На главную  Карта сайта  
Главное меню
Реклама

Технологии обеспечения информационной безопасности

Технологии обеспечения информационной безопасности в современных информационных системах и сетях

1. Применение защищенных виртуальных сетей.

Internet и другие публичные сети обеспечивают возможность существенно снизить стоимость построения распределенной автоматизированной системы, однако передаваемая по этим сетям информация без принятия дополнительных мер оказывается незащищенной. В связи с этим использование телекоммуникационной среды публичных сетей как части ЗАС требует формирования на их основе защищенных каналов. Это осуществляется с использованием шифрования и контроля целостности передаваемой информации. «Канал» связи между каждой парой удаленных объектов ЗАС, использующих шифрование циркулирующей между ними информации, оказывается закрытым по отношению к внешней среде (если используются стойкие алгоритмы). Таким образом, на основе открытой телекоммуникационной среды оказывается сформированной защищенная сеть, причем никаких затрат на построение физических каналов связи не было произведено. Такие виртуальные сети получили название «Виртуальные частные сети»

VPN (Virtual Private Networks). В настоящее время они приобрели чрезвычайную привлекательность в качестве инструмента организации электронного бизнеса, электронного документооборота, оперативного средства совершения финансовых операций.

VPN - это объединение локальных сетей и отдельных компьютеров, подключенных к сети общего пользования и использующих последнюю как телекоммуникационную среду для передачи шифрованных сообщений, что обеспечивает конфиденциальность и целостность передаваемой информации между объектами соединенными через открытую сеть общего пользования.

Наложенная корпоративная сеть на сеть общего пользования становится виртуальной защищенной сетью благодаря использованию следующих трех основных элементов обеспечения информационной безопасности:

  • Шифрование (обеспечение секретности).
  • Аутентификация (проверка подлинности, включая контроль целостности, и придание юридической силы передаваемым сообщениям).
  • Контроль доступа.

Только реализация этих трех механизмов позволяет защитить пользовательские компьютеры, серверы предприятия и данные, передаваемые по незащищенным каналам связи, о нежелательных внешних вторжений, утечки информации и несанкционированных действий.

Технология VPN предусматривает комплексную защиту передаваемых данных: при создании VPN-канала проверяется аутентичность двух сторон, создающих канал, а затем каждый пакет переносит цифровую подпись, сформированную отправителем и удостоверяющую аутентичность и целостность пакета; для обеспечения конфиденциальности пакеты шифруются, причем для сокрытия адресной информации, раскрывающей внутреннюю структуру сети, пакеты могут быть зашифрованы вместе с заголовком и инкапсулироваться во внешний пакет, несущий только адрес внешнего интерфейса VPN-шлюза.

В настоящее время для организации защищенных VPN-каналов используется комплекс стандартов Internet, известный под названием IP-Sec (IP Security). Стандарты IP-Sec характеризуются универсальностью и гибкостью. В этих стандартах оговорены обязательные для аутентификации и шифрования протоколы и алгоритмы, что обеспечивает базовую совместимость IPSec-продуктов, и в то же время разработчик IPSec-продукта может дополнять данный список другими протоколами и алгоритмами, что делает возможным постоянное развитие системы безопасности. Для аутентификации сторон и генерации сеансовых ключей в стандартах IP-Sec предусмотрена возможность использования цифровых сертификатов и структуры открытых ключей PKI (Public Key Infrastructure), что делает решение IP-Sec

масштабируемым   и согласованным с другими средствами защиты, например со средствами контроля доступа.

Средства VPN могут эффективно поддерживать защищенные каналы трех основных типов (варианты применения):

  • С удаленными сотрудниками (защищенный удаленный доступ).
  • С сетями филиалов предприятий (защита intranet).
  • С сетями предприятий-партнеров (защита extranet).

Для защита удаленного доступа важно наличие клиентских частей VPN для основных клиентских операционных систем. От шлюза VPN в этом варианте требуется хорошая масштабируемость для поддержания сотен и даже тысяч защищенных соединений. При защите сети extranet главным требованием является соответствие реализации VPN-продуктов стандартам IP-Sec. Следует заметить, что поддержка IP-Sec сегодня является обязательным условием для перспективных VPN- продуктов.

