax выдает предупреждающее сообщение неизвестного или неопределенного содержания (а такая ситуация не раз имела место в наших тестах), администратор вряд ли сумеет быстро определить, что же, собственно, произошло, особенно если для уточнения диагноза ему придется обратиться к файлам регистрации событий. Эти файлы отличаются исчерпывающей полнотой, однако разработчики, по-видимому, решили, что обычному человеку достаточно только намекнуть, о чем может идти речь, и характер происходящего будет безошибочно идентифицирован. В регистрационных журналах этой системы присутствуют описания выданных предупреждений, но нет их идентификаторов. Администратор видит адреса портов, к которым относились подозрительные запросы, либо параметры других операций, но не получает никакой информации о том, что же все это может означать.

Отмеченное обстоятельство сильно снижает ценность сообщений, выдаваемых в режиме реального времени, поскольку невозможно сразу сообразить, отражает ли описание события реальную угрозу системе безопасности или это всего лишь попытка провести более тщательный анализ трафика. Иными словами, покупать названные продукты имеет смысл лишь в том случае, если в штате вашей организации есть опытные специалисты по информационной безопасности. Впрочем, фирма CyberSafe, как и ее конкуренты Axent и Network ICE, за отдельную плату оказывает профессиональные консалтинговые услуги в данной области.

Программное обеспечение eTrust Intrusion Detection корпорации Computer Associates представляет собой нечто большее, чем просто систему мониторинга сетевой активности и выявления хакерских атак. Этот продукт способен не только декодировать пакеты различных протоколов и служебный трафик, но и перехватывать их для последующего вывода на управляющую консоль в исходном формате. Система производства CA осуществляет мониторинг всего трафика TCP/IP и предупреждает администратора о случаях нарушения установленных стратегий в области информационной безопасности. Правда, эта разработка не поддерживает такого же уровня детализации наборов правил, как Intruder Alert.

В любом случае продукт Computer Associates не стоит сбрасывать со счетов. Представление захваченных сетевых пакетов в их первоначальном формате позволяет администратору использовать eTrust для чтения электронной почты, просмотра содержимого Web-страниц, которые загружают пользователи на свои компьютеры, и идентификации запрашиваемых ими документов. Все это заметно упрощает наблюдение за подозрительными видами сетевой активности. Однако чтобы достичь подлинного разнообразия типов сетевых атак, выявляемых этим пакетом, администратору придется сначала потратить изрядное количество времени на разработку наборов правил и интеграцию их в систему eTrust Intrusion Detection.

С целью проверить способность каждого из пакетов обнаружить попытку вторжения и дать неприятелю достойный отпор мы попытались сымитировать несколько серьезных хакерских атак на тестовую сеть. Единственными продуктами, сумевшими распознать все предпринятые атаки и сгенерировать соответствующие предупреждения, оказались BlackICE и ICEcap компании Network ICE. Все остальные пропустили отдельные события, представлявшие серьезную угрозу сетевой безопасности, в основном из-за невозможности детально описать стратегии защиты. Например, в ответ на атаку типа BackOrifice программы Centrax и Intruder Alert просто не могли ничего предпринять, поскольку не знали, к какому типу относится возникшая угроза. Эти два продукта оказались особенно сложными в плане конфигурирования, так что нападение типа BackOrifice нам просто не удалось описать. Что же касается упомянутых BlackICE и ICEcap, моделировавшиеся атаки сразу же выявлялись и мы немедленно получали предупреждающие сообщения.

Нельзя не признать, что в конечном счете не все угрозы были опознаны из-за того, что мы не обладали достаточным опытом работы с этими сложными продуктами, ведь после нескольких попыток нам удалось-таки залатать дыры, которые первоначально возникли в системе сетевой защиты. Однако в реальной жизни никто не может позволить себе роскошь второго или третьего «подхода к снаряду», особенно столкнувшись с новым типом несанкционированного доступа, несущего реальную угрозу бизнесу компании. Вот почему мы отдали свои симпатии разработкам фирмы Network ICE: они оказались в состоянии полной боевой готовности сразу после инсталляции.

7. Экономическое обоснование выбранных программно-аппаратных средств защиты

Подсчитаем общие затраты, которые понесет предприятие при построении системы защиты.

К перечисленным выше затратам необходимо еще добавить затраты на обучение персонала (администраторов) работе с аппаратно-программным комплексом и системой обнаружения атак, либо затраты на курсы по повышению квалификации. Однако они не изменят сильно итоговую стоимость, поэтому без учета этих затрат можно сделать вывод о том, что средства, затраченные на систему защиты не превышают установленный предел и полностью соответствуют требованиям защищаемой информации.

Вывод: В результате проведенных данных в этой работе, можно утверждать что сравнивая размеры затрат на информационную безопасность с суммой возможных рисков, можно сделать вывод о том что предложенная нами система защиты информации является оправданной и эффективной

Список использованной литературы

1. Информация о сканере http://www.antivir.ru/main.phtml?/download/xspider

2. Информация о ревизоре сети.http://www.infoline-rk.ru/setevoj-skaner-revizor-seti-versija-2

3. Все о XSpider.http://www.ixbt.com/soft/xspider7.shtml

4. http://www.snort.org/assets/151/Installing_Snort_2.8.6.1_on_Windows_7

5. http://snortgroup.ru/

6. http://www.suritel.ru/cgi-bin/view.pl?cid=1187156006&ProdId=pr75011

7. http://trinixy.ru/user/BlackIce

8. Официальный сайт программы BlackICE http://www.blackice.com/

9. Официальный сайт программы Centrax http://centrax.com/

Размещено на Allbest.ru