3.5.2 Выбор мер и средств защиты информации при проектировании подсистемы контроля физического доступа к элементам испДн

Средства защиты от физического доступа создают препятствия для нарушителей на путях к защищаемым данным, например, на территорию, на которой располагается организация – оператор ПДн, в помещения с аппаратурой, носителями данных и т.п., или обеспечивают контроль доступа.

Средства защиты от физического доступа выполняют следующие основные функции:

1) охрана территории и зданий;

2) охрана внутренних помещений;

3) охрана оборудования и наблюдение за ним;

4) контроль доступа в защищаемые зоны;

5) создание препятствий визуальному наблюдению и подслушиванию;

6) противопожарная защита;

7)блокировка действий нарушителя

Рисунок 3.5 - Состав средств, включаемых в подсистему защиты информации от угроз несанкционированного физического доступа

Для предотвращения проникновения нарушителей на охраняемую территорию применяются следующие технические устройства:

- сверхвысокочастотные (СВЧ), ультразвуковые (УЗ) и инфракрасные (ИК) сигнализационные системы;

- сейсмические, виброакустические, магнитометрические сигнализационные системы и датчики давления;

- лазерные и оптические сигнализационные системы (по прерыванию луча);

- телевизионные (ТВ) системы наблюдения;

- кабельные системы;

- системы защиты окон и дверей;

- биометрические средства контроля доступа.

Для технического контроля доступа к аппаратуре применяют:

- телевизионные системы наблюдения;

- биометрические средства контроля доступа;

- атрибутивные средства контроля доступа;

- средства контроля и сигнализации вскрытия аппаратуры;

- физические средства ограничения доступа (замки, решетки и т.п.).

Кратко рассмотрим некоторые из указанных средств и систем защиты от физического доступа.

3.5.3 Выбор мер и средств защиты информации от сетевых атак

Вопросы защиты информации от сетевых атак являются, как правило, приоритетными для ИСДн, поскольку опасность таких атак постоянно растет. Меры и средства защиты выбираются в соответствии с определенным обоснованным классом защищенности ИСПДн. Типовой состав таких мер и средств приведен на рисунке 3.6.

В первую очередь следует выделить комплекс программных и программно-аппаратных средств разграничения доступа.

Межсетевое экранирование реализуется программными и программно-аппаратными средствами, называемыми межсетевыми экранами (брандмауэрами или средствами FireWall). Межсетевой экран (МЭ) располагается между защищаемой сеть, называемой внутренней, и потенциально враждебной внешней сетью. Организационно он входит в состав защищаемой сети. Для него отдельно задаются правила, ограничивающие доступ из внутренней сети во внешнюю и наоборот.

В общем случае работа МЭ основана на динамическом выполнении двух групп функций:

1) фильтрации проходящих через него информационных потоков;

2) посредничества при реализации межсетевых взаимодействий.

В зависимости от типа экрана эти функции выполняются с различной полнотой. Простые экраны выполняют функции из одной группы или даже одну из функций. Комплексные экраны обеспечивают совместное выполнение указанных функций.

Как правило, на практике используют комплексные МЭ. В зависимости от того, на каком уровне эталонной модели взаимодействия открытых систем (модели OSI) поддерживается безопасность межсетевого взаимодействия, различают следующие виды (классы) экранов: экранирующие маршрутизаторы, шлюзы сеансового уровня, прикладные шлюзы.

Экранирующий маршрутизатор, который называют еще пакетным фильтром, предназначен для фильтрации пакетов сообщений и обеспечивает прозрачное взаимодействие между внутренней и внешней сетями. Он функционирует на сетевом уровне модели OSI, но для выполнения своих отдельных функций может охватывать и транспортный уровень. Решение о том, пропустить и отбраковать данные, принимается для каждого пакета независимо на основе заданных правил фильтрации. Для принятия решения анализируются заголовки пакетов сетевого и транспортного уровня. В качестве анализируемых полей IP- и TCP-заголовков каждого пакета выступают: адрес отправителя; адрес получателя; тип пакета; флаг фрагментации пакета; номер порта источника; номер порта получателя. Первые 4 параметра относятся к IP, а остальные к TCP-заголовку.

При обработке пакета экранирующий маршрутизатор последовательно просматривает заданную таблицу правил, пока не найдет правило, с которым согласуется вся совокупность параметров пакета. Если таковых нет, то пакет отбраковывается.