2. Криптографическое преобразование данных

При реализации VPN применяются как симметричные, так и несимметричные криптосистемы. В симметричных криптосистемах зашифрование и расшифрование выполняются на одном ключе. В асимметричных криптосистемах зашифрование и расшифрование выполняются на разных ключах, причем один из ключей является открытым (общедоступным), но по известному открытому ключу вычислительно сложно найти секретный ключ, что обеспечивает возможность придания юридической силы электронным сообщениям (благодаря этому они превращаются в электронные документы) к которым сформирована подпись с использованием секретного ключа (подпись проверяется с использованием открытого ключа, поэтому проверить правильность подписи может любой желающий). Стойкость алгоритмов криптографического преобразования (шифрования, хэширования, формирования подписи, вычисления контрольных сумм) определяет степень надежности VPN. Стойкость криптографического преобразования определяется длиной ключа и самим алгоритмом криптографического преобразования.

В настоящее время для комплекса стандартов IP-Sec определены два алгоритма для аутентификации на основе двухключевых криптосистем и семь алгоритмов симметричного шифрования. По умолчанию в качестве стандартного предусмотрен криптоалгоритм DES-CBC (Cipher Block Chaining) с 56-разрядным ключом. В качестве его альтернативы предусмотрены: 3DES, СAST-128, RC5, IDEA, Blowfish и ARCFour.

Пользователь имеет возможность выбрать один из перечисленных алгоритмов. Выбор осуществляется на основе ряда критериев среди которых:

  • Надежность алгоритмов и длина ключа.
  • Легальность использования в соответствии с существующими стандартами и нормативно-правовой базой.
  • Наличие сертификатов государственных органов.
  • Экспортно-импортные ограничения.

Криптографическое преобразование данных осуществляется также при защите информации на файловом уровне, аутентификации и т.п.

3. Применение межсетевых экранов

Межсетевой экран (firewall или брэндмауэр) и виртуальная частная сеть VPN являются дополняющими системами, решающими две взаимосвязанные задачи:

  • Использование открытых сетей в качестве канала недорогой связи (VPN).
  • Обеспечение защиты от атак из открытых сетей при работе с открытой информацией, содержащихся в этих сетях (межсетевой экран).

Первоначально межсетевые экраны использовались для реализации относительно простой схемы доступа:

  • Доступ контролировался в одной точке, которая располагалась на пути соединений внутренней сети с Internet или другой публичной сетью, являющейся источником потенциальных угроз.
  • Все субъекты доступа делились на группы по IP-адресам, явно указанным в пакете.
  • Внешним пользователям разрешалось для доступа к внутренним ресурсам сети использовать один-два популярных сервиса Internet, например электронную почту, основанную на протоколе SMTP, а трафик остальных сервисов отсекался.

В настоящее время схема контроля доступа с помощью межсетевых экранов значительно усложняется. Это обусловлено широким использованием разнотипных соединений внутренней сети с Internet и через Internet, а также повышенными требованиями к защите ресурсов от внутренних угроз. Появляется как правило несколько точек контроля доступа. К ним относятся точки, в которых контролируется доступ к нескольким внешним сетям, например к публичной части Internet и IP-сети провайдера. Могут использоваться несколько связей с Internet через разных провайдеров (для повышения надежности). Повышение требований к защите обрабатываемой информации внутри сети приводит к необходимости использования межсетевых экранов между внутренними подсетями, что приводит к появлению дополнительных точек контроля доступа.

Применение нескольких межсетевых экранов в пределах одной внутренней сети требует изменения их функциональных возможностей. В частности, это касается необходимости координированной работы всех межсетевых экранов на основе единой политики доступа. Такая координация нужна для того, чтобы корректно обрабатывать пакеты независимо от того, через какую точку доступа проходит маршрут. Правильным является решение, при котором VPN обеспечивает функции межсетевого экрана в каждой точке, где есть ее агент. Такой распределенный межсетевой экран должен контролироваться из единого центра безопасности.

