[ «Методы и модели оценки инфраструктуры системы защиты информации в корпоративных сетях промышленных предприятий Монография Санкт-Петербург 2012 1 УДК 004.056 ББК 32.81 К-68 Рецензент: Доктор физико-математических наук, ...»
— распределенными (рассредоточены на некоторой в общем случае неограниченно большой территории).
2. Информационные серверы промышленного предприятия, предназначенные для хранения и обработки информационных массивов (баз данных) различного функционального назначения. Они также могут быть сосредоточенными, либо распределенными на большой территории предприятия.
3. Средства телекоммуникации, обеспечивающие взаимодействие рабочих станций и обмен с информационным серверами. Средства телекоммуникации в рамках промышленного предприятия могут быть:
— выделенными (арендованными), являющимися принадлежностью промышленного предприятия;
— общего назначения (существующие вне промышленного предприятия сети связи, средства которых используются предприятием). Это, как правило, средства существующих инженерных сетей и коммуникаций общего пользования.
4. Телеслужбы. В рамках промышленного предприятия информационное воздействие может быть реализовано в рамках одной (телефония, телетекст, видеотекст, телефакс), либо нескольких служб (интеграция служб), что должно обеспечиваться соответствующими средствами телекоммуникации и абонентскими окончаниями.
5. Система управления эффективностью функционирования корпоративной сети. В зависимости от реализуемого набора служб в КС должны использоваться свои средства управления сетью, в частности средства маршрутизации и коммутации; средства администрирования, реализуемые с целью эффективного использования сетевых ресурсов.
По возможности управления функциональными элементами КС подразделяются на:
— управляемые в рамках промышленного предприятия функциональные элементы (собственные или дополнительно вводимые в рамках КС средства);
— не управляемые в рамках промышленного предприятия функциональные элементы (в частности, маршрутизаторы и коммутаторы), являющиеся принадлежностью используемых предприятием инженерных подсетей общего пользования.
6. Система управления безопасностью функционирования корпоративной сети. В КС должны быть реализованы необходимые сетевые службы безопасности, в которых используются средства безопасности.
7. Система обеспечения надежности корпоративной сети. В КС предприятия должны быть предусмотрены средства обеспечения работоспособности всей сети или ее фрагментов при отказах отдельных элементов сети.
8. Система диагностики и контроля. В рамках КС должны быть предусмотрены:
— подсистема контроля работоспособности отдельных функциональных элементов КС;
— подсистема сбора информации об отказах и сбоях в КС;
— подсистема предоставления элементам КС информации об отказах для обеспечения живучести КС;
— подсистема управления эффективностью функционирования КС;
— подсистема управления безопасностью эксплуатации КС.
Для КС должны быть разработаны средства диагностики, реализуемые как в процессе функционирования сети, так и профилактически.
9. Система эксплуатации. Помимо перечисленных функциональных элементов, КС должны иметь программу процесса собственного развития, в значительной мере определяющую закладываемые в нее функциональные возможности (в частности, на уровне протоколов взаимодействия сетевых компонентов и возможности их интеграции).
Таким образом, классификация КС осуществляется по следующей системе признаков:
— по набору функциональных элементов, входящих в состав КС;
— по иерархии управления, принятой в КС;
— по набору (типу и количеству) объединяемых в рамках КС подсетей общего пользования;
— по набору (типу и количеству) реализуемых в рамках корпоративной сети телеслужб.
5.3. Система управления безопасностью корпоративной сети Система обеспечения безопасности КС должна иметь многоуровневую структуру и включать следующие уровни:
— уровень защиты автоматизированных рабочих мест (АРМ);
— уровень защиты локальных сетей и сетевых серверов;
— уровень защиты КС.
На уровне защиты АРМ должна осуществляться идентификация и аутентификация пользователей операционной системы. Должно осуществляться управление доступом: предоставление доступа субъектов к объектам в соответствии с матрицей доступа, выполнение регистрации и учета всех действий субъекта доступа в журналах регистрации. Должна быть обеспечена целостность программной среды, периодическое тестирование средств защиты информации. Рекомендуется обеспечение защиты КС сертифицированными средствами защиты от несанкционированного доступа. Такие средства защиты должны обладать возможностью удаленного администрирования и настройки.
Уровень защиты локальных сетей и сетевых серверов должен обеспечивать:
— идентификацию пользователей и установление подлинности доступа в систему, к компонентам;
— защиту аутентификационных данных;
— установление подлинности при доступе к серверам;
— пропуск аутентификационной информации от одного компонента до другого без переустановки подлинности доступа.
Механизмы защиты должны быть способны создавать, обслуживать (поддерживать) и защищать от модификации или неправомочного доступа аутентификационную информацию и матрицу доступа к объектам.
Должна также осуществляться регистрация следующих событий:
— использование идентификационных и аутентификационных механизмов;
— действия пользователей с критическими объектами;
— уничтожения объектов;
— действия, предпринятые операторами и администраторами системы и/или диспетчерами системы безопасности;
— другие случаи обеспечения безопасности.
Параметры регистрации:
— дата и время события;
— пользователь;
— тип случая в соответствии с таблицей классификации событий;
— успешная или неуспешная транзакция.
Для идентификации/аутентификации дополнительно отслеживается происхождение запроса (например, локальная или сетевая аутентификация).
Для случаев уничтожения объектов и доставки информации в место адреса пользователя — название объекта.
Администратор системы должен быть способен выборочно контролировать действия любого пользователя или группы пользователей на основании индивидуальной идентичности.
Средства защиты информации должны иметь модульную структуру, а каждый модуль должен поддерживать область памяти для собственного выполнения. Для каждого модуля СЗИ, каждого компонента СЗИ, разделенного в КС, должна обеспечиваться изоляция ресурсов, нуждающихся в защите так, чтобы они подчинялись контролю доступа и требованиям ревизии. Должно осуществляться также периодическое тестирование правильности функционирования аппаратных средств, микропрограммных элементов СЗИ, программного обеспечения СЗИ.