Шлюз сеансового уровня, называемый еще экранирующим транспортом, предназначен для контроля виртуальных соединений и трансляции IP-адресов при взаимодействии с внешней сетью. Защитные функции относятся к функциям посредничества. Контроль виртуальных соединений заключается в контроле квитирования связи, а также контроле передачи информации по установленным виртуальным каналам. При контроле квитирования шлюз определяет, является запрашиваемый сеанс связи допустимым. Эта процедура состоит из обмена ТСР-пакетами, которые помечаются флагами SYN (синхронизировать) и ACK (подтвердить). Сеанс считается допустимым только в том случае, когда флаги SYN и ACK, а также числа, содержащиеся в заголовках ТСР-пакетов, оказываются логически связанными друг с другом. После того как шлюз определил, что рабочая станция внутренней сети и компьютер внешней сети являются авторизованными участниками сеанса, и проверил допустимость данного сеанса, он устанавливает соединение. Начиная с этого момента шлюз копирует и перенаправляет пакеты туда и обратно, контролируя передачу информации по установленному виртуальному соединению. Он поддерживает таблицу установленных соединений. Когда сеанс завершается, из таблицы удаляется соответствующая запись. Шлюз сеансового уровня обеспечивает трансляцию внутренних адресов сетевого уровня (IP-адресов) при взаимодействии с внешней сетью. При этом IP-адреса пакетов, следующих из внутренней сети во внешнюю, автоматически преобразуются в один IP- адрес, ассоциируемый с экранирующим транспортом. Это исключает прямой контакт между внутренней и внешней сетью. Недостатки у шлюза сеансового уровня такие же, как и у экранирующего маршрутизатора: не обеспечивается контроль и защита содержимого пакетов, не поддерживается аутентификация пользователей и конечных узлов.

На практике большинство шлюзов сеансового уровня не являются самостоятельными продуктами, а поставляются в комплекте со шлюзами прикладного уровня.

Прикладной шлюз, называемый также экранирующим шлюзом, функционирует на прикладном уровне эталонной модели, и обеспечивает наиболее надежную защиту межсетевых взаимодействий. Защитные функции относятся к функциям посредничества, но при этом выполняется значительно большее количество функций, а именно:

- идентификация и аутентификация пользователей при попытке установления соединения через МЭ;

- проверка подлинности информации, передаваемой через шлюз;

- разграничение доступа к ресурсам внутренней и внешней сети;

- фильтрация потоков сообщений на прикладном уровне, а также преобразование потоков сообщений, например, динамический поиск вирусов и прозрачное шифрование информации;

- регистрация событий, реагирование на задаваемые события, а также анализ зарегистрированной информации и генерация отчетов;

- кэширование данных, запрашиваемых из внешней сети.

Важнейшее отличие прикладного шлюза в том, что посреднические программы шлюза связаны с конкретными приложениями (программными серверами конкретных служб TCP/ IP, то есть серверы HTTP, FTP, SMTP, NNTP и др.), которые функционируют в резидентном режиме и реализуют функции экранирования.

Меры и средства аутентификации и идентификации реализуются базовой системой ввода-вывода (BIOS), операционной системой, системой управления базами и хранилищами данных, а также специальными программами разграничения доступа. Следует иметь в виду, что идентификация – это проверка соответствия метки пользователя, технического средства, документа, носителя эталонной метке. Простейшая идентификация основана на проверке условного имени пользователя. Для этого имеется соответствующая программа проверки имен. Метка может вводиться пользователем или наносится на носитель. В последнем случае применяется специальная программа ввода метки и считывания при попытке работы с носителем. Если нужная метка отсутствует, то система сигнализирует о попытке НСД.

Аутентификация – это установление подлинности пользователя. Одним из первых и на сегодня основных приемов программной аутентификации является проверка пользователя по паролю. Соответственно для этого используются программные и программно-аппаратные средства паролирования и сверки паролей, их шифрования и дешифровки. Однако аутентификации – это и проверка подлинности пакета в трафике обмена данными в локальных, корпоративных или глобальных сетях. В сетевых структурах такая проверка особенно важна и ей уделяют особое внимание. Для аутентификации могут использоваться средства биометрической аутентификации по "отпечатку" пальца, по голосу, по почерку и др.