4. Управление доступом на уровне пользователей

В ЗАС возникают разные категории пользователей, которые отличаются правами доступа и требуют дифференцированного распознавания. К этим категориям относятся:

  • Сотрудники предприятия, работающие во внутренней сети.
  • Удаленные и мобильные сотрудники предприятия.
  • Сотрудники предприятий-партнеров по бизнесу.
  • Клиенты предприятия, получающие услуги по Internet.

Эти категории пользователей невозможно классифицировать используя только их IP-адреса. Контроль доступа на уровне пользователей требует поддержки в межсетевых экранах собственных средств работы с учетной информацией пользователей и средств аутентификации. Требуется интеграция средств контроля доступа с применяемыми в сетях системами администрирования и аутентификации пользователей. Управление доступом на уровне пользователей позволяет повысить эффективность аудита событий, связанных с безопасностью.

5. Гарантированная аутентификация пользователей

VPN-продукты, созданные на основе IPSec-спецификаций, обеспечивают защиту трафика на сетевом уровне, от компьютера до компьютера, не различая конкретных пользователей, работающих за этими компьютерами. Защита сетевого уровня по самой своей идеологии не может подняться выше и обеспечить защиту канала, например от двух несанкционированных пользователей. На практике нужно всегда быть уверенным, что за компьютером находится санкционированный пользователь, подлинность которого гарантирована. Идентификация пользователя - это процедура распознавания пользователя по его идентификатору. Для того, чтобы гарантировать подлинность пользователя, прошедшего процедуру идентификации,

необходимо провести его аутентификацию. Аутентификация - это процедура подтверждения достоверности идентификатора пользователя.

В настоящее время широко используются средства аутентификации, основанные на централизованной службе каталогов, например Active Directory для Windows 2000. Эти системы аутентификации обладают рядом положительных свойств:

  • Обеспечивается единый логический вход пользователя в сеть.
  • Администратор работает с единственной записью учетных данных о каждом пользователе и системном ресурсе.
  • Система хорошо масштабируется.
  • Доступ к данным каталога осуществляется с помощью стандартного протокола LDAP.

В качестве идентификаторов используются электронные токены (смарт-карты, устройства touch-memory, ключи для USB-портов), которые являются своего рода контейнерами для хранения персональных данных пользователя. Основное преимущество электронного токена в том, что персональная информации всегда находится на носителе и предъявляется только во время получения доступа к системе или компьютеру.

6. Поддержка инфраструктуры управления открытыми ключами PKI

При проведении бизнеса с помощью Internet возникает проблема аутентификации массовых клиентов предприятия. Традиционные схемы аутентификации на основе паролей неэффективны для удаленных пользователей, поэтому всеобщее признание получила технология аутентификации на основе цифровых сертификатов стандарта Х.509 и инфраструктуры управления открытыми ключами PKI. Сертификаты позволяют надежно разделить пользователей на различные категории и предоставлять разные права доступа в зависимости от принадлежности пользователя определенной категории. Инфраструктура управления открытыми ключами PKI служит для обеспечения жизненного цикла сертификатов и возможности контроля их подлинности (за счет контроля подлинности цифровой подписи сертифицирующей организации СА - Certificate Authority к информации, указанной в сертификате).

Аутентификация на основе сертификатов может применяться также и для аутентификации сотрудников фирмы или сотрудников предприятий-партнеров. VPN-продукты должны поддерживать многослойную иерархию PKI и выполнять иерархические проверки цифровых сертификатов: от сертификата центрального СА до сертификата конечного пользователя. Поддержка цифровых сертификатов и Инфраструктуры управления открытыми ключами PKI приводит к хорошо масштабируемым системам аутентификации, так как в этом случае в системе необходимо хранить только открытые ключи нескольких корневых сертифицирующих организаций и поддерживать протоколы взаимодействия с их серверами сертификатов. Для обеспечения реальной интеграции коммуникационной и информационной систем и подсистемы безопасности важно, чтобы средства безопасности поддерживали продукты PKI основных ведущих производителей.