При разделении СЗИ должна обеспечиваться возможность сообщения административному персоналу КС об отказах, ошибках, попытках несанкционированного доступа, обнаруженных в разделенных компонентах СЗИ. Протоколы, осуществленные в пределах СЗИ, должны быть разработаны так, чтобы обеспечивалось правильное функционирование СЗИ в случае отказов (сбоев) КС или ее индивидуальных компонентов.
Механизмы безопасности должны быть проверены и функционировать в соответствии с требованиями технической документации.
Уровень защиты КС должен гарантировать:
— целостность передачи информации от ее источников до адресата:
— целостность коммуникационного поля;
— невозможность отказа партнеров по связи от факта передачи или приема сообщений;
— безотказность в предоставлении услуг:
— непрерывность функционирования;
— устойчивость к атакам типа «отказ в обслуживании»;
— защищенность протокола передачи данных;
— защиту от несанкционированного раскрытия информации:
— сохранение конфиденциальности данных с помощью механизмов шифрования;
Средства защиты должны обеспечивать:
— конфиденциальность содержания (отправитель должен быть уверен, что никто не прочитает сообщения, кроме определенного получателя);
— целостность содержания (получатель должен быть уверен, что содержание сообщения не модифицировано);
— целостность последовательности сообщений (получатель должен быть уверен, что последовательность сообщений не изменена);
— аутентификацию источника сообщений (отправитель должен иметь возможность аутентифицироваться у получателя как источник сообщения, а также у любого устройства передачи сообщений, через который они проходят);
— подтверждение доставки (отправитель может убедиться в том, что сообщение доставлено неискаженным нужному получателю);
— подтверждение подачи (отправитель может убедиться в идентичности устройства передачи сообщения, на которое оно передано);
— безотказность источника (позволяет отправителю подтвердить получателю, что переданное сообщение принадлежит ему);
— безотказность поступления (позволяет отправителю сообщения получить от устройства передачи сообщения, на которое оно поступило, подтверждение того, что сообщение поступило на это устройство для доставки определенному получателю);
— безотказность доставки (позволяет отправителю получить от получателя подтверждение получения им сообщения);
— управление контролем доступа (позволяет двум компонентам системы обработки сообщений установить безопасное соединение);
— защиту от попыток расширения своих законных полномочий (на доступ, формирование, распределение и т.п.), а также изменения полномочий других пользователей;
— защиту от модификации программного обеспечения путем добавления новых функций.
5.4. Современные технологии защиты корпоративных сетей В настоящее время одним из основных средств защиты КС на промышленном предприятии являются межсетевые экраны (МЭ).
МЭ называют локальное или функционально распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в КС и/или выходящей из КС.
МЭ — основное название, но также встречаются общепринятые названия брандмауэр и firewall (англ. огненная стена). В строительной сфере брандмауэром (нем. brand – пожар, mauer – стена) называется огнеупорный барьер, разделяющий отдельные блоки в многоквартирном доме и препятствующий распространению пожара. МЭ выполняет подобную функцию для КС.
По определению МЭ служит контрольным пунктом на границе двух компьютерных сетей. В самом распространенном случае эта граница лежит между внутренней сетью промышленного предприятия организации и внешней сетью, обычно сетью Интернет. Однако в общем случае, МЭ могут применяться для разграничения внутренних подсетей КС промышленного предприятия.
Задачами МЭ являются:
— контроль всего трафика, входящего во внутреннюю КС.
— контроль всего трафика, исходящего из внутренней КС.
Контроль информационных потоков состоит в их фильтрации и преобразовании в соответствии с заданным набором правил. Поскольку в современных МЭ фильтрация может осуществляться на разных уровнях эталонной модели взаимодействия открытых систем (ЭМВОС, OSI), МЭ удобно представить в виде системы фильтров. Каждый фильтр на основе анализа проходящих через него данных, принимает решение — пропустить «дальше» (перебросить за экран), блокировать или преобразовать данные.
Неотъемлемой функцией МЭ является протоколирование информационного обмена. Ведение журналов регистрации позволяет администратору выявить подозрительные действия, ошибки в конфигурации МЭ и принять решение об изменении правил МЭ.
В настоящее время обычно выделяют следующую классификацию МЭ в соответствие с их функционированием на разных уровнях МВОС (OSI):
— мостиковые экраны (2-ой уровень OSI);
— фильтрующие маршрутизаторы (3-ий и 4-ый уровни OSI);
— шлюзы сеансового уровня (5-ый уровень OSI);
— шлюзы прикладного уровня (7-ой уровень OSI);
— комплексные экраны (3-7-ой уровни OSI).
5.5. Внутренние злоумышленники в корпоративных сетях Вопреки распространенному мнению о том, что основную опасность для промышленного предприятия представляют внешние нарушители, действующие из сети Интернет, реальная угроза современному предприятию исходит от внутренних нарушителей. По многочисленным исследованиям около 70-80% всех нарушений в корпоративной среде приходится на долю внутренних нарушителей.
Нарушителем в общем смысле является лицо, по ошибке, незнанию или осознанно предпринявшее попытку выполнения запрещенных операций и использующее для этого различные возможности, методы и средства. Внутренний нарушитель представляет собой легитимного сотрудника организации, имеющего определенный доступ к ее информационным ресурсам. Причем, причинами нарушений внутри организации могут быть как ошибки персонала, так и умышленные действия с их стороны. Таким образом, согласно общемировой статистике на долю внутренних нарушителей, умышленно совершающих противоправные действия, приходится около 20% всех инцидентов в организации, в то время как внешние нарушители виноваты только в 5% подобных случаев.
В отечественной и зарубежной компьютерной литературе применяется различная терминология в отношении компьютерных преступников. Отсутствие единой классификации часто приводит к путанице. Так, «хакером» (hacker) чаще всего называют именно компьютерных злоумышленников, а иногда — высококвалифицированных компьютерных специалистов. Последних иногда называют «белыми шляпами» (white-hats), в отличие от «черных шляп», целью которых является нанесение вреда системе. Также часто используются понятия кракер (cracker), kid-hacker, spy и т.д. Наиболее полная классификация приведена в [83]. Во избежание путаницы здесь и далее применяются термины «нарушитель» и «злоумышленник» (intruder), для обобщенного обозначения лиц, умышленно совершающих нарушения в КС.
Таким образом, нарушители могут быть разбиты на две категории:
— outsiders (англ. чужой, посторонний) — это нарушители из сети Интернет, которые атакуют внутренние ресурсы КС (удаление информации на корпоративном web-сервере, пересылка спама через почтовый сервер и т.д.) и которые обходят МЭ и СЗИ для того, чтобы проникнуть во внутреннюю КС. Злоумышленники могут атаковать из Интернет, через модемные линии, через физическое подключение к каналам связи или из сети партнеров (поставщиков, заказчиков, дилеров и т.д.);
— insiders (англ. свой, хорошо осведомленный человек) — это лица, которые находятся внутри КС, и имеют определенный доступ к корпоративным серверам и рабочим станциям. Они включают пользователей, неправильно использующих свои привилегии, или исполняющих роль привилегированного пользователя (например, с привилегированного терминала). Эти люди изначально находятся в преимущественном положении, чем outsiders, поскольку они уже владеют конфиденциальной информацией о предприятии, недоступной для внешних нарушителей. В отличие от внешних нарушителей, для которых в общем случае атакуемая КС изначально представляет «черный ящик», внутренние нарушители — это люди, которые знают как работает промышленное предприятие, и понимают как использовать «слабости» в инфраструктуре системы безопасности предприятия.
Таким образом, проблема защита от внутренних нарушителей является наиболее актуальной и менее исследованной. Если в обеспечении защиты от внешних нарушителей уже давно выработаны устоявшиеся подходы (хотя развитие происходит и в этом направлении), то методы противодействия внутренним нарушителям в настоящее время имеют много нерассмотренных аспектов.
В частности, отсутствует четкая классификация методов и средств, используемых внутренними нарушителями.
Кроме того, по причине недостаточного серьезного отношения руководства предприятий к ИБ, недобросовестным сотрудникам предоставляются широкие возможности несанкционированного доступа к информации, составляющей коммерческую тайну и имеющей реальную или потенциальную экономическую ценность.
Для эффективного функционирования промышленного предприятия необходимо, чтобы на предприятии имелась общая стратегия развития СЗИ и четкие должностные инструкции каждому сотруднику.
Следующим организационным документом должна быть политика безопасности промышленного предприятия, в котором изложены принципы организации и конкретные меры по обеспечению информационной безопасности предприятия.
Классификационный раздел политики безопасности описывает имеющиеся на предприятии материальные и информационные ресурсы и необходимый уровень их защиты. В штатном разделе приводятся описания должностей с точки зрения ИБ.
Раздел, описывающий правила разграничения доступа к корпоративной информации, является ключевым для определения полномочий сотрудников предприятия.
Любое нарушение легальным сотрудником политики безопасности организации автоматически переводит его в разряд внутреннего нарушителя. Подобные действия можно квалифицировать как умышленные и неумышленные.
Неумышленные действия вызваны недостатком квалификации пользователей и не рассматриваются, т.к. квалификация персонала находятся в области профессиональной компетентности сотрудников предприятия и определяется требованиями при их приеме на работу.
Умышленные действия различаются по целям: направленные на получение конфиденциальной информации вне рамок основной деятельности и связанные с нарушением распорядка работы. Однако исследование, проведенное компанией Gartner Group, показало [84], что 85% современных компаний не имеют ни концепции, ни политики безопасности.
Таким образом, для большинства промышленных предприятий внутреннего нарушителя нельзя определить как лицо, нарушающее политику безопасности, так как последняя на предприятии просто отсутствует. Поэтому в подобном случае внутренним нарушителем, действующим умышленно, следует считать сотрудника организации, предпринимающего направленные попытки получения, изменения или уничтожения конфиденциальных данных предприятия вне рамок основной своей деятельности на предприятии. Примерами таких действий могут быть:
— несанкционированный доступ к данным о клиентах и сотрудниках организации вне рамок основной деятельности сотрудника предприятия;
— попытки изменения статуса пользователя на предприятии;
— попытки подбора паролей в защищенные приложения, области дискового пространства;
— умышленные действия, связанные с попытками изменения информационного наполнения СЗИ;
— умышленные действия, направленные на деструкцию системы защиты информации;
— внедрение аппаратных и программных «закладок и вирусов», позволяющих преодолевать систему защиты предприятия, скрытно и незаконно осуществлять доступ к системным ресурсам корпоративной сети.
Наиболее часто на предприятии имеют место случаи, когда нарушитель по уровню возможностей в СЗИ относится к 3-му уровню. Третий уровень определяется возможностью управления функционированием автоматизированных систем, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования. Четвертому, и самому высокому, уровню соответствует системный администратор или администратор безопасности, чьи возможности в системе максимальны. По образному выражению одного из экспертов по информационной безопасности компании ISS, сетевой администратор — это «серый кардинал» компании, которому доступна практически вся информация в организации.
Необходимо отметить, что на своем пользовательском уровне нарушитель является специалистом высшей квалификации, знает все о КС и, в частности, о средствах ее защиты. Данное предположение позволяет более адекватно оценивать возможные угрозы. Например, в компаниях, занимающихся предоставлением услуг информационной безопасности, большинство сотрудников являются квалифицированными техническими специалистами.
При создании модели нарушителя и оценке риска потерь от действий персонала необходимо дифференцировать всех сотрудников по их возможностям доступа к системе и, следовательно, по потенциальному ущербу от каждой категории пользователей. Например, программист может нанести несравненно больший ущерб, чем обычный пользователь (секретарь).
Ниже приводится примерный список персонала типичной корпоративной сети предприятия и соответствующая оценка риска от несанкционированных действий каждого из них [85]:
1. Наибольший риск:
— сетевой администратор;
— администратор безопасности.
2. Повышенный риск:
— оператор системы;
— оператор ввода и подготовки данных;
— менеджер обработки;
— системный программист.
3. Средний риск:
— инженер системы;
— менеджер программного обеспечения.
4. Ограниченный риск:
— прикладной программист;
— инженер или оператор по связи;
— администратор баз данных;
— инженер по оборудованию;
— оператор периферийного оборудования;
— библиотекарь системных носителей;
— пользователь-программист;
— пользователь-операционист.
5. Низкий риск:
— инженер по периферийному оборудованию;
— библиотекарь магнитных пользователей;
— пользователь сети.
Каждый из перечисленных пользователей в соответствии со своей категорией риска может нанести больший или меньший ущерб СЗИ предприятия.
Данная классификация не учитывает мотивацию сотрудников, побуждающую их совершать противоправные действия. Однако следует заметить, что чаще всего причинами нарушений являются: работа на компанию-конкурента, любопытство, «месть» руководству организации.
5.6.1. Противодействие пассивным методам воздействия Данная угроза осуществима в компьютерных сетях, построенных как на основе концентраторов информации, так и на основе коммутаторов. Однако в каждом случае реализация угрозы имеет свои особенности.
Для прослушивания сетевого трафика в сети предприятия, построенной на основе концентраторов злоумышленнику достаточно запустить на своем компьютере программу-сниффер и анализировать проходящие пакеты информации. Поскольку данная атака носит пассивный характер (нет непосредственного воздействия на СЗИ), то обнаружить ее достаточно тяжело. В общем случае задача обнаружения пассивной атаки трудноосуществима, поскольку программыснифферы только собирают пакеты, и не передают (не внедряют) никакой информации. Однако в ряде практических случаев это возможно. Существуют методы определения наличия запущенной программы-сниффера в локальной сети, в частности, метод Пинга, метод ARP, метод DNS и метод ловушки [86].
Наконец, самым радикальным решением задачи обеспечения информационной безопасности предприятия является использование специальных средств, когда перехват сетевого трафика бессмыслен. Для этого необходимо применить механизмы шифрования. Но замена всех небезопасных протоколов не всегда возможна. Более практичным является шифрование всего трафика на 3-м уровне модели OSI, используя протокол IPSec. При этом окажутся защищенными и все протоколы прикладного уровня — POP3, SMTP, FTP и т.д. В частности, поддержка этого протокола в ОС семейства Windows реализована начиная с версии Windows 2000. Таким образом, клиенты с Windows NT4/9x/ME использовать данный протокол не могут. Однако существуют средства шифрования альтернативных разработчиков. Их применение может повысить защиту сети предприятия на должный уровень.
5.6.2. Противодействие активным методам воздействия Противодействовать активным воздействиям злоумышленников, как внутренних, так и внешних, призваны межсетевые экраны и системы обнаружения атак (СОА). Поскольку применение МЭ и СОА рассматривается в контексте противодействия внутренним нарушителям, интерес представляют персональные МЭ и СОА уровня сети и хоста.
Обнаружение сканирования. Само по себе сканирование сети не является чем-то незаконным. С мнениями отечественных экспертов по данному вопросу можно ознакомиться в работе [87]. Однако, если сканирование со стороны внешней, по отношению к КС, как показывает практика — обыкновенное явление, то сканирование компьютеров из внутренней сети — безусловно, инцидент безопасности, требующий незамедлительной реакции со стороны сетевого администратора или администратора безопасности. Обнаружить следы сканирования можно, изучая журналы регистрации МЭ. Однако такой подход не позволяет своевременно реагировать на подобные инциденты. Поэтому современные МЭ имеют модули (plug-in), позволяющие обнаружить атаки и сканирование в режиме реального времени, также как это сделано в СОА. Некоторые сканеры уязвимостей используют оригинальные методы, позволяющие производить сканирование максимально скрытно. Например, в одном из лучших сетевых сканеров Nmap существуют возможности, позволяющие значительно затруднить обнаружение сканирования для СОА:
— возможность задавать временные параметры сканирования (интервалы между пакетами). Для выявления такого сканирования необходимо проанализировать пакеты за значительный промежуток времени;
— возможность задавать группу ложных хостов, с которых якобы производится сканирование, для сокрытия реального IP-адреса злоумышленника.
Данная функция особенно опасна, т.к. в качестве ложных хостов могут быть указаны хосты легальных сотрудников, что значительно затруднит обнаружение настоящего нарушителя.
Решением, парирующим подобные методы сканирования, может быть использование сетевых СОА, либо периодическое изучение журналов регистрации МЭ.
Противодействие эксплойтам. Как показали эксперименты, МЭ и СОА, установленные на атакуемой системе, в ряде случаев не в состоянии отразить действие эксплойтов. Для успешного отражения атак эксплойтов средства защиты необходимо периодически обновлять, поскольку механизм обнаружения вторжений основан на распознавании сигнатур уже известных атак. В настоящее время существуют проекты, способные по заверениям разработчиков, отражать неизвестные атаки. Практика показывает, что они чаще всего не эффективны.
Противодействие троянским программам, сетевым червям и вирусам.
Эффективным методом противодействия трем данным видам угроз является использование антивирусных средств, работающих в режиме реального времени (мониторов). Для выявления троянских программ существует специализированное ПО (например, Tauscan от Agnitum), однако, как показывает практика, современные антивирусы успешно обнаруживают и всевозможные троянские программы.
Дополнительным препятствием для троянских программ является персональный МЭ. При попытке программы — троянского коня осуществить выход в сеть, МЭ в соответствии с настроенными правилами его работы, либо блокирует данное обращение, либо выведет уведомление для текущего пользователя.
Виртуальные ловушки. Интересным подходом к выявлению внутренних нарушителей является использование «виртуальных ловушек». «Виртуальные ловушки» — honeypots («горшочек меда»), появились сравнительно недавно.
Основная цель таких ловушек: стать приманкой для злоумышленника, принять атаку, сканирование и быть «взломанной» им.
Популярные виртуальные ловушки KFSensor и NFR Back Officer Friendly (BOF) способны эмулировать работу различных сервисов. Например, возможна эмуляция FTP-сервера, POP3-сервера, SMTP-сервера, TELNET-сервера, HTTPсервера, SQL-сервера и многих других, в том числе серверной части троянской программы BackOrifice.
При любой попытке доступа к данной службе выдается оповещение для администратора и протоколирование всей активности. Имеется также возможность извещения администратора через электронную почту.
KFSensor также предлагает разную степень эмуляции служб — от простой до максимально правдоподобной.
В качестве виртуальной ловушки можно использовать эмуляцию полноценного компьютера со своей ОС. Такая эмуляция осуществляется с использованием специального ПО — виртуальной машины. Наиболее известными продуктами из данной категории являются VMWare Workstation и Microsoft Virtual PC. Данные программы позволяют запускать на одном физическом компьютере множество ОС, полностью эмулируя их работу.
Осуществляется поддержка разных версий Windows и Linux. Таким образом, механизм подготовки виртуальной ловушки заключается в установке ОС, выделении ей IP-адреса из диапазона адресов корпоративной сети и присвоение имени. Имя можно подобрать так, чтобы в первую очередь привлечь внимание потенциального нарушителя, например, mailserver или domain. Возможно эмулирование некоторых сервисных служб на виртуальной ловушке. Причем для эмуляции можно воспользоваться KFSensor или BOF. Эмулируемую систему можно намеренно оставить уязвимой для применения эксплойтов с целью проникновения злоумышленника.
Анализ действия злоумышленника позволит определить что это — простое любопытство пользователя или направленная атака, а также точно установить его вину и объекты его интересов. Таким образом, применение виртуальных ловушек для защиты КС от внутренних нарушителей рекомендуется осуществлять следующим образом:
1. Разместить ловушки, эмулирующие сервисы, на рабочих машинах администраторов и начальников вместе с рабочими сервисами.
2. Создать специальные сервера, полностью имитирующие уязвимые для атаки компьютеры.
3. Определить данные о «польстившихся на легкую добычу» в сети. Часто менять имитацию уязвимых мест в сервисах.
Рекомендации по усилению защиты корпоративных сетей от внутренних нарушителей. На основании рассмотренных угроз и методов защиты можно сформулировать рекомендации, цель которых — снизить вероятность угроз, исходящих от внутренних нарушителей:
1. Рекомендуется заменить все имеющиеся в сети концентраторы на коммутаторы. Это позволит усложнить несанкционированное «прослушивание»
трафика. Если позволяют финансовые возможности, установить «интеллектуальные» управляемые коммутаторы, обладающие расширенными возможностями в плане безопасности, например, функцией port-security.
2. При использовании корпоративной почты рекомендуется задействовать механизмы шифрования, например, S/MIME или POP3S. Рекомендуется ограничить пользователям доступ к бесплатным электронным ящикам в Интернет.
3. Администраторам рекомендуется постоянно держать запущенными две программы: утилиту обнаружения атаки ARP-spoofing и программу-сниффер, например, Cain, запущенные на маршрутизаторе или МЭ. Использование программы-сниффера позволит увидеть компьютерную сеть глазами потенциального нарушителя, выявить нарушителей политики безопасности.
4. Рекомендуется периодически анализировать защищенность КС, используя сканеры уязвимостей.
5. Рекомендуется использовать шифрование сетевого трафика на прикладном, а лучше на сетевом уровне. Рекомендуется использовать протокол IPSec.
6. Рекомендуется установить ПО, препятствующее запуску других программ, кроме назначенных администратором исходя из принципа: «Любому лицу предоставляются привилегии, необходимые для выполнения конкретных задач, но не более». Все неиспользуемые порты ввода-вывода компьютера должны быть аппаратно или программно дезактивированы. Это позволит значительно снизить вероятность угроз, осуществимых с рабочих станций пользователей (большинству программ-снифферов для работы необходимо установить специальный драйвер).
7. Для уменьшения риска угрозы расшифрования паролей рекомендуется:
— активизация опции политики безопасности Windows «Password must meet complexity requirements»;
— установка минимальной длины пароля в Windows 20 символов;
— периодическая смена паролей;
— обучение пользователей надежно хранить пароли.
8. Рекомендуется установить всем пользователям на их рабочих станциях пользовательские права.
9. Рекомендуется своевременное обновление всего ПО — для ОС, СОА, МЭ, антивирусного ПО, что значительно снижает риск использования эксплойтов, проникновения троянских программ, сетевых червей, вирусов.
10. Рекомендуется использование на рабочих местах (и на серверах) комплекта средств защиты — МЭ, СОА, антивирусное ПО. Лучше и удобнее, когда все составляющие ПО будут от одного производителя программного обеспечения, например, Symantec или Kaspersky. Если для предприятия такое обновление и приобретение оказывается неоправданным, можно обратится к ПО с открытыми исходными кодами — например, Snort. Есть также и бесплатные антивирусные программы.
11. Важным элементом снижения возможного ущерба является процедура регулярного резервного копирования важной информации (backup).
12. Рекомендуется разработка стратегии безопасности КС, контроля, архитектуры, политики, стандартов, процедур и руководящих указаний, определяемых и внедряемых с учетом возможности атак умного, рационального недоброжелателя, имеющего намерение навредить данной компании.
13. Рекомендуется установить ответственность и привилегии таким образом, чтобы не допустить частных лиц или группу вступивших в сговор частных лиц к неправомерному управлению процессами по методу составных ключей, что может привести к серьезному ущербу и потерям.
14. Все незанятые слоты (порты, разъемы) компьютеров рекомендуется опечатать, отключить физически и программно. Это позволит снизить вероятность угрозы использования личных съемных носителей информации, таких как флэш-память и USB-винчестеры, а также предотвратит несанкционированное подключение модема.
Согласно результатам исследования компании Ibas, проведенного в январе 2004 года, 70% сотрудников воруют конфиденциальную информацию с рабочих мест. Больше всего с работы уносят такие вещи, как книги электронных адресов, базы данных клиентов, а также коммерческие предложения и презентации. И, более того, 72% опрошенных «не страдают этическими проблемами», считая, что имеют законные права на нематериальное имущество компании. С другой стороны, согласно существующей статистике, в коллективах людей, занятых той или иной деятельностью, как правило, только около 85% являются вполне лояльными (честными) сотрудниками, а остальные 15% подразделяются примерно так: 5% — могут совершить что-нибудь противоправное, если, по их представлениям, вероятность заслуженного наказания мала; 5% — готовы рискнуть на противоправные действия, даже если шансы быть уличенным и наказанным складываются 50% на 50%; 5% — готовы пойти на противозаконный поступок, даже если они почти уверены в том, что будут уличены и наказаны.
Такая статистика в той или иной мере может быть применима к коллективам, участвующим в разработке и эксплуатации информационно-технических составляющих компьютерных систем. Таким образом, можно предположить, что не менее 5% персонала, участвующего в разработке и эксплуатации программных комплексов, способны осуществить действия криминального характера из корыстных побуждений, либо под влиянием каких-нибудь иных обстоятельств.
И только в последнее время компании, специализирующиеся на разработке средств защиты, осознали необходимость в разработке средств защиты от внутренних нарушителей. Одну из первых систем подобного рода выпустила отечественная компания «Праймтек» в конце 2003 года. Система предназначена для контроля политики безопасности организации.
Ярким примером актуальности проблемы защиты от внутренних нарушителей являются конфиденциальные базы данных по владельцам недвижимости, движимого имущества, телефонам, сводкам по криминалу и антикриминалу и многие другие, распространяемые нелегально на специализированных рынках в Москве и Санкт-Петербурге и др. городах, а также через Интернет. Эти базы похищаются недобросовестными сотрудниками, бороться с которыми власти пытаются организационными мерами. Важно, что во многих организациях недооценивают опасность, исходящую от внутренних нарушителей. Как показало исследование, проведенное журналом eWeek, 57% респондентов и не полагали, что угрозы изнутри организации гораздо более реальны, чем извне. 22% исследуемых вообще не задумывались о такой угрозе. А в 43% организаций учетные записи уволенных сотрудников не удаляются вовсе.
Важным выводом является тот факт, что для совершения высокотехнологичного преступления злоумышленнику необязательно быть специалистом по информационным технологиям. Это означает, что практически любой сотрудник организации потенциально в состоянии нанести серьезный ущерб компании с использованием программных средств. Конкретные примеры иллюстрируют, что в сети Интернет можно найти огромное число обучающих материалов и готовых программных продуктов для реализации несанкционированного доступа к компьютерам в локальных вычислительных сетях. Многие статьи написаны доступным языком и снабжены подробными инструкциями по способам реализации атак. Однако проблема конечно не в наличие таких материалов, а в слабости современных технологий защиты компьютерных сетей.
ЗАКЛЮЧЕНИЕ
1. Определены основные тенденции развития и структурные особенности информационных активов промышленного предприятия во взаимосвязи с его бизнес-процессами.2. Уточнено понятие информационных активов промышленного предприятия с целью определения направлений реализации наиболее вероятных информационных угроз.
3. Обоснованы принципы организации инфраструктуры защиты информации, ориентированной на поддержку бизнес-процессов промышленного предприятия.
4. Предложена концептуальная модель инфраструктуры защиты информации на промышленном предприятии, позволяющая разработать систему математических моделей оценки и оптимизации этой инфраструктуры.
5. Выполнен анализ состава затрат на создание инфраструктуры защиты информации промышленного предприятия.
6. Разработана система показателей информационной безопасности бизнеспроцессов, обеспечивающая оценку инфраструктуры защиты информации, как по отдельным ее свойствам, так и в целом.
7. Разработана система математических моделей оценки и оптимизации инфраструктуры защиты информации, включающая в себя:
— модель оценки защищенности от несанкционированного доступа к информации;
— модель оценки защищенности от перехвата при передаче информации;
— модель оценки защищенности информации от случайных помех и сбоев;
— модель оценки защищенности от вмешательства в бизнес-процесс;
— модель формирования комплексного показателя защищенности;
— модель оптимизации показателей защищенности;
— модель выбора варианта инфраструктуры защиты информации.
8. Разработана имитационная модель как инструментальный метод оценки и прогнозирования уровня защищенности информации на промышленном предприятии.
9. Предложена система мониторинга безопасности информационных активов, направленная на оценку и анализ текущего состояния показателей информационной безопасности, а также выработку необходимых корректирующих воздействий на инфраструктуру защиты информации.
10. Предложенные в монографии положения организации инфраструктуры системы защиты информации обеспечивают необходимые условия для предотвращения информационных угроз, сокращение затрат на информационную безопасность и повышение экономической эффективности производственнохозяйственной деятельности промышленного предприятия.
СПИСОК ИСПОЛЬЗУЕМЫХ
ИСТОЧНИКОВ ЛИТЕРАТУРЫ
1. Троников И.Б., Коробейников А.Г., Нестерова Н.А. и др. Процессный подход при управлении качеством продукции на предприятиях, осуществляющих выпуск электронного приборного оборудования // Датчики и системы, №6, 2008, с. 31-34.2. Баутов A.Н. Экономический взгляд на проблемы информационной безопасности // Открытые системы, 2002, № 2, с. 28-33.
3. Ивлев В.А., Попова Т.В. Процессная организация деятельности: методы и средства. (Консалтинговая компания «ВИЛ Анатех»): [Электронный ресурс]:
http://www.optim.ru/comp/2001/3/anatech/anatech.asp, 12.01.2005.
4. Ойхман Е.Г., Попов Э.В. Реинжиниринг бизнеса: реинжиниринг организационной и информационной технологии. М.: Финансы и статистика, 1997, 336 с.
5. Троников И.Б., Видин Б.В., Кузьмин Д.В. Информационные технологии в обеспечении технологической подготовки производства бортовой авиационной аппаратуры / В кн. «Труды международных научно-технических конференций «Интеллектуальные системы (IEEE AIS’05)» и «Интеллектуальные САПР (CAD-2005)». Научное издание в 3-х томах. М.: Изд-во Физико-математической литературы, 2005, Т.2, с. 102-106.
6. Троников И.Б. Пазухин А.В., Коробейникова Н.А. Применение интеллектуальных систем при управлении производством. В кн. «Труды международных научно-технических конференций «Интеллектуальные системы (IEEE AIS’06)» и «Интеллектуальные САПР (CAD-2006)». Научное издание в 3-х томах. М.: Изд-во Физико-математической литературы, 2006, Т.2, с. 494-495.
7. Расторгуев С.П. Информационная война. Проблемы и модели. Экзистенциальная математика. М.: Изд-во «Гелиос АРВ», 2006, 240 с.
8. Репин В.В., Елиферов В.Г. Процессный подход к управлению. Моделирование бизнес-процессов. Стандарты и качество, 2004, 408 с.
9. Tельнов Ю.Ф. Реинжиниринг бизнес-процессов. М.: МЭСИ, 1999, 106 с.
10. Медынский В.Г., Илъдеменов С.В. Реинжиниринг инновационного предпринимательства: Учеб. пособие / Под ред. проф. В.Л. Ирикова. М.: ЮНИТИ, 1999, 414 с.
11. ГОСТ Р ИСО 9000-2001. Государственный стандарт Российской Федерации. Системы менеджмента качества, 2001.
12. Старкова Н.О., Костецкий А.Н. Проблемы количественной оценки объема интеллектуальных активов фирмы: [Электронный ресурс]: http://intelassetsh1.ru/artieles/articlel1.htm, 28.05.2005.
13. Петренко С.А., Симонов С.В. Управление информационными рисками.
Экономически оправданная безопасность М.: Компания АйТи; ДМК Пресс, 2004, 384 с.
14. Федеральный закон от 4 июля 1996 г. № 85-ФЗ «Об участии в международном информационном обмене».
15. Белов М. Информация — новый вид финансовых активов // Банковские технологии. [Электронный ресурс]: http:/www.bizcom.ru/rus/b1/1997/nr2/ 17.html, 30.10.2004.
16. Еникеева Л.А., Стельмашонок Е.В. Инфраструктурная составляющая нематериальных активов как объект оценки и защиты // Экономика и промышленная политика России: Труды Ш Международной научно-практической конференции. 14-19 июня 2004 г. СПб.: Изд-во Политехнического университета, 2004, с. 525-528.
17. Еникеева Л.А., Стельмашонок Е.В. Методологические подходы к оценке информационных активов как инфраструктурной составляющей нематериальных активов //Актуальные проблемы экономики и новые технологии преподавания (Смирновские чтения): Материалы IV международной научнопрактической конференции (15-16 марта 2005 г, Санкт-Петербург), Т.2, СПб.:
Изд-во Политехнического университета, 2005, с. 181-183.
18. Андреев В., Здирук К. «ИВК Юпитер»: реализация корпоративной политики безопасности // Открытые системы, 2003, №4, с.43-46.
19. Баутов A.Н. Эффективность защиты информации // Открытые системы.
2003, №4, с. 56-60.
20. Березин А.С., Петренко С.А. Построение корпоративных защищенных виртуальных частных сетей // Конфидент: Защита информации, 2001, № 1, с. 54-61.
21. Северин В.А. Комплексная защита информации на предприятии. Учебник. М.: Изд-во «Городец», 2008, 224 с.
22. Петраков А., Мельников В., Клейменов С. Информационная безопасность и защита информации (3-е издание). М.: Изд-во «Academia, 2008, 336 с.
23. Петраков А., Мельников В., Клейменов С. Информационная безопасность (2-е издание). М.: Изд-во «Academia», 2007, 336 с.
24. Шелупанов А.А., Шумский А.А. Системный анализ в защите информации. М.: Изд-во «Гелиос АРВ», 2005, 224 с.
25. Козачок В.И., Гребенев С., Семкин С., Беляков Э. Основы организационного обеспечения информационной безопасности объектов информатизации.
М.: Изд-во «Гелиос АРВ», 2005, 192 с.
26. Степанов Е., Корнеев И. Защита информации в офисе. М.: Изд-во «ТК Велби», 2007, 336 с.
27. Партыка Т.Л., Попов И.И. Информационная безопасность (2-е издание).
Изд-во «Форум», 2007, 368 с.
28. Бетелина В.Б., Галатенко. В. Основы информационной безопасности.
Курс лекций (3-е издание). М.: Изд-во «Интернет-университет информационных технологий», 2006, 208 с.
29. Садердинов А.А., Федулов А.А., Трайнев В.А. Информационная безопасность предприятия. Учебное пособие. М.: «Дашков и Ко», 2004, 336 с.
30. Доктрина информационной безопасности Российской Федерации. Руководящий документ, № Пр-1895, М.: Изд-во «Ось-89», 2004, 48 с.
31. Волокитин А.В., Маношкин А.И., Солдатенков А.В. и др. Информационная безопасность государственных организаций и коммерческих фирм. Справочное пособие, М.: НТЦ «ФИОРД—ИНФО», 2002, 272 с.
32. Федеральный закон «Об информации, информатизации и защите информации», № 149-ФЗ, 2006.
33. ГОСТ Р 51624-00 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования», 2000.
34. ГОСТ Р 50922-96. «Защита информации. Основные термины и определения», 1996.
35. ГОСТ 51583-00 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие требования», 2000.
36. ГОСТ Р ИСО 7498-2-99. ИТ. ВОС. Базовая эталонная модель. Часть 2.
Архитектура защиты информации, 1999.
37. Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. М., 1992.
38. Гостехкомиссия России. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. М., 1992.
39. Гостехкомиссия России. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения, М., 1992.
40. Гостехкомиссия России. Руководящий документ. Концепция защиты средств вычислительной техники от несанкционированного доступа к информации. М., 1992.
41. Гостехкомиссия России. Руководящий документ Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. М., 1992.
42. Гостехкомиссия России. Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. M., 1997.
43. ИСО/МЭК 15408-99 «Критерии оценки безопасности информационных технологий».
44. Волокитин А.В., Маношкин A.И., Солдатенков А.В. и др. Информационная безопасность государственных организаций и коммерческих фирм. Справочное пособие, М.: НТЦ «ФИОРД—ИНФО», 2002, 272 с.
45. Симонов С.В. Технологии аудита информационной безопасности // Конфидент. Защита информации, 2002, № 2, с. 36-41.
46. Домарев В.В. Безопасность информационных технологий. Системный подход. К.: Изд-во ООО ТИД «ДС», 2004, 992 с.
47. Конеев И.Р., Беляев А.В. Информационная безопасность предприятия.
СПб.: БХВ-Петербург, 2003, 752 с.
48. Северин В.А. Коммерческая тайна в России. М.: Изд-во «Зерцало-м», 2007, 56 с.
49. Семкин А., Семкин С. Основы правового обеспечения защиты информации. М.: Изд-во «Горячая линия-Телеком», 2008, 238 с.
50. Вихорев С., Кобцев Р. Как определить источники угроз // Открытые системы, 2002, № 7-8, с. 6-11.
51. Threats to Computer Systems: an Overview — Computer Systems Laboratory Bulletin, March 1994.
52. Кузнецов А.А. Защита деловой информации. М.: «Экзамен», 2008, 255 с.
53. Морозов Н.П., Чернокнижный С.Б. Защита деловой информации для всех. М.: Изд-во «ИД «Весь», 2003, 160 с.
54. An Introduction to Computer Security: NTST Handbook. Draft — National Institute of Standards and Technology, Technology Administration, U.S. Department of Commerce, 1994.
55. Игнатович И. Брокер интеграции приложений // Открытые системы, 2003, №9, с. 8-14.
56. The OLAP Report: Applications. WebSphere MQ Integrator. Programming Guide, 2007.
57. Стрелкова Е. Интеграция данных предприятия // Открытые системы, 2003, №4, с. 58-61.
58. 3егжда Д.П., Ивашко A.M. Основы безопасности информационных систем. М.: Изд-во «Горячая линия-Телеком», 2000, 452 с.
59. Симонов С.В. Методология анализа рисков в информационных системам // Конфидент, 2001, №1, с. 48-53.
60. Троников И.Б., Извозчикова В.В., Матвейкин И.В. и др. Концептуальная модель управления предприятием // Изв. вузов. Приборостроение, 2008, Т.51, №5, с. 26-29.
61. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб, пособие для вузов, М.: Изд-во «Горячая линия-Телеком», 2004, 280 с.
62. Сальников В.П. Концептуальные основы обеспечения информационной http://domarev.kiev.ua/obuch/tez/s00l.htm, 14.12.2004.
63. Гришина Н. В. Организация комплексной системы защиты информации.
М.: Изд-во «Гелиос АРВ», 2007, 256 с.
64. Райх В.В., Тихонов В.А. Информационная безопасность. Концептуальные, правовые, организационные и технические аспекты. СПб: Изд-во «Гелиос АРВ», 2006, 528 с.
65. Система управления информационной инфраструктурой предприятия:
[Электронный ресурс]: http://www.ecoprog.ru/suii.shtml, 16.04.2005.
66. Система управления информационной инфраструктурой: [Электронный ресурс]: http://www.incom.ua/products/Software_integration/Standart-softwaresolutions/sysmanage/index.shtml, 16.10.2005.
67. Современные подходы к управлению информационной инфраструктурой:
[Электронный ресурс]: www.compute1.ru, 17.11.2004.
68. Орловский С.А. Проблемы принятия решений при нечеткой исходной информации, М.: Наука, 1981, 208 с.
69. Kaufman A., Gupta M. Introduction lo Fuzzy Arithme-lic // Thomson Computer Press, 1991.
70. Takagi Г., Sugeno M. Fuzzy identification of systems its applications to modeling and control // IEEE Transactions on Systems, Man and Cybernetics, 1985, vol.
15, №1, pp. 116-132.
71. Леоненков А В. Нечеткое моделирование в среде MATLAB и fuzzy TБСИ, СПб: БХВ-Петербург, 2003, 736 с.
72. Масалович А.И. Этот нечеткий, нечеткий, нечеткий мир // PC Week, 1995, №16, с. 22-27.
73. Петренко С.А. Методика построения корпоративной системы зашиты информации. [Электронный ресурс]: http://www.myportal.ru/scc/doc24.html, 22.12.2004.
74. Гайкович В., Ершов Д. Основы безопасности информационных технологий. М.: МИФИ, 1995, 94 с.
75. Расторгуев С.И. Обеспечение защиты АИС от недокументированных возможностей программного обеспечения // Конфидент. Защита информации, 2001, №2, с. 26-29.
76. Бетелин В., Галатенко В. Информационная безопасность в России: опыт составления карты // Jet Info, 1998, №1, с. 15-22.
77. Кобзарь М., Калайда И. Общие критерии опенки безопасности информационных технологий и перспективы их использования // Jet Info, 1998, №1, с. 23-27.
78. Липаев В.В. Качество программных систем. Методические рекомендации. М.: Изд-во «Янус-К», 1998, 400 с.
79. Липаев В.В. Стандарты на страже безопасности информационных систем // PC WECC, 2000, №30, с. 34-40.
80. Common Criteria for Information Technology Security evaluation. Version 1.0.
81. Information Technology Security Evaluation Criteria (ITSEC). Harmonized Criteria of France — Germany — the Nederland’s — the United Kingdom. Department of Trade and Industry, London, 1991.
82. Hawden W.E. Functional program testing and analysis. N.-Y.: McCrawHill, 1987.
83. Hacker Dictionary. [Электронный pecурс]: http://www.robergraham.com/ hacker-dictionary, 10.08.2011.
84. «Как обосновать затраты на информационную безопасность?» [Электронный ресурс]: http://www.iitrust.ru/articles/zat_ibezop.htm, 10.08.2011.
85. Демин В.С. и др. Автоматизированные банковские системы. М: МенатепИнформ, 1997, 295 с.
86. RFC 959 File Transfer Protocol. [Электронный pecурс]:
http://www.faqs.org/rfcs/rfc959.html, 10.08.2011.
87. [Электронный ресурс]: http://www.microsoft.com/technet/security/bulletin/ ms03-026.mspx, 10.08.2011.
Методы и модели оценки инфраструктуры системы ФГУП «Санкт-Петербургское ОКБ «Электроавтоматика» им. П.А. Ефимова»
Подписано в печать 24.02.2012. Формат 148х Отпечатано в типографии «Галерея печати»
190005, Санкт-Петербург, Измайловский пр., д.
«