Proxy-серверы и мониторы безопасности являются весьма перспективным направлением развития мер и средств защиты от сетевых атак. В данном случае имеются в виду Proxy-серверы, функции которых отличаются от функций посредничества межсетевого экрана. Такие Proxy-серверы могут решать задачи, например, контроля выполнения правил разграничения, которые должна выполнять, в частности, операционная система или система управления базами данных, при этом доступ реализуется через Proxу-сервер. В отличие от таких серверов мониторы безопасности только контролируют выполнения правил безопасности и инициируют запреты в случае невыполнения установленных правил или выявления иных нарушений, но не реализуют сам доступ.

Меры и средства криптозащиты предназначены для реализации [22]:

- шифрования данных пользователей в хостах сети;

- пакетного шифрования (шифрования пакетов) при передаче по сети;

- криптографического закрытия паролей абонентов;

- электронной цифровой подписи (ЭЦП);

- формирования частных виртуальных сетей.

Шифрование можно проводить как с открытым распределением ключей (асимметричная криптография), так и с закрытым (симметричная криптография). В любом случае используется матрица ключей для связи абонентов сети. Однако в первом случае она вычисляется на базе собственного секретного ключа абонента и базы открытых сертификатов других абонентов. Во втором случае она генерируется заранее.

Из отечественных криптографических систем защиты можно отметить [22] программы CryptonSoft (для абонентского шифрования и ЭЦП), CryptonSign (для ЭЦП), CryptonArcMail (для защиты электронных документов) и т.д. В частности программа CryptonArcMail в стандартной конфигурации включает в себя программу центрального пункта, обеспечивающую регистрацию абонентов, программу абонентского пункта, систему защиты персонального компьютера от несанкционированного доступа, в том числе при необходимости устройство считывания информации со смарт-карт.

Кроме того, к средствам криптографической защиты относятся также специальные средства выработки и распределения ключевой информации и средства гарантированного уничтожения криптографических ключей.

Средства стеганографии предназначены для скрытия факта передачи сообщения по ИСПДн путем встраивания скрываемой информации во внешне безобидные данные (текстовые, графические, аудио- или видеофайлы). В этих средствах реализуются разнообразные методы стеганографического преобразования. Как правило, при описании таких средств применяют понятие "стегосистема", которое характеризует применяемый метод или методы стеганографического преобразования.

Стеганографическая система или стегосистема – это совокупность средств и методов, которые используются для формирования скрытого канала передачи информации, то есть для встраивания скрываемой информации в файлы, называемые контейнерами. Термин "контейнер" является дословным переводом устоявшегося английского термина "container", обозначающего несекретную информацию, которую используют для сокрытия сообщений [24].

Программные средства блокирования несанкционированных действий, сигнализации и регистрации реализуются практическими со всеми подсистемами СЗИ. Это специальные, не входящие в ядро какой-либо операционной системы программные и программно-аппаратные средства защиты самих операционных систем, электронных баз данных и прикладных программ. Они выполняют функции защиты самостоятельно или в комплексе с другими средствами защиты и направлены на исключение или затруднение выполнения опасных для конфиденциальности, целостности или доступности программ действий пользователя или нарушителя. К ним относятся специальные утилиты и программные комплексы защиты, в которых реализуются функции диагностики, регистрации, уничтожения, сигнализации и даже имитации.

Средства диагностики осуществляют тестирование файловой системы и баз данных, постоянный сбор информации о функционировании элементов системы обеспечения безопасности данных. Средства уничтожения предназначены для уничтожения остаточных данных и могут предусматривать аварийное уничтожение данных в случае прямой угрозы НСД, которая не может быть блокирована системой. Средства сигнализации предназначены для предупреждения пользователей при их обращении пользователей к защищенным данным и для предупреждения администратора при обнаружении факта НСД к данным, искажении программных средств защиты, выходе или выводе из строя аппаратных средств защиты и т.п. Средства имитации имитируют работу с нарушителями при обнаружении попытки НСД к защищаемым данным. Имитация позволяет увеличить время на определение места и характера НСД, что особенно важно в территориально распределенных сетях, и "увести" нарушителя в сторону от защищаемых данных.

Средства защита от сбоев, отказов и ошибок включают в себя:

- средства и системы бесперебойного питания;

- средства и системы диагностики;

- программные средства архивирования и резервного копирования;

- программные средства блокирования программ из-за наличия опасных для выполнения этих программ ошибок.

Следует отметить, что в организациях, где уделяется определенное внимание защите информации, средства и системы бесперебойного питания, программные средства архивирования и резервного копирования, как правило, применяют в обязательном порядке. Средства и системы диагностики, если они не включены в сервис операционной системы, применяют в основном специалисты или специализированные фирмы, однако в случае развертывания СЗИ подсистемы контроля и диагностики являются, как правило, составной частью СЗИ.

Программные средства блокирования программ из-за наличия опасных для выполнения этих программ ошибок являются обязательным атрибутом любой грамотно составленной прикладной программы и тем более - операционной системы.

Средства повышения достоверности и обеспечения целостности передаваемых данных и надежности транзакций реализуются преимущественно операционными системами и системами управления базами данных основаны на расчете так называемых контрольных сумм, уведомлении о сбое в передаче пакета сообщения, в повторе передачи не принятого пакета и т.д.

Средства тестирования и контроля (аудита) безопасности информации

В настоящее время таких средств отечественного производства крайне мало.

Средства анализа защищенности исследуют настройки защиты операционных систем на рабочих станциях и серверах, проверяют подверженность атакам злоумышленников сетевого оборудования, контролируют безопасность программного обеспечения. Для этого они исследуют топологию сети, ищут незащищенные или несанкционированные сетевые подключения, проверяют настройки межсетевых экранов. Подобный анализ производится на основании детальных описаний слабостей настроек средств защиты (например, коммутаторов, маршрутизаторов, межсетевых экранов) или уязвимостей операционных систем или прикладного программного обеспечения. В зависимости от того, насколько полно описаны уязвимости и насколько тщательно производится анализ, работа сканера безопасности является более или менее эффективной. Результатом работы средства анализа защищённости является отчёт, в котором обобщаются сведения об обнаруженных уязвимостях. Более того, если сканер содержит адаптивный компонент, то устранение найденной уязвимости может быть осуществлено автоматически.

Однако в классическом случае сканер безопасности только формирует отчёт, который направляется администратору безопасности и содержит описание выявленных уязвимостей, а также инструкции по их устранению. Средства обнаружения уязвимостей могут функционировать на сетевом уровне (в этом случае они называются "network-based"), уровне операционной системы («host-based») и уровне приложения ("application-based"). Применяя сканирующее программное обеспечение, можно быстро составить карту всех доступных узлов корпоративной сети, выявить используемые на каждом из них сервисы и протоколы, определить их основные настройки и сделать предположения относительно вероятности реализации НСД (как изнутри корпоративной сети, так и снаружи). По результатам процедуры сканирования средства вырабатывают рекомендации и пошаговые меры, позволяющие устранить выявленные недостатки.

Как и любая другая программная (или аппаратная) система, сканер безопасности работает в соответствии с предварительно заданными параметрами. Важной с точки зрения эффективности его работы является база данных уязвимостей. Она содержит описания известных уязвимостей, способов их обнаружения и исправления. В этом смысле системы анализа защищённости подобны антивирусным системам или сигнатурным системам обнаружения атак, которым для эффективной работы также необходимо постоянно обновлять "базу знаний" (сигнатур вирусов или вторжений соответственно). Периодический контроль (аудит) любой информационной системы необходим потому, что ИСПДн является постоянно изменяющейся структурой. Появляются новые серверы и рабочие станции, обновляется программное обеспечение и его настройки, изменяется состав информации, меняются люди, работающие в организации и т.д.

Описанные меры и средства защиты по мере необходимости включаются в состав СЗИ при ее проектировании. Их выбор, как правило, направлен на обеспечение эшелонированной защиты от сетевых атак, включающей в себя несколько рубежей защиты:

- по периметру сети (межсетевое экранирование, криптографическая защита трафика);

- на уровне сервера сети (разграничение доступа к хостам, к сетевым ресурсам и контроль такого разграничения, идентификация и аутентификация, шифрование данных, контроль целостности, антивирусный контроль, обнаружение сетевых атак, резервирование, защита системных файлов операционной системы, регистрация и аудит безопасности) с применением как средств операционной системы, СУБД, так и специальных средств и систем защиты типа Dallas Lock, "Снег-1.0", "Снег-ЛВС";

- защита на уровне хоста - рабочей станции (примерно такой же перечень, как и для сервера, но с учетом того, что в ней реализуются в основном меры и средства клиентской части операционной системы (если не рассматривать вопросы физического доступа);

- защита на уровне архитектуры процессора (как правило, с использованием специального монитора безопасности, функционирующего на этом уровне, – "параллельного ядра" операционной системы).