7. Защита информации на файловом уровне

Информация пользователя на жестком диске или на дискетах может быть надежно защищена путем шифрования содержимого файлов, каталогов и дисков. Существующие средства защиты информации на файловом уровне позволяют мгновенно уничтожать информацию при подаче сигнала тревога или при входе в систему под принуждением, а также блокировать компьютер в перерывах между работой.

Дисковое шифрование удобно осуществлять с помощью скоростных программных алгоритмов блочного типа с размером блока данных равным 512 байтам. Прозрачное шифрование файлов и директорий имеет свои особенности, поэтому в ряде систем защиты используются «нетипично» построенные алгоритмы шифрования.

8. Защита от вирусов

Компьютерные вирусы представляют серьезную угрозу информационной безопасности: они способны серьезно повредить или разрушить данные и информационные объекты АС. С развитием Internet вирусы получили возможность быстро распространяться в глобальном масштабе. Антивирусная защита является одним из важнейших компонентов комплексной системы информационной безопасности. В настоящее время широко используется ряд комплексов антивирусной защиты российских и зарубежных производителей.

При применении антивирусных средств следует учитывать, что защищенный трафик не может контролироваться этими средствами (из-за того, что информация зашифрована), поэтому они должны устанавливаться на узлах, на которых информация храниться и обрабатывается в открытом виде (При использовании прозрачного шифрования в режиме реального времени появляется возможность обеспечить функционирование антивирусных средств на ЭВМ, дисковая информация на которых хранится в зашифрованном виде.)

9. Технология обнаружения вторжений

Средства обнаружения вторжений позволяют повысить уровень защищенности ЗАС. Постоянные изменения некоторых информационных систем, например корпоративных сетей (переконфигурирование программных средств, подключение новых рабочих станций и т.п.) могут привести к появлению новых угроз и уязвимых мест в системе защиты. Поэтому особенно важно своевременное их выявления и внесение изменений в соответствующие настройки подсистемы информационной безопасности.

Средства обнаружения вторжений хорошо дополняют защитные функции межсетевых экранов. Межсетевые экраны стараются отсечь потенциально опасный трафик и не пропустить его в защищаемые сегменты, а средства обнаружения вторжений анализируют результирующий трафик в защищаемых сегментах и выявляют атаки на ресурсы сети или потенциально опасные действия. Средства обнаружения вторжений могут использоваться и в незащищенных сегментах, например, перед межсетевым экраном, для получения общей картины об атаках, которым подвергается сеть извне. Для выполнения своих функций средства обнаружения вторжений обычно используют экспертные системы и другие элементы искусственного интеллекта. Средства анализа атак и вторжений не только выявляют большинство угроз и уязвимых мест, но и предлагают администратору безопасности те или иные рекомендации.

10. Централизованное управление средствами безопасности

В современных ЗАС используются многочисленные средства защиты информации (VPN-шлюзы, VPN-клиенты, межсетевые экраны, системы аутентификации и контроля доступа, средства обнаружения вторжений и т.п.), которые нуждаются в централизованном управлении.

Централизованное управление средствами информационной безопасности предполагает наличие некоторой единой политики безопасности предприятия. Эта политика должна определять правила функционирования для всех средств защиты информации в ЗАС. Правила политики безопасности задаются администратором согласованно для различных устройств защиты с помощью общей консоли управления, что обеспечивает их непротиворечивость и эффективность. Каждое устройство защиты, работающее в ЗАС, должно поддерживать взаимодействие с централизованной системой управления и получать от нее защищенным образом правила безопасности, относящиеся к данному устройству.

В настоящее время производители средств информационной безопасности предпочитают использовать для хранения правил политики безопасности отдельные базы данных и фирменные протоколы распределения правил безопасности по устройствам защиты.

Наличие централизованных средств управления средствами безопасности является важнейшим требованием построения ЗАС.

23.09.2006

Комментарии

ФИО: 
E-mail: 
Тема: 
Комментарий: