Проект обеспечения инженерно-технической защиты объекта офиса для усиления его информационной безопасности
Дипломная работа
Проект обеспечения инженерно-технической защиты объекта офиса, для усиления его информационной безопасности
Содержание
ВВЕДЕНИЕ
. Обзор методов и средств
.1 Информация как объект защиты
.2 Требования к защищенности информации
.3 Организационные меры защиты информации
.3.1 Оценка вероятного противника
.3.2 Оценка условий решения задачи защиты информации
.4 Инженерно-технические меры защиты информации
.5 Системы информационной безопасности
.6 Принципы построения систем безопасности
.7 Защита компьютерной информации
.8 Угрозы несанкционированного доступа в сеть
.8.1 Системы информационной безопасности сети
.8.2 Принципы построения систем безопасности сети
.9 Аппаратные средства защиты передаваемых данных
2. Разработка системы управления объектом защиты и безопасности
2.1 Постановка задачи проектирования
2.2 Анализ объекта защиты
.2.1 Контролируемая зона
2.2.2 Возможные каналы утечки информации
2.3 Разработка политики защиты контролируемой зоны
.3.1 Обеспечение защиты помещения проведения совещаний
.3.2 Обеспечение защиты помещения руководителя
.3.3 Обеспечение защиты помещения серверной
.4 Разработка политики безопасности сети и коммуникаций
.4.1 Интернет-шлюз + файерволл как основа системы управления
2.5 Выбор и конфигурирование аппаратных средств защиты данных
2.6 Защита данных средствами защиты информации и специального ПО
3. Реализация модели сети объекта средствами программы Packet Tracer
3.1 Описание программы настройки маршрутизаторов Cisco
3.2 Описание настройки специального программного обеспечения защиты данных
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
объект защита информация безопасность
ВВЕДЕНИЕ
Современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности. Национальная безопасность существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать. Обеспечение информационной безопасности является одной из приоритетных задач.
Под информационной безопасностью (безопасностью информации) понимают состояние защищенности собственно информации и её носителей (человека, органов, систем и средств, обеспечивающих получение, обработку, хранение, передачу и использование информации) от различного вида угроз. Источники этих угроз могут быть преднамеренными (то есть имеющими цель незаконного получения информации) и непреднамеренными (такую цель не преследующими). Обеспечить безопасность информации можно различными методами и средствами, как организационного, так и инженерного характера. Комплекс организационных мер, программных, технических и других методов и средств обеспечения безопасности информации образует систему защиты информации. Проблема защиты, стоящая перед современным бизнесом, сводится к задаче рассмотрения всего спектра имеющихся решений и выбора правильной их комбинации. Сегодня предлагается немало технологий и соответствующих средств защиты. Трудность реализации защиты сети заключается не в отсутствии подходящей технологии защиты, а в выборе из множества решений такого, которое лучше всего подойдет для вашей конкретной сети и требований вашего бизнеса и при котором затраты на поддержку и сопровождение средств защиты, предлагаемых соответствующим поставщиком, окажутся минимальными.
1. Обзор методов и средств
1.1 Информация как объект защиты
Информация - это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Информация доступна человеку если она содержаться на материальном носителе. Существуют следующие типы носителей информации:
источник информации:
получатель информации.
Виды защищаемой информации приведены на рисунке 1.1
Рисунок 1.1 Виды защищаемой информации
Семантическая информация на языке национального общения представляет упорядоченную последовательность знаков, символов. Семантическая информация на языке профессионала здесь соответствуют языки различной науки, которые не понятны тем кто не изучал данную науку. Признаки информации описывают конкретный материальный объект на языке его признаков. Информационный элемент представляет собой информацию на носителе достаточно четких границ.
Защите подлежит внутренняя, конфиденциальная и секретная информация.
Внутренняя информация - информация о компании, которая еще не была опубликована (использование внутренней информации при заключении биржевых сделок считается незаконным).
Информация конфиденциальная - служебная, профессиональная, промышленная, коммерческая или иная информация, правовой режим которой устанавливается ее собственником на основе законов о коммерческой, профессиональной тайне, государственной службе и др. законодательных актов.
Под коммерческой тайной предприятия понимаются не являющиеся государственным секретом сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятия, разглашение (передача, утечка информации) которых может нанести вред его интересам.
К секретной информации относится информация, содержащая государственную тайну. Государственной тайной является информация, несанкционированное распространение которой может нанести ущерб интересам государственных органов, организациям, субъектам и стране в целом.
Под угрозами информации, классификация которых приведена на рисунке 1.2, принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями. Такими действиями являются:
Ознакомление с конфиденциальной информацией различными путями и способами, без нарушения ее целостности;
Модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;
Разрушение (уничтожение) информации с целью прямого нанесения материального ущерба.
Рисунок 1.2. Классификация угроз информации
1.2 Требования к защищенности информации
Исторически сложившийся подход к классификации государственной информации (данных) по уровням требований к ее защищенности основан на рассмотрении и обеспечении только одного свойства информации - ее конфиденциальности (секретности). Требования же к обеспечению целостности и доступности информации, как правило, лишь косвенно фигурируют среди общих требований к системам обработки этих данных. Считается, что раз к информации имеет доступ только узкий круг доверенных лиц, то вероятность ее искажения (несанкционированного уничтожения) незначительна. Низкий уровень доверия к информационным системам и предпочтение к бумажной информационной технологии еще больше усугубляют ограниченность данного подхода.
Если такой подход в какой-то степени оправдан в силу существующей приоритетности свойств безопасности важной государственной информации, то это вовсе не означает, что его механический перенос в другую предметную область (с другими субъектами и их интересами) будет иметь успех.
Во многих областях деятельности (предметных областях) доля конфиденциальной информации сравнительно мала. Для коммерческой и персональной информации, равно как и для государственной информации, не подлежащей засекречиванию, приоритетность свойств безопасности информации может быть иной. Для открытой информации, ущерб от разглашения которой несущественен, важнейшими могут быть такие качества, как доступность, целостность или защищенность от неправомерного тиражирования. К примеру, для платежных (финансовых) документов самым важным является свойство их целостности (достоверности, неискаженности). Затем, по степени важности, следует свойство доступности (потеря платежного документа или задержка платежей может обходиться очень дорого). Требований к обеспечению конфиденциальности отдельных платежных документов может не предъявляется вообще.
Попытки подойти к решению вопросов защиты такой информации с позиций традиционного обеспечения только конфиденциальности, терпят провал. Основными причинами этого, на наш взгляд, являются узость существующего подхода к защите информации, отсутствие опыта и соответствующих проработок в плане обеспечения целостности и доступности информации, не являющейся конфиденциальной.
Развитие системы классификации информации по уровням требований к ее защищенности предполагает введение ряда степеней (градаций) требований по обеспечению каждого из свойств безопасности информации: доступности, целостности, конфиденциальности и защищенности от тиражирования. Пример градаций требований к защищенности:
- нет требований;
низкие;
средние;
высокие;
очень высокие.
Количество дискретных градаций и вкладываемый в них смысл могут различаться. Главное, чтобы требования к защищенности различных свойств информации указывались отдельно и достаточно конкретно (исходя из серьезности возможного наносимого субъектам информационных отношений ущерба от нарушения каждого из свойств безопасности информации).
В дальнейшем любой отдельный функционально законченный документ (некоторую совокупность знаков), содержащий определенные сведения, вне зависимости от вида носителя, на котором он находится, будем называть информационным пакетом.
К одному типу информационных пакетов будем относить пакеты (типовые документы), имеющие сходство по некоторым признакам (по структуре, технологии обработки, типу сведений и т.п.).
Задача состоит в определении реальных уровней заинтересованности (высокая, средняя, низкая, отсутствует) субъектов в обеспечении требований к защищенности каждого из свойств различных типов информационных пакетов, циркулирующих в системе передачи данных.
Требования же к системе защиты в целом (методам и средствам защиты) должны определяться, исходя из требований к защищенности различных типов информационных пакетов, обрабатываемых в системе передачи и хранения данных объекта, и с учетом особенностей конкретных технологий их обработки и передачи.
В одну категорию объединяются типы информационных пакетов с равными приоритетами и уровнями требований к защищенности (степенью важности обеспечения их свойств безопасности : доступности, целостности и конфиденциальности).
Предлагаемый порядок определения требований к защищенности циркулирующей в системе информации представлен ниже:
составляется общий перечень типов информационных пакетов, циркулирующих в системе (документов, таблиц). Для этого с учетом предметной области системы пакеты информации разделяются на типы по ее тематике, функциональному назначению, сходности технологии обработки и т.п. признакам. На последующих этапах первоначальное разбиение информации (данных) на типы пакетов может уточняться с учетом требований к их защищенности;
затем для каждого типа пакетов, выделенного в первом пункте, и каждого критического свойства информации (доступности, целостности, конфиденциальности) определяются (например, методом экспертных оценок):
а) перечень и важность (значимость по отдельной шкале) субъектов, интересы которых затрагиваются при нарушении данного свойства информации;
б) уровень наносимого им при этом ущерба (незначительный, малый, средний, большой, очень большой и т.п.)и соответствующий уровень требований к защищенности.
- при определении уровня наносимого ущерба необходимо учитывать:
а) стоимость возможных потерь при получении информации конкурентом;
б) стоимость восстановления информации при ее утрате;
в) затраты на восстановление нормального процесса функционирования системы передачи данных объекта.
- если возникают трудности из-за большого разброса оценок для различных частей информации одного типа пакетов, то следует пересмотреть деление информации на типы пакетов, вернувшись к предыдущему пункту методики. Для каждого типа информационных пакетов с учетом значимости субъектов и уровней наносимого им ущерба устанавливается степень необходимой защищенности по каждому из свойств информации (при равенстве значимости субъектов выбирается максимальное значение уровня).
1.3 Организационные меры защиты информации
Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение информацией и проявление внутренних и внешних угроз.
Организационная защита должна обеспечивать:
охрану, режим, работу с кадрами, с документами;
- использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз производственной деятельности.
Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, т.к. возможности несанкционированного использования конфиденциальных сведений в значительной мере обуславливаются не техническими аспектами, а злоумышленными действиями, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы несанкционированный доступ к конфиденциальной информации.
К основным организационным мероприятиям относят:
организацию режима и охраны. Их цель - исключение возможности проникновения (как тайного так и явного) на территорию и в помещения посторонних лиц; обеспечение удобства контроля прохода и перемещения сотрудников и посетителей; создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа; контроль и соблюдение временного режима и пребывания на территории персонала фирмы; организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей;
организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации.
организацию работы с документами, включая организацию разработки и использования документов и носителей информации, их учет, исполнение, возврат, хранение и уничтожение;
организацию использования технических средств сбора, обработки, накопления и хранения информации;
организацию работ по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты
организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.
В каждом конкретном случае организационные мероприятия носят специфические для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.
Очевидно, что организационные мероприятия должны четко планироваться, направляться и осуществляться каким-то специально созданным для этих целей структурным подразделением, укомплектованным соответствующими специалистами по безопасности, производственной деятельности и защите информации. Зачастую, таким структурным подразделением является служба безопасности предприятия, на которую возлагаются следующие основные функции:
организация и обеспечение охраны персонала, материальных и финансовых ценностей и защиты конфиденциальной информации;
обеспечение пропускного и внутриобъектового режима на территории, в зданиях и помещениях, контроль соблюдения требований режима сотрудниками, смежниками, партнерами и посетителями;
руководство работами по правовому и организационному регулированию отношений по защите информации;
участие в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты информации, а так же положений о подразделениях, трудовых договоров, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;
разработка и осуществление совместно с другими подразделениями мероприятий по обеспечению работы с документами, содержащими конфиденциальные сведения;
изучение всех сторон производственной, коммерческой, финансовой и другой деятельности для выявления и последующего противодействия любым попыткам нанесения ущерба, ведения учета и анализа нарушений безопасности, накопление и анализ данных о злоумышленных устремлениях конкурентных организаций, о деятельности предприятия и его клиентов, партнеров, смежников.
организация и проведение служебных расследований по фактам разглашения сведений, утрат документов, утечки конфиденциальной информации и других нарушений безопасности предприятия;
осуществление руководства службами и подразделениями безопасности подведомственных предприятий, организаций, учреждений и другими структурами в части оговоренных в договорах условий по защите конфиденциальной информации;
организация и регулярное проведение учета сотрудников предприятия и службы безопасности по всем направлениям защиты информации и обеспечения безопасности производственной деятельности;
ведение учета и строгого контроля выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации и каналами проникновения к источникам охраняемых секретов;
обеспечение проведения всех необходимых мероприятий по пресечению попыток нанесения морального и материального ущерба со стороны внутренних и внешних угроз.
Для защиты речевой информации во время проведения совещаний целесообразно и обоснованно применение следующих организационных мер:
перед проведением совещания необходимо проводить визуальный осмотр помещения на предмет выявления закладных устройств. Осмотр должен проводиться систематизировано и тщательно, обращая внимание на любую мелочь, на первый взгляд незначительную: наличие посторонних предметов, бытовой аппаратуры или предметов интерьера. Осмотр по возможности, должен проводиться сотрудником службы безопасности и человеком, хорошо знакомым с обычной обстановкой зала, например, сотрудником охраны;
непосредственно перед проведением совещания охрана должна осматривать прилегающие к комнате для совещаний помещения, на предмет удаления из них сотрудников или посторонних лиц, которые могут вести подслушивание непосредственно через систему вентиляционных коммуникаций или через стену при помощи специальной аппаратуры; закрывать эти помещения на время проведения совещания и вести контроль за доступом в них;
количество лиц, участвующих в конфиденциальных переговорах должно быть ограничено до минимума;
вход посторонних лиц во время проведения совещания должен быть запрещен;
должна быть четко разработана охрана выделенного помещения во время совещания, а также наблюдение за обстановкой на этаже. Во время проведения закрытого совещания необходимо не допускать близко к дверям комнаты никого из посторонних лиц или сотрудников организации. Стоя под дверью, или поблизости от нее, злоумышленник может подслушать то, о чем говориться в комнате. Особенно это вероятно в те моменты, когда кто-то входит или выходит из зала, так как на то время, пока дверь остается открытой, разборчивость речи резко повышается. Помимо этого, выходя или входя, человек может не совсем плотно закрыть за собой дверь, что также повысит разборчивость речи. Для реализации этой меры необходимо, чтобы в течение всего времени, которое длится совещание, у двери комнаты дежурил охранник, осуществляющий контроль за дверью и коридором около входа в комнату, а также следить за тем, чтобы никто из посторонних не проник внутрь;
по возможности проведение совещаний переносить на нерабочее время;
любые работы в комнате, проводимые вне времени проведения конфиденциальных совещаний, например: уборка, ремонт бытовой техники, мелкий косметический ремонт, должен проводиться в обязательном присутствии сотрудника службы безопасности. Наличие этих сотрудников поможет обезопасить помещение от установки подслушивающих устройств сотрудниками организации или же посторонними лицами (электромонтер, рабочие, уборщица и так далее);
- после проведения совещания комната должна тщательно осматриваться, закрываться и опечатываться;
между совещаниями комната должна быть закрыта и опечатана ответственным лицом.
Ключи от комнаты должны быть переданы дежурной смене охраны под расписку и храниться в комнате охраны, доступ к ним должен быть регламентирован руководством;
Перечисленные меры организационной защиты информации в комнате для совещаний считаются весьма действенными и не несут серьезных материальных затрат или проблем с персоналом и могут применяться как отдельно, так и совместно, что позволит значительно повысить степень защиты информации рассматриваемого объекта.
1.3.1 Оценка вероятного противника
Оценка вероятного противника проводится при подготовке к проведению поисковой операции.
- при определении вероятной модели противника должны учитываться его финансовые и технические возможности, наличие и степень квалификации технических кадров в штате;
- при оценке возможностей вероятного противника необходимо делать промежуточные выводы, позволяющие получить предварительный облик противника;
- характер действий позволит оценит его потенциальные возможности;
расположение и вид закладного устройства, если они обнаружены до поисковых операций позволят определить реальные возможности противника и выявит его связи с работниками организации;
1.3.2 Оценка условий решения задачи защиты информации
Для успешного решения поставленных задач производится оценка модели действия и условий, в которых придется решать оставленную задачу:
анализ местности на которой расположен объект и расположение посторонних объектов относительно него;
- оценка контролируемой зоны и возможностей снятия информации за ее пределами;
- обследование защищаемого объекта;
-при обследовании объекта выясняют взаимное расположение контролируемых зон и смежных помещений, режимы их посещений;
- устанавливаются факты сроки ремонтных работ, замены предметов мебели и интерьера;
- изготовление планов помещений, с нанесением на них всех входящих и проходящих коммуникаций;
-изучение конструктивных особенностей ограждающих устройств, материалов и покрытий, из которых они сделаны;
- в условиях плотной застройки особое внимание уделяется прилегающей территории, которая может быть использована для парковки автомобиля с радиоаппаратурой, развертывания систем видеонаблюдения или дистанционного аудиоконтроля.
Сделав выводы по предыдущим мероприятиям определяют виды и объем поисковых действий, состав измерительной техники и вспомогательного оборудования. Необходимое количество специалистов и рабочих. Временной диапазон проведения операции. Разрабатывается легенда проведения операции. Для первого руководителя разрабатывается пакет документов с замыслом на проведение поисковых операций.
1.4 Инженерно-технические меры защиты информации
Инженерно-техническая защита - это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации. Классификация видов инженерно-технической информации приведено на рисунке 1.3
Рисунок 1.3 Классификация видов инженерно-технической информации
Многообразие классификационных характеристик позволяет рассматривать инженерно-технические средства по объектам воздействия, характеру мероприятий, способам реализации, масштабу охвата, классу средств злоумышленников, которым оказывается противодействие со стороны службы безопасности. По функциональному назначению средства инженерно-технической защиты классифицируются на следующие группы:
физические средства - включающие различные средства и сооружения, препятствующие физическому доступу злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации и осуществляющие защиту персонала, материальных средств и финансов от противоправных воздействий; К данному классу средств защиты информации относятся механические, электромеханические, электронные, электронно-оптические, радио- и радиотехнические и другие устройства для воспрещения преступных действий. Все физические средства защиты объектов можно разделить на три категории:
а) средства предупреждения (охранная сигнализация);
б) средства обнаружения (видео системы, СКУД);
в) системы ликвидации угроз (запирающие устройства).
- аппаратные средства - приборы, устройства, приспособления и другие технические решения, используемые в интересах защиты информации. В практике деятельности предприятия находит широкое применение самая различная аппаратура, начиная с телефонного аппарата, до совершенных автоматизированных систем. Основная задача аппаратных средств - обеспечение стойкой защиты информации от разглашения, утечки и несанкционированного доступа через технические средства, применяемые в производственной деятельности;
- программные средства - специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки данных;
- криптографические средства - специальные математические и алгоритмические средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования.
1.5 Системы информационной безопасности
Главной целью любой системы информационной безопасности является обеспечение устойчивого функционирования объекта, предотвращение угроз его безопасности, защита законных интересов Заказчика от противоправных посягательств, недопущение хищения финансовых средств, разглашения, утраты, утечки, искажения и уничтожения служебной информации, обеспечение нормальной производственной деятельности всех подразделений объекта. Другой целью системы информационной безопасности является повышение качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов.
Достижение заданных целей возможно в ходе решения следующих основных задач:
отнесение информации к категории ограниченного доступа (служебной тайне);
прогнозирование и своевременное выявление угроз безопасности информационным ресурсам, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;
создание условий функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;
создание механизма и условий оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;
создание условий для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения информационной безопасности на достижение стратегических целей.
Модель построения системы информационной безопасности.
При выполнении работ можно использовать следующую модель построения системы информационной безопасности приводимую на рисунке 1.4 и основанную на адаптации ОК (ISO 15408) и проведении анализа риска (ISO 17799).
Рисунок 1.4 Модель построения системы информационной
безопасности
Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в, международном стандарте ISO/IEC 15408 «Информационная технология» - методы защиты - критерии оценки информационной безопасности», стандарту ISO/IEC 17799 «Управление информационной безопасностью», и учитывает тенденции развития отечественной нормативной базы по вопросам информационной безопасности.
Представленная модель информационной безопасности - это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов.
Рассматриваются следующие объективные факторы:
угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации;
уязвимости информационной системы или системы контрмер (системы информационной безопасности), влияющие на вероятность реализации угрозы;
риск - фактор, отражающий возможный ущерб организации в результате реализации угрозы информационной безопасности: утечки информации и ее неправомерного использования (риск в конечном итоге отражает вероятные финансовые потери - прямые или косвенные).
1.6 Принципы построения систем безопасности
Для построения сбалансированной системы информационной безопасности предполагается первоначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для организации на основе заданного критерия. Систему информационной безопасности (контрмеры) предстоит построить таким образом, чтобы достичь заданного уровня риска.
Анализ состояния дел в сфере защиты информации показывает, что уже сложилась вполне сформировавшаяся концепция и структура защиты, основу которой составляют:
хорошо развитый ассортимент техничес4ких средств защиты информации, производимых на промышленной основе
значительное число, имеющих необходимы лицензии организаций, специализирующихся на решении вопросов защиты информации
четкая система взглядов на проблему защиты информации и наличие некоторого практического опыта.
Тем не менее, несмотря на это число злоумышленных действий над информацией не только не уменьшается, но и имеет достаточно устойчивую тенденцию к росту. Опыт показывает, что для борьбы с этой тенденцией необходима стройная и целенаправленная организация процесса защиты информационных ресурсов. Причем в этом должны активно участвовать профессиональные специалисты, администрация, сотрудники и пользователи, что и определяет повышенную значимость организационной стороны вопроса. Опыт различных ведомств и организаций показывает, что:
обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправных действий;
безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм - Систему Защиты Информации (СЗИ). При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий;
никакая система защиты информации не может обеспечить требуемого уровня информационной безопасности без надлежащей подготовки пользователей и соблюдения ими всех установленных правил, направленных на ее защиту.
Таким образом, можно определить систему защиты информации как организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.
Анализируя вышеприведенные требования, необходимо выделить условия, которым должна удовлетворять система защиты информации:
охватывать весь технологический комплекс информационной деятельности;
- быть разнообразной по используемым средствам, многоуровневой, с иерархической последовательностью доступа;
быть открытой для изменения и дополнения мер обеспечения безопасности информации;
- быть нестандартной, разнообразной. При выборе средств защиты нельзя рассчитывать на неосведомленность злоумышленников относительно ее возможностей;
- быть простой для технического обслуживания и удобной для эксплуатации пользователями;
- быть надежной;
быть комплексной, обладать целостностью, означающей, что ни одна ее часть не может быть изъята без ущерба для всей системы.
Кроме того к системе защиты информации должны быть предъявлены следующие требования:
четкость определения полномочий и прав пользователей на доступ к определенным видам информации;
предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;
сведение к минимуму числа общих для нескольких пользователей средств защиты;
- учет случаев и попыток несанкционированного доступа к конфиденциальной информации;
- обеспечение оценки степени конфиденциальности информации;
обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя;
система защиты информации, как и любая другая система должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию.
С учетом вышеприведенных положений система защиты информации должна иметь:
- правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действий;
- организационное обеспечение. Реализация защиты информации осуществляется определенными структурными единицами - такими, как служба защиты документов, служба режима допуска охраны, служба защиты информации техническими средствами, служба информационно-аналитической деятельности;
- аппаратное обеспечение. Предполагается широкое использование технических средств как для защиты информации, так и для обеспечения деятельности собственно системы защиты информации;
- информационное обеспечение. Включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы;
- программное обеспечение. К нему относятся различные информационные, учетные, статистические, и расчетные программы, обеспечивающих оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации;
- математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты;
- лингвистическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.
Таким образом, под СИСТЕМОЙ БЕЗОПАСНОСТИ понимают организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз. Структурная схема системы безопасности приведена на рисунке 1.5.
Рисунок 1.5. Структурная схема системы безопасности
1.7 Защита компьютерной информации
Ключевым механизмом защиты компьютерной информации в современных информационных системах является разграничение между пользователями прав доступа к ресурсам, основанное на задании и реализации разграничительной политики доступа пользователей к ресурсам и на назначении привилегий пользователям (в том числе, и по доступу к ресурсам, например, использование перекрестных ссылок).
Современные методы защиты компьютерной информации предполагают использование комплексных мер при создании систем информационной безопасности. Поэтому можно сформировать список программных средств и методов защиты компьютерной информации:
-программы, обеспечивающие разграничение доступа к информации;
программы идентификации и аутентификации терминалов и пользователей по различным признакам (пароль, дополнительное кодовое слово, биометрические данные и т.п.), в том числе программы повышения достоверности идентификации (аутентификации);
программы проверки функционирования системы защиты информации и контроля целостности средства защиты от НСД;
программы защиты различного вспомогательного назначения, в том числе антивирусные программы;
программы защиты операционных систем ПЭВМ (модульная программная интерпретация и т.п.);
программы контроля целостности общесистемного и прикладного программного обеспечения;
-программы, сигнализирующие о нарушении использования ресурсов;
-программы уничтожения остаточной информации в запоминающих устройствах (оперативная память, видеопамять и т.п.) после завершения ее использования;
-программы контроля и восстановления файловой структуры данных;
-программы имитации работы системы или ее блокировки при обнаружении фактов НСД;
-программы определения фактов НСД и сигнализации (передачи сообщений) об их обнаружении;
Защищенные программные средства обработки информации:
пакеты прикладных программ автоматизированных рабочих мест;
-базы данных вычислительных сетей;
-программные средства автоматизированных систем управления;
-программные средства идентификации изготовителя программного (информационного) продукта, включая средства идентификации авторского права;
1.8 Угрозы несанкционированного доступа в сеть
Под угрозой понимается потенциально существующая возможность случайного или преднамеренного действия (бездействия), в результате которого могут быть нарушены основные свойства информации и систем ее обработки: доступность, целостность и конфиденциальность. Знание спектра потенциальных угроз защищаемой информации, умение квалифицированно и объективно оценить возможность их реализации и степень опасности каждой из них, является важным этапом сложного процесса организации и обеспечения защиты. Определение полного множества угроз информационной безопасности (ИБ) практически невозможно, но относительно полное описание их, применительно к рассматриваемому объекту, может быть достигнуто при детальном составлении модели угроз.
Возможные способы несанкционированного доступа (НСД) к информации в защищаемых системах управления безопасностью сети:
физический. Может быть реализован при непосредственном или визуальном контакте с защищаемым объектом;
логический. Предполагает преодоление системы защиты с помощью программных средств путем логического проникновения в структуру системы управления безопасностью.
Возможными путями осуществления несанкционированного доступа к данным, защищаемым системой управления безопасностью сети могут быть:
использование прямого стандартного пути доступа. Используются слабости установленной политики безопасности и процесса административного управления сетью. Результатом может быть маскировка под санкционированного пользователя;
использование скрытого нестандартного пути доступа. Используются недокументированные особенности (слабости) системы защиты (недостатки алгоритмов и компонентов системы защиты, ошибки реализации проекта системы защиты).
По типу используемых слабостей системы управления информационной безопасностью сети угрозы несанкционированного доступа к данным могут проявляться в следующих недостатках, возникших в основном при проектировании системы управления безопасностью сети:
недостатки установленной политики безопасности. Разработанная политика безопасности неадекватна критериям безопасности, что и используется для выполнения НСД;
- ошибки административного управления. Недокументированные особенности системы безопасности, в том числе связанные с программным обеспечением, - ошибки, неосуществленные обновления операционных систем, уязвимые сервисы, незащищенные конфигурации по умолчанию;
недостатки алгоритмов защиты. Алгоритмы защиты, использованные разработчиком для построения системы защиты информации, не отражают реальных аспектов обработки информации и содержат концептуальные ошибки;
ошибки реализации проекта системы защиты. Реализация проекта системы защиты информации не соответствует заложенным разработчиками системы принципам.
Кроме того можно вывести следующие положения по возможным способам и методам осуществления несанкционированного доступа к сети:
- анализ сетевого трафика, исследование ЛВС и средств защиты для поиска их слабостей и исследования алгоритмов функционирования АС.
В системах с физически выделенным каналом связи передача сообщений осуществляется напрямую между источником и приемником, минуя остальные объекты системы. В такой системе при отсутствии доступа к объектам, через которые осуществляется передача сообщения, не существует программной возможности анализа сетевого трафика;
введение в сеть несанкционированных устройств.
перехват передаваемых данных с целью хищения, модификации или переадресации;
- подмена доверенного объекта в АС.
- внедрение в сеть несанкционированного маршрута (объекта) путем навязывания ложного маршрута с перенаправлением через него потока сообщений;
внедрение в сеть ложного маршрута (объекта) путем использования недостатков алгоритмов удаленного поиска;
- использование уязвимостей общесистемного и прикладного ПО;
- криптоанализ.
- использование недостатков в реализации криптоалгоритмов и криптографических программ.
- перехват, подбор, подмена и прогнозирование генерируемых ключей и паролей;
- назначение дополнительных полномочий и изменение параметров настройки системы защиты;
- внедрение программных закладок;
- нарушение работоспособности системы информационной безопасности путем внесения перегрузки, уничтожения «критических» данных, выполнения некорректных операций;
- доступ к компьютеру сети, принимающему сообщения или выполняющему функции маршрутизации;
Сформулированные и обоснованные классификационные признаки характеризуют как объект защиты, так и совокупность угроз защищаемым ресурсам. На этой базе можно построить множество конфликтных ситуаций, составляющих задачу защиты информации системах управления сетевой безопасностью.
1.8.1 Системы информационной безопасности сети
Решения информационной безопасности сети направлены на защиту бизнес-процессов в условиях растущей угрозы со стороны эпидемий компьютерных вирусов и злоумышленников, которые воздействуют на бизнес-процессы изнутри и извне. Принимая во внимание скорость распространения новых угроз, системы информационной безопасности сети строятся на базе про-активного подхода, заключающегося в предотвращении атак, а не в борьбе с их последствиями. Основой отличительной особенностью такого подхода служит интеграция механизмов безопасности в сетевую инфраструктуру, в которой все ее составляющие - от персонального компьютера до сетевого оборудования - участвуют в процессе обеспечения безопасности и непрерывности бизнеса.
Преимущества систем информационной безопасности:
- платформа информационной безопасной сети. Позволяет последовательно развивать корпоративную сеть - предсказуемо, по плану обновления, представленному службой IT, и стратегически - используя имеющиеся средства для внедрения системы информационной безопасности там и тогда, когда это наиболее необходимо.
Контроль и защита от угроз. Позволяет использовать инновационные технологии систем информационной безопасности сети, последовательно и заблаговременно обеспечивая контроль и анализ сетевого трафика;
конфиденциальная связь. Позволяет использовать в процессе коммерческой деятельности средства передачи данных, голосовых сообщений, видео, а также пользоваться беспроводной связью, не задумываясь о конфиденциальности и целостности критически важных аспектов делового общения. Благодаря использованию интегрированных, совместимых, адаптируемых сетевых продуктов, технологий и услуг, которые обеспечивают защиту связи;
оперативное руководство и управление политиками. Позволяет использовать набор интегрированных и адаптируемых инструментов управления информационной безопасностью, которые отвечают за распространение политик безопасности в сложных и постоянно меняющихся бизнес-средах.
1.8.2 Принципы построения систем безопасности сети
Создание системы безопасности, как правило, должно начинаться с разработки концепции безопасности - обобщения системы взглядов на проблему безопасности рассматриваемого объекта на различных этапах и уровнях его функционирования, определения основных принципов построения системы, разработки направлений и этапов реализации мер безопасности.
Основные принципы построения систем безопасности следующие:
- принцип законности. Реализация этого принципа осуществляется за счет тщательного соблюдения и выполнения при разработке и построении систем безопасности Положений и требований действующего законодательства и нормативных документов;
принцип своевременности. Реализуется принятием упреждающих мер обеспечения безопасности;
принцип совмещения комплексности и эффективности и экономической целесообразности. Реализуется за счет построения системы безопасности, обеспечивающей надежную защиту комплекса имеющихся на предприятии ресурсов от комплекса возможных угроз с минимально возможными, но не превышающими 20% стоимость защищаемых ресурсов затратами;
принцип модульности. Реализуется за счет построения системы на базе гибких аппаратно-программных модулей. Модульность программы позволяет ей работать в двух режимах - дежурном и инсталляции, позволяет наращивать, изменять конфигурацию системы и вносить другие изменения без замены основного оборудования;
принцип иерархичности. Реализуется за счет построения многоуровневой структуры, состоящей из оборудования Центра, оборудования среднего звена и объектового оборудования. Модульность и иерархичность позволяют разрабатывать системы безопасности для самого высокого организационно - структурного уровня;
принцип преимущественно программной настройки. Реализуется за счет использования для перенастройки оборудования способ ввода новых управляющих программ - модулей;
принцип совместимости технологических, программных, информационных, конструктивных, энергетических и эксплуатационных элементов в применяемых технических средствах. Технологическая совместимость обеспечивает технологическое единство и взаимозаменяемость компонентов. Это требование достигается унификацией технологии производства составных элементов системы. Информационная совместимость подсистем систем безопасности обеспечивает их оптимальное взаимодействие при выполнении заданных функций. Для ее достижения используются стандартные блоки связи с ЭВМ, выдерживается строгая регламентация входных и выходных параметров модулей на всех иерархических уровнях системы, входных и выходных сигналов для управляющих воздействий.
В условиях постоянного повышения стоимости программного обеспечения больших систем, во все больших пропорциях превышающей стоимость технических средств, особенно важное значение приобретает внутри уровневая и межуровневая программная совместимость оборудования.
Конструктивная совместимость обеспечивает единство и согласованность геометрических параметров, эстетических и эргономических характеристик оборудования. Она достигается созданием единой конструктивной базы для функционально подобных модулей всех уровней при условии обязательной согласованности конструкций низших иерархических уровней с конструкциями высших уровней.
Эксплуатационная совместимость обеспечивает согласованность характеристик, определяющих условия работы оборудования, его долговечность, ремонтопригодность, надежность, и метрологических характеристик, а также соответствие требованиям электронно-вакуумной гигиены, технологического микроклимата и т.д.
Энергетическая совместимость обеспечивает согласованность типов потребляемых энергетических средств.
1.9 Аппаратные средства защиты передаваемых данных
Современные системы передачи данных имеют сложную архитектуру и структурные особенности построения, что в свою очередь налагает большие функции по обеспечению защиты он несанкционированного доступа к данным, передаваемым по сетям. Использование программных средств защиты передаваемой информации не способно в полной мере обеспечить гарантию неприкосновенности и целостности передаваемых данных, поэтому наряду с программным обеспечением защиты сетевых структур используются различные аппаратные средства защиты и контроля передаваемых данных.
Для защиты передаваемых и принимаемых данных по системам передачи данных, как через внутренние каналы связи корпорации, так и через общедоступные сети могут применять такие устройства как маршрутизаторы.
Маршрутизатор - устройство для соединения сетей, использующих разные архитектуры и протоколы; осуществляет выбор одного из нескольких путей передачи сетевого трафика, а также фильтрацию широковещательных сообщений для локальной сети
Маршрутизатор, прежде всего, необходим для определения дальнейшего пути данных, посланных в большую и сложную сеть. Пользователь такой сети отправляет свои данные в сеть и указывает адрес своего абонента. Данные проходят по сети и в точках с разветвлением маршрутов поступают на маршрутизаторы, которые как раз и устанавливаются в таких точках. Маршрутизатор выбирает дальнейший наилучший путь. То, какой путь лучше, определяется количественными показателями, которые называются метриками. Лучший путь - это путь с наименьшей метрикой. В метрике может учитываться несколько показателей, например, длина пути, время прохождения, время жизни пакета.
Маршрутизаторы делят на устройства:
верхнего класса;
среднего класса;
нижнего класса.
Высокопроизводительные маршрутизаторы верхнего класса служат для объединения сетей предприятия. Они поддерживают множество протоколов и интерфейсов, причем не только стандартных, но, подчас, и весьма экзотических. Устройства данного типа могут иметь до 50 портов локальных или глобальных сетей.
С помощью маршрутизаторов среднего класса формируются менее крупные сетевые объединения масштаба предприятия. Стандартная конфигурация включает два-три порта локальных сетей и от четырех до восьми портов глобальных сети. Такие маршрутизаторы поддерживают наиболее распространенные протоколы маршрутизации и транспортные протоколы.
Маршрутизаторы нижнего класса предназначаются для локальных сетей подразделений; они связывают небольшие офисы с сетью предприятия. Типичная конфигурация: один порт локальной сети (Ethernet или Token Ring) и два порта глобальной сети, рассчитанные на низкоскоростные выделенные линии или коммутируемые соединения. Тем не менее, подобные маршрутизаторы пользуются большим спросом у администраторов, которым необходимо расширить имеющиеся межсетевые объединения.
На данный момент на рынке сетевого оборудования имеется огромное количество маршрутизаторов с различными функциями. Тем не менее несомненным лидером по производству практически всех типов и функциональных назначений маршрутизаторов является компания Cisco.
Маршрутизаторы с интегрированными сервисами компании Cisco объединяют передачу данных, голоса, видео и беспроводную связь в едином безопасном устройстве, которое гарантирует надежность и обеспечивает модульность, позволяя добавлять новое оборудование для удовлетворения меняющихся бизнес-потребностей.
Маршрутизаторы с интегрированными сервисами компании Cisco поддерживают следующие функции:
беспроводные сети. Дают возможность быть более производительными и лучше осуществлять совместную работу благодаря беспроводному доступу к сети из любой точки офиса;
голосовая связь. Использует расширенные средства связи, такие как обработка вызовов, голосовая почта, автосекретарь и конференции, что позволяет быстрее реагировать на заявки клиентов и экономить дополнительные затраты на удаленную связь;
- видеосвязь. Позволяет пользоваться более рентабельными системами контроля и обеспечения безопасности или обслуживайте передачу мультимедийных потоков по запросу и интерактивно;
- безопасность. Уменьшает бизнес-риски, связанные с вирусами и другими угрозами безопасности;
- виртуальные частные сети. Предоставляет удаленному персоналу и надомным работникам безопасный доступ к активам компании посредством защищенного соединения;
- модульная архитектура. Благодаря широкому спектру доступных вариантов локальных и глобальных сетей можно обновлять сетевые интерфейсы для обслуживания перспективных технологий. Маршрутизаторы Cisco также предлагают несколько типов слотов, что упрощает добавление подключений и сервисов в будущем на основе концепции «интеграция по мере роста требований»;
- гибкость. Возможности подключения посредством DSL, кабельного модема, T1 или беспроводной связи 3G обеспечивают максимальное число вариантов для основных и резервных соединений.
В данном дипломном проекте для реализации сетевых аспектов безопасности, в роли ключевых управляющих элементов сети будут использоваться маршрутизаторы компании Cisco, серии 2800 и 7200.
2. Разработка системы управления объектом защиты и безопасности
2.1 Постановка задачи проектирования
Современное развитие инфраструктуры систем передачи данных, неизменно привело к образованию широкомасштабных по своему планированию сетевых структур. Для защиты данных в подобных сетях необходим комплексный подход в виде создания системы безопасности управления сетью.
Системы управления безопасностью сети могут быть спланированными и внедренными в момент проектирования сооружения и создания в нем кабельной системы передачи данных. В данном случае разрабатывается сетевая модель объекта, анализируются данные об угрозах доступа в сеть данного объекта и принимаются соответствующие меры безопасности. Это весьма дорогостоящее средство защиты информации, оправданное при применении, поскольку позволяет при создании закрыть многие бреши в системе управления безопасностью сети. Которые достаточно сложно ликвидировать в уже спроектированных системах
Модернизация и усиление информационной безопасности передаваемых данных для уже существующих систем управления безопасностью сети представляет собой весьма не простую задачу, поскольку могут возникнуть проблемы планирования сети, внедрения или замены ключевых управляющих элементов системы управления безопасностью сети.
В данном дипломном проекте были выявлены следующие цели и задачи проектирования:
- провести технический анализ состояния информационной защиты здания;
определить возможные места съема акустической информации;
- определить потенциальные места съема визуальной информации;
осуществить анализ защищенности кабельной системы объекта;
провести мониторинг сети передачи данных объекта. Определить потенциальные уязвимости в сети;
- разработать комплекс мер по усилению инженерно-технической защиты объекта;
осуществить модернизацию системы передачи данных объекта, путем внедрения и настройки аппаратных сетевых устройств компании Cisco;
на основе анализа существующих программных продуктов обеспечения защиты и сохранности данных, подобрать и внедрить в систему управления безопасностью объекта программные средства защиты передаваемых и хранимых данных.
для создания модели сети передачи данных объекта, а так же отображения процесса настройки внедряемых с систему маршрутизаторов будет использована программа моделирования работы сети Cisco Packet Tracer.
2.2 Анализ объекта защиты
Объект защиты представляет собой десятиэтажное здание, находящееся на огражденной по периметру территории. Справа и слева имеется граничная территория посторонних компании со смежными границами. Кроме здания на территории присутствует место парковки автомобилей. План прилегающей территории и расположения здания приведен в приложении Б.
Зона расположения объекта защиты информации находится на пятом этаже указанного здания. В контролируемую зону входят следующие объекты и помещения:
кабинет проведения совещаний;
- кабинет руководителя;
серверная;
приборы и техника, система обработки, хранения и передачи данных.
Физико-технические характеристики помещений имеют следующие свойства:
Стены наружные:
материал: железобетонные;
- толщина (0,8 м);
экранирование и штукатурка: присутствует;
- другие материалы: с внутренней стороны стены отделаны под
«евростандарт».
Окна:
- размер проема:2,0*1,5 м;
- тип окна: стеклопакет с двойным утолщенным стеклом.
Двери:
размер проема: 2,2*1,8м
тип: одностворчатые, железные двери, замок механический.
Система вентиляции:
- приточно-вытяжная.
Система отопления:
- центральное водяное.
Система электропитания (освещение):
- сеть: 220 В / 50 Гц;
- тип светильников: галогенные потолочные светильники
Система заземления: отсутствует
Телефонные линии:
- тип ТА.
2.2.1 Контролируемая зона
Контролируемая зона - это территория объекта, на которой исключено неконтролируемое пребывания лиц не имеющие постоянного или разового доступа. Контролируемая зона может ограничиваться периметром охраняемой территорией частично, охраняемой территорией охватывающей здания и сооружения, в которых проводятся закрытые мероприятия, частью зданий, комнаты, кабинеты, в которых проводятся закрытые мероприятия. Контролируемая зона может устанавливаться больше чем охраняемая территория, при этом обеспечивающая постоянный контроль за не охраняемой частью территории. Постоянная контролируемая зона - это зона границы, которой устанавливается на длительный срок. Временная зона - это зона, устанавливаемая для проведения закрытых мероприятий разового характера.
Согласно нормативным документам объекты СО делятся на универсальные объекты, которые в свою очередь делятся на три категории:
первой категории универсального объекта, требуется 50 метров контролируемой зоны;
второй категории объекта, требуется 30 метров;
третей категории объектов требуется 15 метров контролируемой зоны.
Анализируемый объект относится ко второй категории с радиусом контролируемой зоны, равной тридцати метрам.
2.2.2 Возможные каналы утечки информации
Рассматривая общий план местности можно предположить, что наиболее опасными, с точки зрения установки аппаратуры перехвата информации, вне территории контролируемой зоны, будут являться:
дорога;
стоянка;
прилегающие территории и расположенные на них административные здания.
При определении наиболее вероятных мест утечки негласного съема информации, а так же установки средств разведки в пределах контролируемой зоны, необходимо проанализировать не только месторасположение рассматриваемой организации, но и возможные каналы утечки конфиденциальной информации, возникающие в результате эксплуатации различного рода оборудования.
Электромагнитные каналы утечки формируются в результате побочного электромагнитного излучения:
элементов ОТСС (утечка зa счет побочного излучения терминала, съем информации с дисплея но электромагнитному у каналу), сигнал которых (ток, напряжение, частота и фаза) изменяется так же, как и информационный;
вч-генераторов ОТСС и ВТСС (высокочастотный канал утечки в бытовой технике), которое может непреднамеренно модулироваться электрическим сигналом, наведенным информационным;
нч-усилителей технических средств передачи информации (ТСПИ) в результате случайного преобразования отрицательной обратной связи в паразитную положительную, что может привести к самовозбуждению и переходу усилителя из режима усиления в режим автогенерации сигналов, модулированных информационным сигналом.
Канал утечки информации по цепям питания или цепям передачи информации появляются вследствие наводки:
электромагнитного излучения, возникающего при передаче информационных сигналов элементами ОТСС, а также из-за наличия гальванической связи между соединительными линиями ОТСС и другими проводниками или линиями ВТСС (наводки нa линии коммуникаций и сторонние проводники);
информационных сигналов в цепи электропитания (утечка по сети электропитания) вследствие магнитной связи между выходным трансформатором усилителя и трансформатором системы электропитания, а также неравномерной нагрузки выпрямителя, приводящей к изменению потребляемого тока в соответствии с изменениями информационного сигнала;
информационных сигналов в цепи заземления (утечка но цепям заземления) за счет гальванической связи с землей различных проводников (в том числе нулевого провода сети электропитания, экранов) и металлических конструктивных элементов, выходящих за пределы контролируемой зоны безопасности.
Особый интерес представляет перехват информации при передаче по каналам связи, поскольку в этом случае возможен свободный несанкционированный доступ к передаваемой информации. В зависимости от системы связи каналы перехвата информации можно разделить на электромагнитные, электрические и индукционные. Каналы утечки первого типа образуются при перехвате сигналов передатчиков систем связи стандартными техническими средствами, широко используемыми для прослушивания телефонных разговоров по разнообразным радиоканалам (сотовым, радиорелейным, спутниковым). Во втором случае перехват информации, передаваемой по кабельным линиям связи, предполагает подключение к ним телефонных закладок, оснащенных радиопередатчиками. В индукционном канале утечки используется эффект возникновения вокруг кабеля электромагнитного поля при прохождении по нему информационных токовых сигналов, которые могут быть перехвачены с помощью специальных индукционных устройств. Принадлежит к так называемым бесконтактным методам снятия информации. Чаще всего используется для перехвата информации, идущей по телефонным линиям.
Среди каналов утечки акустической информации различают в контролируемой зоне могут быть следующие виды каналов утечки акустической информации:
воздушные;
вибрационные;
электроакустические;
оптоэлектронные;
параметрические.
Однако наиболее на мой взгляд распространен воздушный канал для перехвата информации, где используются высокочувствительные и направленные акустические закладки, например микрофоны, соединенные с диктофонами или специальными мини-передатчиками. Перехваченная закладками акустическая информация может передаваться по радиоканалам, сети переменного тока, соединительным линиям, проложенным в помещении проводникам, трубам и т. п. Для приема информации, как правило, используются специальные устройства. Особый интерес представляют закладные устройства, устанавливаемые либо непосредственно в корпус телефонного аппарата, либо подключаемые к линии в телефонной розетке.
Вибрационный канал имеет среду распространения информации - конструктивные элементы зданий (стены, потолки, полы и др.), а также трубы водо и теплоснабжения, канализации. Для перехвата акустических сигналов в данном случае обычно применяют контактные, электронные (с усилителем) и радио стетоскопы. В контролируемой нами зоне не исключается вариант съема информации по вибрационному каналу, для ликвидации которого будут предприняты меры по усилению меж стенных и потолочных перекрытий.
Электроакустические каналы формируются в результате преобразования акустических сигналов в электрические путем «высокочастотного навязывания» или перехвата с помощью ВТСС. Канал утечки первого типа возникает в результате несанкционированного ввода сигнала ВЧ-генератора в линии, функционально связанные с элементами ВТСС, и модуляции его информационным сигналом. В этом случае для перехвата разговоров, ведущихся в помещении, чаще всего используют телефонный аппарат с выходом за пределы контролируемой зоны. Кроме того, некоторые ВТСС, например датчики систем противопожарной сигнализации, громкоговорители ретрансляционной сети и т. п., могут и сами содержать электроакустические преобразователи (обусловлено появлением так называемого «микрофонного эффекта»).
Облучая лазерным пучком вибрирующие в акустическом поле тонкие отражающие поверхности (стекла окон, зеркала, картины и т. п.), можно сформировать оптозлектронный канал утечки акустической информации. Средства перехвата - локационные системы, работающие, как правило, в ИК-диапазоне и известные как «лазерные микрофоны». Дальность их действия - несколько сотен метров.
Стоит уделить внимание каналам утечки видовой информации, по которым получают изображения объектов или копий документов. Для этих целей используют оптические приборы (бинокли, подзорные трубы, телескопы, монокуляры), телекамеры, приборы ночного видения, тепловизоры и т. п. Для снятия копий документов применяют электронные и специальные закамуфлированные фотоаппараты, а для дистанционного съема видовой информации - видеозакладки.
Особое значение при проектировании системы безопасности в соответствии с темой дипломного проекта было уделено каналам утечки компьютерной информации. Вопросы безопасности обработки информации в компьютерных системах пока еще волнуют в нашей стране не слишком широкий круг специалистов. До сих пор эта проблема более-менее серьезно вставала у нас, пожалуй, только перед рядом государственных и военных органов, а также перед научными кругами. Теперь же появилось большое число фирм и банков, эффективная деятельность которых практически немыслима без использования компьютеров. Как только должностные лица этих и других организаций это поймут, перед ними сразу же встанут именно вопросы защиты имеющейся у них критичной информации.
Анализ вероятных путей утечки информации или ее искажений показывает, что при отсутствии специальных мер защиты обеспечивающих выполнение функций, возложенных на вычислительную систему, возможно:
снятие дистанционными техническими средствами секретных сообщений с мониторов ЭВМ, с принтеров (перехват электромагнитных излучений;
получение информации обрабатываемой в ЭВМ по цепям питания;
акустическая или электроакустическая утечка вводимой информации;
перехват сообщений в канале связи;
навязывание ложного сообщения;
считывание (изменение) информации ЭВМ при несанкционированном доступе.
хищение носителей информации и производственных отходов;
чтение остаточной информации в ЗУ системы после выполнения санкционированных запросов;
копирование носителей информации;
несанкционированное использование терминалов зарегистрированных пользователей;
маскировка под зарегистрированного пользователя с помощью хищения паролей и других реквизитов разграничения доступа;
маскировка несанкционированных запросов под запросы операционной системы (мистификация);
использование программных ловушек;
получение защищаемых данных с помощью серии разрешенных запросов;
использование недостатков языков программирования и операционных систем;
преднамеренное включение в библиотеки программ специальных блоков типа «троянских коней»;
злоумышленный вывод из строя механизмов защиты.
В особую группу следует выделить специальные закладки для съема информации с компьютеров. Миниатюрный радиомаяк, встроенный в упаковку, позволяет проследить весь путь следования закупленной ЭВМ, транслируя сигналы на специальный передатчик. Узнав таким путем, где установлена машина, можно принимать любую обработанную компьютером информацию через специально вмонтированные электронные блоки, не относящиеся к ЭВМ, но участвующие в ее работе. Самая эффективная защита от этой закладки - экранированное помещение для вычислительного центра. В процессе анализа каналов утечки информации, особое внимание следует уделить защите систем и линий передачи компьютерной информации. Структурная схема системы предприятия приведена на рисунке 2.1.
Рисунок 2.1 Система передачи компьютерных данных
Специалисты Cisco разработали цикл защиты, приведенный на рисунке 2.2, чтобы формализовать процесс внедрения и использования средств защиты сети. Процесс, изображаемый диаграммой, называется оценкой состояния защиты.
Рисунок 2.2 Цикл защиты
Он представляет собой постоянные циклично повторяющиеся мероприятия компании, направленные на защиту ее жизненно важных активов при наименьших затратах, позволяющих снизить риск потерь до приемлемого уровня.
Ввиду сложной итерационной природы задачи обеспечения безопасности предприятия, чтобы предприятие оставалось защищенным от самых новых угроз, процесс не должен останавливаться никогда. Указанный цикл включает следующие четыре фазы.
Защита. Необходимая защита корпоративных данных. На этой стадии организации обычно начинают применение технологий защиты (например, брандмауэров и систем аутентификации), повышающих степень защиты сети.
Мониторинг. Наблюдение за активностью (как внешней, так и внутренней) в критических точках доступа к сети. Кроме того, следует постоянно проводить мониторинг сетей на предмет выявления вторжений и фактов недопустимого использования, а также иметь механизмы автоматизированного подавления несанкционированной активности, работающие в реальном масштабе времени. Мониторинг может выполняться системами обнаружения вторжений. Такие системы призваны автоматизировать выявление сетевых вторжений. CiscoSecure IDS является системой обнаружения вторжений, работающей в реальном масштабе времени, причем данная система прозрачна для потока легальных данных и допустимых действий в сети. CiscoSecure IDS состоит из двух компонентов: сенсоров и управляющих устройств. Сенсоры CiscoSecure IDS, представляющие собой скоростные сетевые устройства, анализируют содержимое отдельных пакетов на предмет наличия в сетевом трафике признаков угрозы или вторжения. Если поведение потока данных вызывает подозрение, сенсоры CiscoSecure IDS в реальном масштабе времени регистрируют нарушение политики и передают сигналы тревоги управляющей консоли CiscoSecure IDS, чтобы вовремя отключить нарушителя от сети и не допустить дальнейшего развития атаки. Управляющее устройство CiscoSecure IDS представляет собой высокопроизводительную программную систему управления, осуществляющую централизованное управление множеством сенсоров CiscoSecure IDS, размещенных в локальных или удаленных сегментах сети;
Тестирование. Проверка того, что меры защиты являются достаточными для успешного противостояния различным хакерским атакам. Кроме того, поскольку сети динамично развиваются и часто меняют свою конфигурацию, необходимо постоянно проверять состояние системы защиты и давать соответствующую оценку ее уязвимости.
Совершенствование. Внедрение новых и обновление имеющихся средств защиты. Необходимо централизованное управление всеми средствами и политиками защиты с целью достижения максимума эффективности и быстрого внедрения усовершенствований.
Процесс оценки состояния защиты определяет направление развития системы защиты всего предприятия. При этом определяются связанные с безопасностью роли и ответственность служащих звена управления корпорации и подразделения информационных технологий, корпоративные данные разделяются по уровням секретности и определяются допустимые риски для каждого из этих уровней. В центре цикла защиты находится наиболее важный элемент - политика сетевой защиты. Политика сетевой защиты содержит инструкции, устанавливающие необходимый уровень защиты предприятия, и должна определять следующие элементы.
Важные для предприятия активы, которые следует защищать.
Ресурсы (денежные, человеческие и временные), которые предприятие готово потратить на защиту того, что оно считает важным.
Уровень риска, с которым предприятие готово смириться.
Ключом к успеху при построении системы защиты сети является баланс между простотой использования средств защиты и степенью защиты, обеспечиваемой этими средствами. Если затраты на защиту несоразмерны действительной опасности, это нанесет вред интересам компании. А если меры предосторожности будут сильно ограничивать пользователей, они могут найти пути их обхода, что сведет на нет пользу от введения соответствующих мер.
Для анализа защищенности системы информационной безопасности сети используются специальные программные средства анализа. Системный интегратор в проектах по аудиту информационной безопасности сети организации, а также при проведении теста на проникновение (Penetration Test) предлагает решения на базе продуктов анализа защищенности - сетевых сканеров безопасности. В зависимости от архитектуры построения сети организации основывается на следующих продуктах:
сетевой сканер безопасности «XSpider» компании «Positive Techlogies»
- сетевой сканер безопасности «Internet Scanner» компании «Internet Security Systems».
Сетевые сканеры безопасности являются наиболее доступными и широко используемыми средствами анализа защищенности. Основной принцип их функционирования заключается в эмуляции действий потенциального злоумышленника по осуществлению сетевых атак. Принцип работы анализатора приведен на рисунке 2.3.
Рисунок 2.3 Принцип работы анализатора состояния защищенности системы безопасности сетипроверяет возможные уязвимости независимо от программной и аппаратной платформы узлов: рабочие станций под Windows, сервера Unix, Linux, Solaris, Novell, Windows, AS400, сетевые устройства Cisco и т.п. XSpider функционирует под управлением операционной системы Microsoft Windows.
Функции, выполняемые программой, для анализа состояния защищенности:
идентификация сервисов на случайных портах;
эвристический метод определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH) вне зависимости от их ответа на стандартные запросы;
обработка RPC-сервисов (Windows, Unix, Linux) с их полной идентификацией;
проверка слабости парольной защиты;
анализ контента WEB-сайтов;
анализатор структуры HTTP-серверов;
проведение проверок на DoS-атаки;
ежедневное добавление новых уязвимостей и проверок;
планировщик заданий для автоматизации работы;
одновременное сканирование большого числа компьютеров (ограничивается, как правило, скоростью сетевого канала);
ведение истории проверок;
выдача рекомендаций по устранению уязвимостей;
генерация отчетов с различными уровнями детализации;
Система анализа защищенности Internet Scanner предназначена для обнаружения уязвимостей в различном программно-аппаратном обеспечении корпоративной сети. При помощи данной системы можно проводить регулярные всесторонние или выборочные тесты сетевых сервисов, операционных систем, распространенного прикладного программного обеспечения, маршрутизаторов, межсетевых экранов, Web-серверов и т.п. На основе проведенных тестов система Internet Scanner вырабатывает отчеты, содержащие описание каждой обнаруженной уязвимости, ее расположение на узлах корпоративной сети и рекомендации по их коррекции или устранению. Система Internet Scanner может быть использована для анализа защищенности любых систем, основанных на стеке протоколов TCP/IP.
Функции, выполняемые программой, для анализа состояния защищенности:
инвентаризация неограниченного числа узлов;
- анализ редко используемых сервисов;
- анализ защищенности рабочих станций;
- обнаружение уязвимостей, появившихся с последнего сканирования;
- обнаружение конфигураций «по умолчанию»;
- анализ настроек сетевого оборудования;
- анализ настроек межсетевых экранов;
- анализ защищенности удаленных офисов;
- динамическое включение/отключение проверок;
- автоматизация рутинных операций;
- разделение обязанностей между управлениями информационных технологий и информационной безопасности;
- обнаружение модемов в корпоративной сети;
- обнаружение неизвестных устройств;
- учет времени устаревания уязвимости;
- выдача рекомендаций по устранению уязвимостей;
- генерация отчетов с различными уровнями детализации.
Анализ данной сетевой структуры показал наличие следующих уязвимостей и угроз информационной безопасности для передаваемых данных:
в данной системе передачи данных ключевые управляющие элементы сети представлены коммутаторами, без функций анализа поступающего и исходящего трафика;
в системе отсутствует возможность организации частного канала передачи данных для двух и более сторон;
нет надежной защиты серверов хранения и обработки массивов данных;
не имеется многофункциональных сетевых устройств для организации голосовой связи, создания широкополосных подключений внешних сетей;
в системе передачи данных так же не имеется специализированного программного обеспечения для защиты хранимых и передаваемых данных;
- не обеспечена должная степень информационной защищенности пользовательских станций.
2.3 Разработка политики защиты контролируемой зоны
Для обеспечения защиты периметра контролируемой зоны, мной были разработаны следующие положения и методы, необходимые к внедрению:
- замки и двери. Надежный замок в двери центра данных - первая строка физического обеспечения безопасности. Порекомендую кодовый замок, который поддерживает безопасность на уровне пользователя. Надо установите различные комбинации для каждого пользователя и периодически менять их. Ввести процедуру блокировки доступа пользователя, который покидает компанию. Стандартные замки с ключами или кодовые замки с единственной комбинацией небезопасны, поскольку они не имеют достаточно возможностей регистрации, а потерять ключ или подобрать одну комбинацию достаточно легко. Лучше использовать замок, имеющий защитный экран, такой, что только пользователь, вводящий комбинацию, может видеть вспомогательную клавиатуру. Замок нужно сконфигурировать для записи в журнал событий регистрации пользователей, входящих в закрытую область. Компании предоставляют блокирующие системы, которые поддерживают регистрацию. Эти замки имеют встроенный инфракрасный порт (IR), который можно задействовать для печати журнала событий и списка пользователей. Кроме того, можно использовать замки с магнитными картами и идентификационные бейджи (proximity badges), которые поддерживают регистрацию событий. Основной риск для любой системы, которая требует от пользователей ввода кода, наличия идентификационной карточки или ключа связан с тем, что не имеющие на самом деле прав доступа пользователи все равно могут его получить;
- необходимо укрепить дверную раму и обшивку, петли расположить так, чтобы злоумышленники не могли снять дверь снаружи, или установите несъемные петли. Использовать для крепления петель и несущей конструкции длинные винты, уходящие в стену. Приварить гайки любых болтов, которые выходят на поверхность стальных дверей;
- потолки и полы. чтобы перекрыть возможность доступа для злоумышленников, на стенах, которые наращиваются до реального потолочного покрытия и пола, устанавливают датчики движения в помещении. Стены, пол и потолок за экранировать металлом;
- электроэнергия. Если основные панели выключателей находятся возле центра данных (например, снаружи за дверью), перенести их, либо запереть.
Один из возможных способов проникновения в систему - отключение энергии в надежде заблокировать сигнал тревоги и другое оборудование защиты периметра. Установить UPS для серверов и расположить оборудование контроля доступа так, чтобы иметь некоторую защиту на время отключения энергии.
2.3.1 Обеспечение защиты помещения проведения совещаний
Для организации усиления защиты помещения для проведения совещаний, план которого приводится в приложении Б, в соответствии с категориями хранимой информации должны разработаны следующие меры по контролю доступа в помещение и документации:
- организована Системы Контроля Управления Доступом к помещению. Доступ в кабинет должен осуществляться только уполномоченными на это лицами. Лица, не имеющие прав доступа к помещению могут находиться там только с разрешения или в присутствии уполномоченного на это лица. В целях повышения защиты от несанкционированного проникновения необходимо установить на дверь электронный замок со считывателем карт. Владельцем карт может быть только доверенное лицо;
- на дверь установлена охранная сигнализация, для предупреждения взлома двери, электронного замка и получения несанкционированного доступа к помещению;
- для исключения утечки акустической информации сквозь дверной проем в коридор, использован звукопоглощающий материал, устанавливаемый между стеной и дверной рамой;
- на шкафы с хранящейся в них документацией будут установлены механические замки;
- вентиляционные шахты и вентиляционные люки в целях предотвращения утечки информации по акустическому каналу оборудованы специальными шумо-поглощающими перегородками, как показано на рисунке 2.4, где 1 - стенки короба вентиляции, 2 - звукопоглощающий материал;
Рисунок 2.4 Вентиляционная перегородка
- оконные стеклопакеты виброизолируются от рам с помощью резиновых прокладок для снижения возможности прямого акустического снятия информации.
Так же на окна целесообразно установить подвижные жалюзи для перекрытия возможности прямого визуального снятия информации;
- предусматривается установка оконных решеток, для предотвращения проникновения посторонних лиц сквозь оконный проем;
- для защиты от утечки информации по параметрическому каналу целесообразно использование антистатических браслетов, а так же специальных резиновых уплотнителей, которые устанавливаются на проводящие коммуникации - системы отопления в местах их входа и выхода в помещение.
2.3.2 Обеспечение защиты помещения руководителя
Правила защиты кабинета руководителя имеют положения правил защиты комнаты для совещаний.
Тем не менее, ввиду наличия в данном помещении персонального компьютера с хранимой на ней конфиденциальной информацией, в добавок к разработанным методам усиления безопасности для помещения проведения совещаний вводятся нижеследующие положения:
- для защиты от утечки информации с ПЭВМ по параметрическому каналу целесообразно использование антистатических браслетов, а так же специальных резиновых уплотнителей;
по возможности расположить лицевую часть монитора таким образом, чтобы предотвратить возможность снятия визуальной информации через оконный или дверной проем;
установка на персональный компьютер соответствующего программного обеспечения для защиты данных.
2.3.3 Обеспечение защиты помещения серверной
В соответствии с TIA/EIA 568A серверная комната - это местонахождение кросса для связи магистрали и горизонтальной проводки. Кроме того, она служит для размещения оборудования связи, оконцевания кабеля и перекрестной проводки.
В соответствии с вышеназванным стандартом, правила проектирования защиты для серверных имеют следующие основные пункты, которые применены мной, для усиления информационной защиты объекта:
- на дверь установлена охранная сигнализация, для предупреждения взлома двери, электронный замок для предотвращения получения несанкционированного доступа к помещению;
в соответствии с положениями о правилах организации серверных комнат, в данном проекте серверная комната располагается в центральной части этажа и не имеет наружных стен;
в целях сокрытия местоположения серверной, на дверях отсутствуют какие-либо таблички и отличительные информационные знаки;
- в помещении устанавливаются датчики движения, камеры видеонаблюдения;
перед входом телефонных линий в распределительный щиток устанавливается устройство защиты телефонных линий SEC - 2003;
- перед входом цепей питания и электроснабжения в распределительный щиток устанавливается генератор шума по сети 220 В - SEL SP - 41/C;
для развязки линий электропитания вводится использование сетевых фильтров;
- в обязательном порядке производится заземление серверных стоек, в соответствии со схемой заземления, приведенной на рисунке 2.5.;
разрабатывается политика доступа доверенных лиц в помещение;
Рисунок 2.5 Схема защитного заземления
2.4 Разработка политики безопасности сети и коммуникаций
Политика безопасности организации (англ. organizational security policies) - совокупность руководящих принципов <#"justify">Главной причиной появления политики безопасности обычно является требование наличия такого документа от регулятора - организации, определяющей правила работы предприятий данной отрасли. В этом случае отсутствие политики может повлечь репрессивные действия в отношении предприятия или даже полное прекращение его деятельности. Кроме того, определенные требования (рекомендации) предъявляют отраслевые или общие, местные или международные стандарты. Обычно это выражается в виде замечаний внешних аудиторов, проводящих проверки деятельности предприятия.
Отсутствие политики вызывает негативную оценку, которая в свою очередь влияет на публичные показатели предприятия - позиции в рейтинге, уровень надежности.
На основе выявленных недостатков в защите системы передачи данных разработана следующая политика безопасности сети:
Аудит - раздел, посвященный аудиту в политике безопасности, определяет типы событий, отслеживаемых во всех системах. Стандартными событиями являются следующие:
- попытки входа в систему управления информационной безопасностью сети (успешные или неудачные);
выход из системы;
ошибки доступа к файлам или системным объектам;
попытки удаленного доступа (успешные или неудачные);
действия привилегированных пользователей (администраторов), успешные или неудачные;
системные события (выключение и перезагрузка).
Каждое событие должно включать следующую информацию:
ID пользователя (если имеется);
дата и время;
ID процесса (если имеется);
выполненное действие;
успешное или неудачное завершение события.
В разрабатываемой политике безопасности устанавливается срок и способ хранения записей аудита. По возможности указывается способ и частота просмотра этих записей. Во многих организациях применяется политика длительного хранения информации. Перед разработкой политики безопасности внимательно ознакомьтесь с существующими правилами, чтобы в разных политиках не было похожих требований.
В данной политике сетевой безопасности для каждого типа соединений в сети политика безопасности описывает правила установки сетевых соединений и используемые механизмы защиты:
- соединения наборного доступа. Требования к этим соединениям устанавливают технические правила аутентификации, включая правила аутентификации для каждого типа соединения. Они излагаются в разделе аутентификации политики и могут устанавливать более сильные способы аутентификации, чем обычные. Кроме того, в политике определяются требования к аутентификации при получении доступа через соединения наборного доступа. Для организации целесообразно установить строгий контроль над разрешенными точками доступа, чтобы соблюдать требования авторизации в сети;
- выделенные линии. В организациях используются различные типы выделенных линий, и для каждого типа необходимо определить устройства защиты. Чаще всего такими устройствами являются межсетевые экраны. Только лишь указание типа устройства само по себе не предусматривает какого-либо уровня защиты. Политика безопасности должна определять базовую политику контроля доступа, применяемую на устройстве, а также процедуру запроса и получения доступа, не являющуюся частью стандартной конфигурации;
- удаленный доступ к внутренним системам. Нередко организации позволяют своим сотрудникам осуществлять доступ к внутренним системам из внешних удаленных местоположений. Политика безопасности должна определять механизмы, используемые при осуществлении такого доступа. Необходимо указать, чтобы все соединения были защищены шифрованием, определить специфику, связанную с типом шифрования. Так как подключение осуществляется извне организации, рекомендуется использовать надежный механизм аутентификации. Кроме того, политика безопасности должна определять процедуру прохождения авторизации для такого доступа. Беспроводные сети. Беспроводные сети становятся популярными, и установка в подразделении беспроводной связи без ведома отдела информационных технологий уже стала обычным делом. Политика безопасности должна определять условия, при которых разрешается использование беспроводных соединений, и то, каким образом будет осуществляться авторизация в такой сети. Если предполагается разрешить использование беспроводной сети, то необходимо указать дополнительные требования, предъявляемые к аутентификации или шифрованию. Беспроводные сети должны рассматриваться как внешние незащищенные сети, а не как часть внутренней сети организации. Если так и есть на самом деле, данный факт должен быть отмечен в политике.
Базовыми элементами политики в области безопасности являются идентификация, целостность и активная проверка.
Идентификация призвана предотвратить угрозу обезличивания и несанкционированного доступа к ресурсам и данным. Целостность обеспечивает защиту от подслушивания и манипулирования данными, поддерживая конфиденциальность и неизменность передаваемой информации. И наконец, активная проверка (аудит) означает проверку правильности реализации элементов политики безопасности и помогает обнаруживать несанкционированное проникновение в сеть и атаки типа DoS.
Механизмы идентичности необходимо внедрять осторожно, т.к. даже самая продуманная политика может быть расстроена, если сложно использовать усовершенствования. Классическим примером является запись пароля на клочке бумаги и прикрепление его к монитору компьютера - что является выходом для потребителя, который должен помнить множество паролей для получения доступа к меняющимся составным частям сети. Обременительные или чрезмерно дублированные системы верификации и авторизации могут расстроить пользователей, поэтому их следует избегать. Методы идентификации могут основываться на протоколе S/Key или осуществляться при помощи специальных аппаратных средств (token password authentication). А в среде модемного доступа часто применяется механизм идентификации по протоколу Point-to-Point Protocol (PPP), который включает использование протоколов Password Authentication Protocol (PAP), Challenge Handshake Protocol (CHAP) и Extensible Authentication Protocol (EAP).
Целостность - это элемент, который включает безопасность устройства инфраструктуры сети (физический и логический доступ), безопасность периметра и конфиденциальность данных. Безопасность физического доступа может выражаться в размещении оборудования сети в специально созданных для этого оборудования шкафах, которые имеют ограниченный доступ.
Безопасность логического доступа главным образом относится к обеспечению механизмов идентичности (идентификации и авторизации) перед тем, как дать доступ для сети связи Telnet или для терминала к компонентам инфраструктуры общей сети (например, маршрутизаторам или межсетевым экранам). Безопасность периметра связана с функциями межсетевых экранов, определяющих, какой трафик разрешен или запрещен от различных зон сети, обычно - между сетью Интернет и главным комплексом или между пользователями удаленного доступа и главным комплексом.
Конфиденциальность данных может обеспечиваться протоколами безопасности на транспортном уровне SSL и Secure Shell Protocol (SSH), которые осуществляют безопасную передачу данных между клиентом и сервером. Безопасный протокол передачи гипертекста (S-HTTP) предоставляет надежный механизм Web-транзакций, однако в настоящее время наиболее популярным средством является SSL. Средство SOCKS является рамочной структурой, позволяющей приложениям клиент/сервер в доменах TCP и UDP удобно и безопасно пользоваться услугами сетевого межсетевого экрана. Протокол безопасности IP (IPSec) представляет собой набор стандартов поддержки целостности и конфиденциальности данных на сетевом уровне (в сетях IP). X.509 является стандартом безопасности и идентификации, который поддерживает структуры безопасности электронного информационного транспорта.
Последним главным элементом системы безопасности является аудит, который необходим для слежения и верификации процесса исследования политики безопасности. Для испытания эффективности инфраструктуры системы безопасности, аудит безопасности должен происходить часто, через равные промежутки времени. Он также должен включать проверки установки новой системы, методы для определения возможной вредительских действий кого-либо из внутреннего персонала и возможного наличия особого класса проблем (нападения типа «отказ в сервисе»), а также общее следование политике безопасности объекта.
При разработке политики безопасности необходимо учитывать требование сбалансировать легкость доступа к информации и адекватный механизм идентификации разрешенного пользователя и обеспечения целостности и конфиденциальности данных. Политика безопасности должна внедрятся принудительно как технически, так и организационно - тогда она будет по-настоящему эффективна.
Таким образом, для усиления информационной безопасности системы передачи данных анализируемого объекта необходимо выполнение следующих действий:
- внедрение в существующую сеть ключевых элементов - для управления адресацией;
осуществить разграничение данной сети на сектора, представляющие сервера хранения информации, почтовых серверов, сетей работы пользователей, web-сервер, виртуального частного канала удаленной связи и выхода в интернет;
- подробное изучение характеристик маршрутизаторов компании Cisco для оптимального выбор центрального маршрутизатора разрабатываемой системы управления информационной безопасностью сети.
- в ключевых сегментах сети производится внедрение интеллектуальных маршрутизаторов компании CISCO;
осуществляется персональная конфигурация маршрутизаторов каждого сегмента сети;
выбор и настройка программного обеспечения для защиты передаваемых данных. Настройка Outpost Firewall Pro.
2.4.1 Интернет-шлюз + файерволл как основа системы управления
Проблема внедрения в сеть шлюзов и файерволов заключается в том, что все локальные компьютеры находятся в доверенной сети и уязвимым местом становится именно шлюз, который устанавливается на границе доверенной сети и сети интернет. Захватив шлюз через интернет, злоумышленник попадает в доверенную сеть предприятия и может захватить другие компьютеры локальной сети и получить доступ к важной информации. Поэтому требования к современному шлюзу предъявляются очень высокие.
Интернет-шлюз стоит в одном ряду с другими готовыми решениями как показано на рисунке 2.6.
Рисунок 2.6 Функции интернет - шлюза
Интернет-шлюз должен соответствовать следующим главным критериям:
универсальность (подходит для большинства предприятий);
функциональность (обладает всеми необходимыми возможностями для решения задач);
надёжность (безотказность работы в любых условиях);
низкая стоимость владения (минимальные расходы на внедрение и
сопровождение;
- простота в использовании и управлении).
Однако наиболее распространённые на сегодняшний день интернет-шлюзы не полностью удовлетворяют современным требованиям, поэтому к подходу выбора шлюза для систем управления безопасностью сети необходимо подходить с четким анализом требований к осуществления информационной безопасности и возможностям интегрируемого в нее шлюза. В таблице показаны распространённые виды интернет-шлюзов и их преимущества и недостатки.
Таблица 2.1. Основная градация интернет шлюзов
Программы и службы под ОС Windows+ низкая стоимость - низкая безопасность и надежность - используются в малых сетяхСобственные разработки на базе ОС Linux/FreeBSD+ хорошая безопасность - сложность в обслуживании - слабая функциональностьАппаратный маршрутизатор + высокая надежность и безопасность - высокая стоимость внедрения и сопровождения - слабая функциональность по работе с пользователями
2.5 Выбор и конфигурирование аппаратных средств защиты данных
Компания Cisco Systems предлагает концепцию архитектуры безопасности для сетевых решений, а так же позволяет осуществлять внедрение в систему управления информационной безопасностью внедрение наряду с собственными средствами и управляющими элементами, аппаратных средств сторонних производителей. Таким образом, построение системы управления безопасностью сети на программно-аппаратной платформе Cisco позволяет осуществлять следующие политики и действия, направленные на обеспечение эффективного управления безопасностью сети:
- сертифицируются как VPN-продукты;
используют сертифицированные сторонние криптобиблиотеки;
воспроизводят пользовательские интерфейсы и профиль VPN-протоколов продуктов Cisco;
управляются с платформы CiscoWorks;
поддерживают единую ключевую инфраструктуру и могут работать с несколькими PKI одновременно;
обеспечивают перенос байта ToS в заголовок пакета IPSec, позволяя транслировать информацию о требуемом качестве сервиса (QoS) от устройств внутреннего периметра во внешние сети;
поддерживают структурное резервирование для шлюзов и серверов;
поддерживают протоколы RADIUS, SSL, EAP/TTLS.
Интеграция этих средств с такими элементами решений Cisco как:
- расширенная пакетная фильтрация;
- поддержка внешних систем аутентификации;
- средства обнаружения проникновения;
- подсистема мониторинга безопасности;
- средства фильтрации нежелательного контента;
- антивирусная защита;
- управление политикой безопасности сети и отдельных устройств;
- управление конфигурациями устройств - позволяет создавать на базе программно-аппаратной платформы Cisco эффективные системы управления информационной безопасностью.
Анализ характеристик межсетевых экранов для выбора центрального маршрутизатора системы управления информационной безопасностью сети.
Межсетевой экран Cisco Secure Private Internet Exchange (PIX) Firewall позволяет реализовать защиту корпоративных сетей на недостижимом ранее уровне, при этом прост в эксплуатации. PIX Firewall может обеспечить абсолютную безопасность внутренней сети, полностью скрыв ее от внешнего мира. В отличие от обычных proxy-серверов, выполняющих обработку каждого сетевого пакета в отдельности с существенной загрузкой центрального процессора, PIX Firewall использует специальную не UNIX-подобную операционную систему реального времени, обеспечивающую более высокую производительность. Основой высокой производительности межсетевого экрана PIX Firewall является схема защиты, базирующаяся на применении алгоритма адаптивной безопасности (adaptive security algorithm - ASA), который эффективно скрывает адреса пользователей от хакеров. Этот устойчивый алгоритм обеспечивает безопасность на уровне соединения на основе контроля информации об адресах отправителя и получателя, последовательности нумерации пакетов TCP, номерах портов и добавочных флагах TCP. Эта информация сохраняется в таблице, проверку на соответствие с записями которой проходят все входящие пакеты.
Доступ через PIX разрешен только в том случае, если соединение успешно прошло идентификацию. Этот метод обеспечивает прозрачный доступ для внутренних пользователей и авторизованных внешних пользователей, при этом полностью защищая внутреннюю сеть от несанкционированного доступа. Благодаря применению технологии «сквозного посредника» (Cut-Through Proxy) межсетевой экран Cisco PIX Firewall также обеспечивает существенное преимущество в производительности по сравнению с экранами-посредниками на базе ОС UNIX. Как и обычные proxy-серверы, PIX контролирует установление соединения на уровне приложения. После успешного прохождения пользователем авторизации доступа, в соответствии с принятыми правилами безопасности, PIX обеспечивает контроль потока данных между абонентами на уровне сессии. Такая технология позволяет межсетевому экрану PIX работать значительно быстрее, чем обычные proxy-экраны.
Помимо повышения производительности, применение специализированной встроенной операционной системы реального времени также обеспечивает повышение уровня безопасности. В отличие от операционных систем семейства UNIX, исходный текст которых широко доступен, Cisco PIX - собственная разработка компании, созданная специально для решения задач обеспечения безопасности. Для повышения надежности межсетевой экран PIX Firewall предусматривает возможность установки в сдвоенной конфигурации в режиме «горячего резервирования», за счет чего в сети исключается наличие единой точки возможного сбоя. Если два PIX-экрана будут работать в параллельном режиме, и один из них выйдет из строя, то второй в прозрачном режиме «подхватит» исполнение всех функций обеспечения безопасности.
Высокая производительность. Межсетевой экран Cisco Secure PIX Firewall поддерживает более 500 тысяч одновременных соединений и, соответственно, обеспечивает поддержку сотен и тысяч пользователей без снижения производительности. Полностью загруженный PIX Firewall может обеспечить пропускную способность до 1,0 Гбит/с, т.е. существенно выше, чем любой межсетевой экран на базе ОС UNIX или ОС Microsoft Windows NT.
Простота использования Межсетевой экран Cisco Secure PIX Firewall обеспечивает низкую стоимость использования и сопровождения Пользователи, не имеющие специальной подготовки могут быстро настроить с помощью простой графической оболочки PIX Device Manager (PDM), доступ к которой осуществляется с помощью обычного web-браузера. PDM - это приложение, использующее http-сервер, встроенный в PIX, и поддерживающее основной набор команд, необходимый для начальной настройки межсетевого экрана. PDM позволяет настраивать PIX Firewall практически с любого компьютера, для защиты устройства от «взлома» во время конфигурирования пользователь может использовать протокол SSL.
Решение проблемы нехватки IP-адресов. Межсетевой экран Cisco Secure PIX Firewall также позволяет избежать проблемы нехватки адресов при расширении и изменении IP-сетей, Технология трансляции сетевых адресов Network Address Translation (NAT) делает возможным использование в частной сети как существующих адресов, так и резервных адресных пространств. Например, это позволяет использовать всего лишь один реальный внешний IP-адрес для 64 тысяч узлов внутренней частной сети. PIX также может быть настроен для совместного использования транслируемых и не транслируемых адресов, позволяя использовать как адресное пространство частной IP-сети, так и зарегистрированные IP-адреса. В настоящее время пользователям Firewall предлагаются следующие модели аппаратно-программных межсетевых экранов Cisco Secure PIX Firewall - PIX 501, 506E, 515E, 525 и 535.
Сравнительные характеристики CISCO PIX FIREWALL приводятся в таблице 2.2
Таблица 2.2 Сравнительные характеристики маршрутизаторов компании Cisco
Pix 501Pix 506EPix 515Pix 525Pix 535Производительность, Мбит/сек601001903301667Максимальное число соединений750025 000130 000280 000500 000Количество одновременно поддерживаемых сессий19 50053 000176 000625 0001 000 000Поддерживаемые физические интерфейсы1х10/100 Ethernet и 4-портовый коммутатор 10/1002х10/100 EthernetДо 6х10/100 EthernetДо 8х10/100 EthernetДо 10х10/100 EthernetПоддерживаемые логические интерфейсы VLAN 802.1q0081024Производительность VPN (Triple DES / AES-128), Мбит/сек3/4,516/30135*/130*145*/135*425*/495*Максимальное число VPN-туннелей10252000*2000*2000*
Основные возможности CISCO PIX FIREWALL:
- строгая система защиты от несанкционированного доступа на уровне соединения обеспечивает безопасность ресурсов внутренней сети;
- технология Cut Through Proxy позволяет контролировать как входящие, так и исходящие соединения на базе таких протоколов безопасности, как Terminal Access Controller Access Control System (TACACS+ или Remote Access Dial-In User Service (RADIUS);
- до шести сетевых интерфейсов для применения расширенных правил защиты. Графический интерфейс администратора Security Manager предназначен для настройки до 100 межсетевых экранов PIX Firewall с единой консоли;
- динамическая и статическая трансляция адресов. Поддержка протокола сетевого управления SNMP;
- учетная информация с использованием ведения журнала системных событий (syslog);
- прозрачная поддержка всех основных сетевых услуг, таких как World Wide Web (WWW), File Transfer Protocol (FTP), Telnet, Archie, Gopher.
Поддержка приложений мультимедиа, включая Progressive Networks RealAudio & ReadVideo, Xing StreamWorks, White Pines CU-SeeMe, Vocal Tec Internet Phone, VDOnet VDOLive, Microsoft NetShow и VXtreme Web Theater;
- поддержка взаимодействий Microsoft Networking сервер - клиент, Oracle SQL Net сервер - клиент;
- безопасная встроенная операционная система реального времени;
- нет необходимости обновления ПО на рабочих станциях и маршрутизаторах;
- полный доступ к ресурсам сети Интернет для зарегистрированных пользователей внутренней сети;
- совместимость с маршрутизаторами, работающими под управлением Cisco IO;
- поддержка видеоконференций по протоколу Н.323, включая Microsoft NetMeeting, Intel Internet Video Phone и White Pine Meeting Point;
- несколько возможных вариантов программной и аппаратной комплектации;
- средства централизованного администрирования;
- оповещение о важных событиях на пейджер или по электронной почте;
- поддержка интерфейсов Ethernet, Fast Ethernet, Token Ring и FDDI;
- поддержка виртуальных частных сетей (Virtual Private Network) с использованием стандартной технологии IPSec;
- высокая производительность;
- интеграция с другими решениями компании Cisco, например, с сервером идентификации пользователей Cisco Secure ACS;
Еще одним классом маршрутизаторов, которые я рассматриваю в свой работе для внедрения в существующую сеть являются маршрутизаторы Cisco 2800 Series ISR, которые предоставляют наивысший уровень производительности, обеспечивая возможность развития даже самого требовательного бизнеса.
Маршрутизаторы с интегрированными сервисами Cisco 2800 Series предоставляют широкий спектр функций:
встроенная система безопасности: межсетевой экран, шифрование и защита от взломщиков;
- встроенный резервный разъем питания на большинстве моделей для повышения защиты;
интеграция с приложением Cisco Unified Communications Manager Express для поддержки обработки вызовов до 96 пользователей;
интеграция с Cisco Survivable Remote Site Telephony (SRST) для обслуживания локальных голосовых сервисов в случае потери соединения;
повышенная надежность и гибкость, что позволяет выставлять приоритеты для передачи голоса и обмена данными, согласовывая предоставление информации с потребностями бизнеса;
поддержка подключений к виртуальным частным сетям для соединения с партнерами и удаленными офисами;
поддержка беспроводных локальных сетей с покрытием всей зоны офиса, надежной защитой, возможностью гостевого доступа и соответствием всем современным стандартам беспроводной связи IEEE 802.11a/b/g/n;
- широкий спектр вариантов подключения к обычным и широкополосным сетям;
варианты для обеспечения питания сетевых устройств посредством соединения Ethernet, что сокращает затраты на кабели.
Основные параметры маршрутизаторов Cisco серии 2800 в стандартном исполнении приведены в таблице 2.3.
Таблица 2.3 Характеристики маршрутизаторов семейства 2800
Модель маршрутизатораCisco 2801Cisco 2811Cisco 2821Cisco 2851DRAM128Mb(384Mb)256Mb(768Mb)256Mb(1Gb)256Mb(1Gb)Compact Flash64Mb(128Mb)64Mb(256Mb)64Mb(256Mb)64Mb(256Mb)USB 1.1 Ports1222Интегрированные LAN порты2-10/1002-10/1002-10/100/10002-10/100/1000Слоты для сетевых модулей01 NME1 NME or NME-X1 NME, NMD, NME-X or NME-XDСлоты для интерфейсных карт4 slots; 2 slots support HWIC, WIC, VIC, or VWIC type modules 1 slot supports WIC, VIC, or VWIC type modules 1 slot supports VIC or VWIC type modules4 slots, each slot can support HWIC, WIC, VIC, or VWIC type modules4 slots, each slot can support HWIC, WIC, VIC, or VWIC type modules4 slots, each slot can support HWIC, WIC, VIC, or VWIC type modulesСлот для голосового модуля расширения0011Форм фактор1U1U2U2U
Управление маршрутизаторами может осуществляться через WEB-интерфейс или на базе Cisco IOS Software - интерфейса командной строки, в том числе удаленно. Имеется набор предустановленных сценариев настройки, облегчающий администрирование.
Архитектура маршрутизаторов с интегрированными услугами семейства Cisco 2800 базируется на архитектуре мощных мультисервисных маршрутизаторов доступа серии Cisco 2600, предлагая дополнительно встроенные функции безопасности, существенно улучшенную производительность и расширенный объем памяти, а также новые интерфейсы высокой плотности. Благодаря достигнутым показателям производительности, доступности и надежности маршрутизаторы серии Cisco 3800 оказываются незаменимыми для критически важных бизнес-приложений, используемых в наиболее сложных рабочих условиях.
Показатели производительности и плотности портов маршрутизаторов с интегрированными услугами серии Cisco 2800 отвечают требованиям, предъявляемым предприятиями среднего размера, а также малыми и средними филиалами крупных предприятий к защищенным, одновременно предоставляемым услугам, а также требованиям к управляемым услугам, предъявляемым операторами связи - без ущерба для производительности маршрутизатора.
Работая под управлением программного обеспечения Cisco IOS, маршрутизаторы серии Cisco 2800 поддерживают концепцию сети с возможностями самозащиты Cisco Self-Defending Network - благодаря улучшенным функциям безопасности и возможностям управления, таким как аппаратная акселерация шифрования, поддержка IPSec VPN (с использованием алгоритмов шифрования AES, 3DES, DES), межсетевой экран, система предотвращения вторжений (IPS), контроль за доступом к сети (NAC) и фильтрация по URL. Предустановленная на всех маршрутизаторах серии Cisco 2800, интуитивно-понятная система управления с Web-интерфейсом Cisco Router and Security Device Manager (SDM) существенно упрощает управление и конфигурирование маршрутизатора.
Команды настройки маршрутризатора, использованные мной для, внедрения и функционирования маршрутизатора в составе системы информационной безопасности приведены в приложении А.
Таким образом, на основе полученных данных в результате мониторинга сети данных и основываясь на анализе маршрутизаторов компании Cisco, я модернизирую систему передачи данных, описанную в главе 2.2, до модели, показанной на рисунке 2.7.
Рисунок 2.7 Измененная структура сети передачи данных
Внедрение в систему безопасности таких элементов как маршрутизаторы компании Cisco сери 2800, позволят обеспечить максимальный уровень защищенности с использованием аппаратных средств защиты информации. Интегрированные в маршрутизатор сервисы безопасности позволят решить ряд серьезных проблем защиты информации в системе:
- разграничить рабочую сеть на отдельные сегменты, с возможностью контроля трафика обеих сторон;
контролировать входящую и исходящую информацию;
оптимизировать работу системы и снизить нагрузку на коммутаторы;
2.6 Защита данных средствами защиты информации и специального ПО
Программная защита информации позволяет воспрепятствовать несанкционированному доступу и изменениям персональной и коммерческой информации. Программа защиты информации и её концепция нацелены на обеспечение защиты данных, хранящихся на жестких дисках и магнитных лентах. Разработчики ведущих компаний предлагают свои программы защиты информации на серверах и магнитных лентах. Программная защита информации реализует контроль доступа к внешним и внутренним устройствам компьютера. Программа защиты информации предлагает большой выбор для защиты данных при хранении, а так же при аутенфикации пользователей. Немаловажная роль в разработке программы защиты информации отводится созданию защитного барьера от взлома. Только при правильной реализации всех методов достигается наивысший уровень защиты.
В данном дипломном проекте для программной защиты информации мною будет использованы встроенные в операционные системы функции защиты, а так же внедрение в сеть передачи данных программных средств межсетевых экранов. В совокупности с описанными выше мерами для защиты информации будет образована комплексная система управления информационной безопасности объекта.
Брандмауэр эт? специальная пр?грамма, к?т?рая п?вышает без?пасн?сть к?мпьютера при п?дключении ег? к интернет. Эта пр?грамма разраб?тана таким ?браз?м, чт? умеет ?тслеживать несанкци?нир?ванные п?дключения пр?грамм извне, в т?м числе вирусы и другие вред?н?сные пр?граммы.
Брандмауэр делает эт? п?ст?янн?, а не ?т случая к случаю и не пр?пустит м?мент п?пыт?к внедрения чужер?дных пр?грамм, и эт? значительн? п?вышает без?пасн?сть к?мпьютера. Брандмауэр как бы фильтрует весь трафик, разделяя инф?рмацию на п?лезную и вредную, первую пр?пускает, а вт?рую нет. Чт? пр?пускать, а чт? нет задается в параметрах брандмауэра при настр?йке. Настраивать м?жн? в люб?е время, п?ст?янн? п?вышая без?пасн?сть. В Microsoft Windows XP брандмауэр включен п? ум?лчанию, т?-есть начинает раб?тать сразу п?сле устан?вки системы.
Существует мн?г? брандмауэр?в, ?дни сл?жны в настр?йке, н? настр?йки ?чень гибкие, другие имеют минимум настр?ек, третьи чт?-т? среднее. М?жн? п?раб?тать с неск?лькими пр?граммами и выбрать себе самую уд?бную, ?риентируясь в первую ?чередь на без?пасн?сть к?мпьютера.
Брандмауэр встр?енный в Windows устраивает б?льшинств? п?льз?вателей, а нек?т?рые даже и не п?д?зревают, чт? так?й страж ?храняет их к?мпьютер ?т пр?никн?вения агрессивных пр?грамм из интернет. Брандмауэр д?бр?с?вестн? бл?кирует все несанкци?нир?ванные запр?сы, если на к?мпьютере устан?влены такие пр?граммы, к?т?рым не?бх?дим? принимать инф?рмацию, брандмауэр запрашивает у п?льз?вателя разрешение на п?дключение так?й пр?граммы. Тем не менее в дипломном проекте использован брандмауэр стороннего разработчика Outpost Firewall Pro.
Основными характеристиками данного программного продукта являются:- предотвращение попыток любых приложений получить контроль над другими приложениями.Пользователи могут настраивать список приложений, которым разрешается совершать исходящую передачу данных, что позволяет предотвратить скрытые попытки доступа вредоносными процессами, замаскированными под легитимные приложения;
подавление попыток запуска браузера с параметрами командной строки.
Многие приложения могут запускать окно браузера, когда пользователь щелкает по ссылке (Outlook, Microsoft Office, ICQ и многие другие). Чтобы избежать нежелательных запусков вредоносными процессами, пользователь имеет возможность настроить список программ, которым разрешается открывать окно браузера;
контроль памяти приложений. Пользователь имеет возможность определять список доверенных приложений, чтобы избежать использования адресного пространства легитимных приложений вредоносными процессами с целью выполнения зловредного кода;
контроль Active Desktop.Компоненты Active Desktop могут содержать зловредный код, способный передать конфиденциальные данные от лица Windows Explorer. Outpost предотвращает попытки установки и выполнения такого кода;
предотвращение попыток контроля окон других приложений. Вредоносные программы могут моделировать нажатия клавиш пользователем в других окнах и совершать несанкционированный обмен данными между этими окнами. Outpost предотвращает такие попытки, проверяет приложения на легитимность и блокирует все несанкционированные попытки передачи данных;
предотвращение попыток изменения критических значений реестра. Реестр содержит настройки всех программ. Пользователь имеет возможность определять список приложений, которым разрешается производить изменения в реестре;
двойной контроль разрешения DNS-имен. Изощренные хакерские методы позволяют совершить кражу данных с помощью DNS-запросов, которые теперь успешно блокируются;
контроль низкоуровневого сетевого доступа. Установленный в системе вредоносный код может имитировать обычную активность системы и таким образом установить исходящее соединение. Outpost обнаруживает такие попытки, предупреждая пользователя и запрашивая его решение;
- улучшенная производительность. Реализован новый метод сравнения программ с базой spyware-сигнатур, позволяющий существенно ускорить процесс сканирования;
дополнительная защита с помощью параметра «сканировать перед запуском». Все без исключения приложения проверяются на легитимность перед запуском. Для этого Outpost моделирует запуск программы и проверяет ее перед тем, как дать разрешение на выполнение или блокировать ее настоящий запуск. Производительность системы при этом не страдает;
новый анализатор spyware-сигнатур. Еще более точный алгоритм обнаружения увеличивает защиту пользователя от известных и неизвестных вредоносных программ.
3. Реализация модели сети объекта средствами программы Packet Tracer
3.1 Описание программы настройки маршрутизаторов Cisco
Для описания процесс и параметров настройки маршрутизаторов компании Cisco, мною было принято решение спроектировать модель сети в программе моделирования работы сети Cisco Packer Tracer, основное окно которой приведено на рисунке 3.1.
Рисунок 3.1 Рабочая область Cisco Packet Tracer
На рисунке представлена собранная и модернизированная в плане безопасности сеть. В ключевых местах системы передачи данных установлены маршрутизаторы компании Cisco.
К параметрам конфигурации рабочей станции относятся параметы указания IP-адреса и маски подсети, если не задан режим динамического распределения адресов. Параметры конфигурации рабочей станции показаны на рисунке 3.2 и 3.3.
Рисунок 3.2 Статичное задание адресации
Рисунок 3.3 Динамическое распределение адресов в сети
Процесс настройки коммутаторов и портов коммутаторов сводится к настройке виртуализации сетей.
Настройку можно проводить как через расширенный интерфейс пользователя, так и через командную строку терминала обслуживания системы IOS коммутатора. На рисунке 3.4 приведен пример настройки сетевого соединения между коммутатором и хостом, входящим в сеть обслуживания данного коммутатора.
Рисунок 3.4 Настройка работы коммутатора
На рисунке 3.5 производится проверка состояния соединения посредством команды ping.
Рисунок 3.5 Проверка состояния соединения
3.2 Описание настройки специального программного обеспечения защиты данных
Включение и выключение защиты
По умолчанию, Outpost Firewall Pro автоматически загружается при запуске системы, обеспечивая защиту на самой ранней стадии ее работы. О загрузке Outpost Firewall Pro символизирует значок в виде белого знака вопроса на голубом щите , значок продукта по умолчанию, отображаемый в системном лотке в правом нижнем углу панели задач Windows. Если вы видите этот значок, это означает, что Outpost Firewall Pro работает и защищает вашу систему.
Дважды щелкните значок, чтобы открыть главное окно Outpost Firewall Pro. Чтобы закрыть главное окно, щелкните крестик в правом верхнем углу. Обратите внимание на то, что при этом вы не выключаете программу. Главное окно сворачивается в значок, который сигнализирует о том, что Outpost Firewall Pro работает и обеспечивает безопасность вашей системы.
Чтобы полностью отключить работу продукта (при этом Outpost Firewall Pro перестанет защищать вашу систему), щелкните правой кнопкой мыши значок продукта в системном лотке, щелкните Выход, выберите из списка Выйти из Outpost Firewall Pro и остановить службу и щелкните OK.
Режим загрузки
Outpost Security Suite Pro позволяет вам задать режим своей загрузки во время загрузки всей системы. Чтобы выбрать один из доступных режимов, щелкните Настройки на панели инструментов. На странице Общие в группе Параметры работы доступны следующие режимы загрузки:
обычный. Режим загрузки по умолчанию. Outpost Firewall Pro загружается автоматически при запуске системы, значок продукта отображается в трее;
фоновый. При работе в Фоновом режиме загрузки, Outpost Firewall Pro работает невидимо, не отображая ни значок в системном лотке, ни диалоговые окна. Это делает продукт совершенно невидимым для пользователя, позволяя, таким образом, родителям или системному администратору незаметно для пользователя блокировать нежелательный трафик или содержимое страниц. Еще одна причина выбрать Фоновый режим - экономия системных ресурсов.
Вы всегда можете запустить Outpost Firewall Pro вручную, щелкнув Пуск > Программы > Agnitum > Outpost Firewall Pro и выбрав Outpost Firewall Pro. Окно настроек межсетевого экрана показано на рисунке 3.6.
Рисунок 3.6 Основное окно настроек
Outpost Firewall Pro позволяет вам временно приостанавливать защиту на определенный промежуток времени. Это может быть удобно, если вы не хотите полностью останавливать работу продукта, но вам необходимо приостановить защиту системы на короткий период времени во избежание всплывающих окон, например, при установке доверенного программного обеспечения сторонних производителей, проверки каких-либо приложений или выполнении низко-уровневых действий, которые могут быть приняты продуктом за подозрительные.
При приостановке защиты Outpost Firewall Pro перестают контролировать какую-либо деятельность; при возобновлении защиты применяется конфигурация, использовавшаяся до приостановки.
Чтобы приостановить защиту, щелкните правой кнопкой мыши значок продукта в системном лотке и выберите Приостановить защиту как показано на рисунке 3.7. Вам будет предложено выбрать период времени, по окончании которого защита будет возобновлена. Выберите необходимый период и щелкните OK для выключения защиты:
Рисунок 3.7 Настройки таймера защиты
Вы можете возобновить защиту в любое время, щелкнув правой клавишей значок продукта в системном лотке и выбрав параметр Возобновить защиту.
Вместо выключения всей защиты Outpost Firewall Pro, вы можете отключить его отдельные компоненты для выполнения необходимых вам задач: - чтобы отключить брандмауэр, щелкните Настройки на панели инструментов, выберите страницу Брандмауэр и уберите флажок напротив параметра Включить брандмауэр. Отключение брандмауэра отключает также функционирование компонента Детектор_атак;
чтобы отключить компонент Детектор атак, щелкните Настройки на панели инструментов, выберите страницу Детектор атак и уберите флажок напроти параметра Включить детектор атак;
- чтобы отключить компонент Локальная безопасность, щелкните Настройки на панели инструментов, выберите страницу Локальная безопасность и уберите флажок напротив параметра Включить Локальную безопасность;
чтобы отключить постоянную защиту от вредоносного ПО, щелкните Настройки на панели инструментов, выберите страницу Антишпион и уберите флажок напротив параметра Включить постоянную защиту;
- чтобы отключить компонент Веб-контроль, щелкните Настройки на панели инструментов, выберите страницу Веб-контроль и уберите флажок напротив параметра Включить веб-контроль;
- чтобы отключить внутреннюю защиту Outpost Firewall Pro, щелкните Настройки на панели инструментов и уберите флажок напротив параметра Включить внутреннюю защиту.
Обычно настройки локальной сети вашего компьютера устанавливаются автоматически во время установки Outpost Firewall Pro. Однако, вы можете запустить функцию обнаружения сети в любое время, чтобы нормально общаться с остальными компьютерами. Чтобы просмотреть список сетей, в которые входит ваш компьютер, щелкните Настройки на панели управления и выберите страницу Настройки LAN показаны на рисунке 3.8:
Рисунок 3.8 Настройка сетевой защиты
На странице Настройки LAN щелкните кнопку Определить и Outpost Firewall Pro автоматически обнаружит сети, в которые входит ваш компьютер, и выдаст список их IP-адресов с указанием уровней доступа по умолчанию. Далее вы можете задать нужный уровень доступа для каждой из сетей. Для того, чтобы Outpost Firewall Pro мог автоматически находить новые сети и вам не пришлось бы добавлять их вручную, поставьте флажок напротив параметра Определять новые сети автоматически и щелкните OK, чтобы сохранить настройки. В случае, если вы хотите добавить в список новую сеть или удаленный узел с тем, чтобы задать особый уровень доступа, или если по какой-либо причине Outpost Firewall Pro не обнаружил вашу сеть автоматически, вы можете сделать это вручную. Для этого на странице Настройки LAN щелкните кнопку Добавить и в появившемся диалоговом окне Выбор адреса задайте формат, который вы будете использовать для ввода адреса. Доступны следующие варианты, как показано на рисунке 3.9.
Рисунок 3.9 Задание адресации
Имя домена. Например, #"justify">запоминается наряду с заданным вами именем домена, и именно этот IP-адрес будет использоваться Outpost Firewall Pro в большинстве случаев. IP-адрес. Например, 216.12.219.12 Подсеть (IP-адрес и маска подсети). Например, 216.12.219.1 - 216.12.219.255 -адрес. Например, 2002::a00:1.
Введите требуемый адрес в том формате, который вы выбрали (можно использовать маски) и щелкните Добавить. Подобным образом вы можете последовательно добавить несколько адресов. Щелкните OK, чтобы они добавились в список в диалоговом окне. Задайте нужный уровень доступа для каждой из сетей и щелкните OK для сохранения настроек.
Каждый компьютер в локальной сети может получить один из трех уровней доступа к вашему компьютеру:
- NetBIOS. Разрешает разделение доступа к файлам и принтерам между компьютером из локальной сети и вашим компьютером. Чтобы установить этот уровень, отметьте соответствующий флажок NetBIOS для этого адреса;
- доверенные. Все соединения к и из этой сети разрешены. Чтобы установить этот уровень, отметьте флажок Доверенные для этого адреса;
- зона NAT. Отметьте этот параметр, если вы используете программу InternetConnection Sharing и другие компьютерные сети получают доступ в Интернет через ваш компьютер;
- ограниченный доступ к LAN. NetBIOS соединения блокируются, все остальные соединения обрабатываются согласно глобальным правилам и правилам для приложений;
Чтобы установить этот уровень, уберите оба флажка NetBIOS и Доверенные для этого адреса. Важно помнить, что узел, относящийся к числу Доверенных, имеет наивысший приоритет. С таким узлом могут соединяться даже запрещенные приложения.
Рекомендуется помещать в список Доверенных только СОВЕРШЕННО БЕЗОПАСНЫЕ компьютеры. Если вам нужно только разделение доступа к файлам и принтерам, лучше использовать уровень NetBIOS, а не Доверенные.
Если вы не хотите засорять журналы информацией о широковещательных пакетах NetBIOS, вы можете выключить регистрацию этих данных для каждого обнаруженного узла или сети. Выберите адрес в списке и снимите флажок Регистрировать широковещательные сообщения NetBIOS. Это позволит более наглядно представлять информацию в Журнале событий и может улучшить производительность компьютера.
Во время создания конфигурации Outpost Firewall Pro обнаруживаются все установленные приложения и создаются правила для известных приложений согласно предварительно заданным настройкам. Чтобы просмотреть список обнаруженных приложений, щелкните кнопку Настройки на панели инструментов и выберите страницу Правила для приложений приведены на рисунке 3.10.
Рисунок 3.10 Настройка правил приложений
Для каждого приложения отображаются два столбца со значками, обозначающими тип правил, применяющихся к приложению брандмауэром (Сетевые) и модулем Локальная безопасность (Anti-Leak). Зеленый цвет значка означает, что соответствующим компонентом к данному приложению применяются только разрешающие правила; красный символизирует только запрещающие правила; желтый говорит о том, что доступ для этого приложения определяется обоими типами правил; отсутствие значка означает отсутствие правил, применяемых к данному приложению соответствующим компонентом.
Также вы можете управлять списком приложений, добавляя приложения вручную и удаляя их. Для того, чтобы добавить приложение, щелкните кнопку Добавить. Вам будет предложено найти исполняемый файл приложения в появившемся окне. Найдите его и щелкните Открыть, после чего файл появится в списке. Чтобы назначить на новое приложение индивидуальные правила, выберите его и щелкните Редактировать. В диалоге Редактор правил укажите правила и щелкните OK. Более подробную информацию о том, как создавать и редактировать правила для приложений, см. в разделе Настройка правил для приложений. Чтобы удалить приложение из списка, щелкните кнопку Удалить.
Чтобы увидеть список существующих правил для приложения, щелкните Настройки на панели инструментов и выберите страницу Сетевые правила. Выберите приложение и щелкните его два раза левой клавишей мыши. Выберите вкладку Сетевые правила. Добавление нового правила Чтобы создать новое правило, щелкните Новое как показано на рисунке 3.11.
Рисунок 3.11 Создание правил для приложений
В редакторе правил вам нужно будет задать следующие параметры:
Вы можете выбрать следующие критерии:
- где направление - входящее или исходящее;
где удаленный адрес - IP-адрес или имя DNS;
где удаленный порт - определенный порт на удаленном компьютере, который будет использоваться для соединения;
- где локальный порт - определенный порт на вашем компьютере, который будет использоваться для соединения;
- где локальный порт совпадает с удаленным - оба компьютера используют одинаковый порт для соединения. Если указаны значения диапазонов удаленного и локального портов, правило будет срабатывать для всех портов из области их пересечения. Если область пересечения пуста, правило не будет срабатывать;
Выберите критерий для события и задайте нужные настройки, щелкнув подчеркнутое значение в поле Описание правила. Укажите параметры правила
Вы можете выбрать следующие действия:
- оповещать - Уведомляет, когда правило сработало;
- активировать динамическую фильтрацию - Включает «динамическую фильтрацию» для этого приложения (после того, как приложение установит соединение с удаленным сервером, все входящие данные с сервера на открытый приложением порт будут разрешены или блокированы согласно установленному правилу);
- не регистрировать данную активность - выключает регистрацию активности для этого правила. Если флажок выбран, то при срабатывании этого правила данные не будут записываться в журнал.
При выборе действий в предыдущих полях соответствующие сообщения появятся в поле Расшифровка правила. Под указанными критериями для правила вам необходимо будет определить, разрешить или запретить указанное соединение, щелкнув ссылку со значением по умолчанию Разрешать. Убедитесь, что в поле Расшифровка правила не осталось неопределенных параметров. Outpost Firewall Pro автоматически сгенерирует Имя правила на основе заданных параметров. Щелкните OK, чтобы сохранить правило. Правило отобразится в списке. Расшифровка выбранного правила отображается в нижней части окна диалога.
Для того, чтобы изменить уже существующее правило, выделите его в списке и щелкните Изменить. Внесите требуемые изменения, следуя приведенной выше инструкции, и щелкните OK, чтобы сохранить изменения. Выбранные правила активны (включены) и обрабатываются продуктом. Уберите флажок напротив правила, если вы не хотите, чтобы Outpost Firewall Pro выполнял это правило, но не хотите удалять его. Позже вы в любой момент можете включить правило, поставив напротив него флажок. Правила выполняются по порядку сверху вниз. Помните, что Outpost Firewall Pro выполняет первое по списку подходящее для соединения правило и игнорирует все последующие. Чтобы изменить порядок выполнения правил, выделите правило из списка и воспользуйтесь кнопками Вверх/Вниз.
Глобальные правила Outpost Firewall Pro применяются ко всем процессам и приложениям на вашем компьютере, которые запрашивают доступ в сеть. Например, создав соответствующие правила, вы можете блокировать весь трафик, идущий по данному протоколу или с данного удаленного узла. Некоторые из установок глобальных правил, подобранные оптимальным образом, Outpost Firewall Pro задает по умолчанию. Для того, чтобы просмотреть список глобальных правил, щелкните на панели инструментов кнопку Настройки, выберите страницу Сетевые правила и щелкните кнопку Системные Правила показаны на рисунке 3.12.
Рисунок 3.12 Настройка системных правил
Выбранные правила активны (включены) и обрабатываются системой безопасности. Уберите флажок напротив правила, если вы не хотите, чтобы Outpost Firewall Pro выполнял это правило, но не хотите удалять его. Позже вы в любой момент можете включить правило, поставив напротив него флажок.
Правила выполняются по порядку сверху вниз. Помните, что Outpost Firewall Pro выполняет первое по списку подходящее для соединения правило и игнорирует все последующие. Чтобы изменить порядок выполнения правил, выделите правило из списка и воспользуйтесь кнопками Вверх/Вниз. Обратите внимание на то, что вы можете задать применение брандмауэром глобальных правил как до, так и после применения правил для приложений, поместив их в соответствующую группу. Firewall Pro позволяет контролировать системный трафик, передаваемый драйверами протоколов, использующими IP протоколы, отличные от TCP и UDP, транзитные пакеты и другие данные, не относящиеся к приложениям, которые невозможно контролировать на уровне приложений.
Чтобы просмотреть список низкоуровневых правил, щелкните Настройки > Сетевые правила > Системные правила и выберите вкладку Низкоуровневые правила. Вы можете добавлять, изменять и удалять низкоуровневые правила так же, как и правила для приложений. Отличиями в управлении правилами являются следующие:
критерии для правила содержат тип IP-протокола, направление, удаленный и локальный адрес;
параметр Пометить правило как Правило с высоким приоритетом позволяет низкоуровневому правилу превалировать над правилами для приложений и глобальными правилами, имеющими более высокий приоритет по умолчанию;
Выбранные правила активны (включены) и обрабатываются системой безопасности. Уберите флажок напротив правила, если вы не хотите, чтобы Outpost Firewall Pro выполнял это правило, но не хотите удалять его. Позже вы в любой момент можете включить правило, поставив напротив него флажок. Правила выполняются по порядку сверху вниз. Помните, что Outpost Firewall Pro выполняет первое по списку подходящее для соединения правило и игнорирует все последующие.
Протокол контроля сообщений Интернет (Internet Control Message Protocol, ICMP) отправляет предупреждающие сообщения и сообщения об ошибках находящимся в сети компьютерам. Outpost Firewall Pro позволяет вам указать типы и направления разрешенных сообщений ICMP. Чтобы задать настройки ICMP, щелкните Настройки на панели инструментов > Сетевые правила и щелкните кнопку Настройки ICMP. В окне диалога Настройки ICMP приводится список основных типов ICMP-сообщений; вы можете разрешить входящие или исходящие сообщения, поставив напротив соответствующий флажок. Если флажка нет, данное соединение блокируется процесс настройки ICMP показан на рисунке 3.13.
Рисунок 3.13 Настройка ICMP сообщений
Помимо блокировки адресов с помощью глобальных правил брандмауэра и правил для приложений, Outpost Firewall Pro предоставляет еще один инструмент для гибкого ограничения нежелательного трафика: Блокировка IP. Этот модуль разработан для фильтрации всех входящих/исходящих интернет-соединений по IP-адресам и является полезным подспорьем в руках продвинутых пользователей, обеспечивая полный контроль над сетевой активностью компьютера путем блокировки указанных адресов.
Модуль блокирует хакеров, вредоносные сайты и рекламные сети с помощью черных списков, содержащих IP-адреса, соответствующие этим угрозам. Вы можете как создавать свои собственные списки вредоносных IP-адресов - указывая даже диапазон адресов, которые, по вашему мнению, являются небезопасными - или использовать доступные в сети бесплатные готовые списки. И вам не нужно тратить время на создание правил.
Модуль Блокировка IP обладает наивысшим приоритетом при обработке трафика, поэтому его приоритет выше даже чем у доверенных приложений и сетей, помеченных как Доверенные. Ни одно приложение, включая саму операционную систему, не может отправлять или принимать данные по протоколу IP или его производным на или с адресов, указанных в списке блокировки.
Для включения блокировки адресов откройте настройки Outpost Firewall Pro, выберите страницу Блокировка IP и выберите флажок Включить блокировку IP. В комплекте с Outpost Firewall Pro не поставляются готовые списки IP-адресов, но вы можете либо загрузить специализированные списки или списки общего назначения из сети, либо создать список вручную. Outpost Firewall Pro поддерживает списки различных форматов. Для импорта загруженного списка щелкните Импорт на странице Блокировка IP, найдите файл со списком адресов и щелкните Открыть. Список сохраняется в конфигурации продукта и может быть загружен или сохранен во внешний файл вместе со всеми вашими настройками при изменении конфигурации. Для сохранения списка в виде отдельного файла, щелкните Экспорт, выберите папку для сохранения и щелкните Сохранить. Для добавления адреса в список вручную, щелкните Редактировать, введите адрес в одном из
возможных форматов, укажите комментарий (для того, чтобы в будущем знать, почему вы добавили этот адрес) и щелкните Добавить. Запись появится в списке. Чтобы удалить запись из списка, выберите ее и щелкните Удалить. Для очистки всего списка щелкните Удалить все.
Вы можете воспользоваться одним из четырех форматов для ввода адреса:
- доменное имя. Например, #"justify">- IP-адрес. Например, 216.12.219.12;
- IP-адрес с маской подсети. Например, 216.12.219.1/216.12.219.255;
- диапазон IP-адресов. Например, 203.1.254.0-203.1.254.255.
Одним из важнейших аспектов защиты с помощью системы безопасности является фильтрация входящих пакетов, используемая для контроля входящей активности и блокировки хакеров и вредоносных программ при их попытке атаковать ваш компьютер. Компонент Детектор атак обнаруживает, предотвращает и оповещает вас обо всех возможных
атаках на вашу систему из Интернета и локальной сети, к которой подключен ваш компьютер. Компонент просматривает входящие данные и определяет их законность либо с помощью сравнения контрольных сумм с известными атаками, либо производя анализ поведения. Это позволяет обнаруживать не только известные типы атак, такие как сканирование портов, Отказ от обслуживания (Denial of Service, DoS-атаки), атаки классов 'short fragments' и 'my address' и многие другие, но также и будущие угрозы. Чтобы активировать компонент Детектор атак, щелкните Настройки > Детектор атак и отметьте параметр Включить детектор атак, появится окно показанное на рисунке 3.14.
Рисунок 3.14 Настройки детектора атак
Вы можете определить насколько дотошно Outpost Firewall Pro должен себя вести при обнаружении атак, установив требуемый уровень тревоги. Уровень тревоги определяет количество подозрительных пакетов, обнаруженных до того, как Outpost Firewall Pro сообщает об атаке. Для того, чтобы установить уровень тревоги, щелкните Настройки > Детектор атак и передвиньте ползунок в одно из следующих значений:
максимальный. Оповещение об атаке отображается даже если обнаружено единичное сканирование одного из ваших портов; обнаруживаются и предотвращаются все атаки как внешней сети, так внутренней;
оптимальный. Оповещение об атаке отображается если просканировано несколько портов или если просканирован один из портов, которые, по мнению Outpost Firewall Pro, обычно используются для атаки; обнаруживаются все внешние атаки за исключением атак Фрагментированные ICMP-пакеты' и атак типа 'My address';
низкий. Оповещение об атаке отображается при обнаружении нескольких попыток атакиатаки типа 'Фрагментированные ICMP-пакеты' и 'My address', как и атаки внутренней сети не обнаруживаются.
Измените уровень тревоги в соответствии с риском, которому подвергается ваш компьютер. или. если у вас возникли какие-либо подозрения, установите максимальный уровень. Вы также можете настроить свой собственный уровень безопасности, щелкнув кнопку Настройка. Вкладка Ethernet позволит вам указать настройки для Ethernet-атак, вкладка Дополнительно поможет вам определить список атак, обнаруживаемых брандмауэром, и указать уязвимые порты для более тщательной проверки. После обнаружения атаки Outpost Firewall Pro может изменять свое поведение, чтобы автоматически защитить вас от возможных будущих атак с этого адреса. Для этого установите флажок Блокировать IP-адрес атакующего на и все данные с атакующего компьютера будут блокироваться в течение указанного промежутка времени. По умолчанию это 5 минут.
Также, вы можете блокировать всю подсеть, к которой принадлежит адрес атакующего компьютера, выбрав параметр Блокировать подсеть атакующего.
Для получения визуальных и звуковых оповещений об обнаруженных атаках, установите флажки для параметров Проигрывать звуковое оповещение при обнаружении атаки и Показывать визуальное оповещение при обнаружении атаки соответственно.
Когда данные пересылаются по сети с одного компьютера на другой, исходный компьютер рассылает ARP-запрос для определения MAC-адреса по IP-адресу целевого компьютера. Между временем отправки широковещательного сообщения и ответом с Ethernet-адресом данные могут подвергаться подмене, краже или несанкционированному перенаправлению третьему лицу. Компонент Детектор атак защищает вашу систему также от вторжений со стороны локальной сети. Он обнаруживает и предотвращает некоторые Ethernet-атаки, такие как подделка IP-адреса (IP spoofing), сканирование ARP, ARP-флуд и другие, защищая вашу систему от вторжений из локальной сети. Чтобы указать настройки обнаружения Ethernet-атак, щелкните Настройки > Детектор атак > Настройка Рисунок 3.15.
Рисунок 3.15 Настройка детектора атак
Доступны следующие параметры:
- выключить ARP-фильтрацию предотвращает ARP-спуфинг (ARP spoofing) - ситуации, когда узел посылает большое количество ARP-ответов с разными MAC-адресами в течение небольшого промежутка времени, пытаясь перегрузить сетевое оборудование, пытающееся определить какой из этих адресов является реальным для данного узла. Если включена, Outpost Firewall Pro принимает только те ARP-ответы от других узлов, для которых перед этим был послан запрос. Для каждого запроса принимается только первый ARP-ответ. ARP-фильтрация также защищает от т.н. отравления ARP-кэша (ARP cache poisoning), которое происходит когда кто-то перехватывает Ethernet-трафик, используя поддельные ARP-ответы, с целью замены адреса сетевого адаптера на адрес, который атакующий может контролировать. Кроме того, она также предотвращает ARP-флуд (ARP flood) - ситуации, когда большое количество фиктивных ARP-ответов отправляется на целевой компьютер с целью «повесить» систему;
обнаруживать подмену IP-адреса и блокировать IP-флуд Обнаруживает подмену IP-адресов (IP spoofing) атакующего и блокирует большой объем трафика, который может перегрузить компьютер. Этот параметр не может предотвратить флуд в сети, но может защитить компьютер от перегрузки;
предотвращать подмену MAC-адреса шлюза Обнаруживает попытки атакующего связать IP-адрес сетевого адаптера шлюза со своим MAC-адресом, чтобы иметь возможность перехватывать пакеты. Хакер может заменить MAC-адрес своим и перенаправить трафик на контролируемый им компьютер, подменяя ARP-ответы, которые Outpost Firewall Pro обнаружит и заблокирует. Это позволяет ему просматривать пакеты и видеть все передаваемые данные. Также это позволяет перенаправлять трафик на несуществующие компьютеры, вызывая замедления в доставке данных или отказ от обслуживания. Подменяя MACадрес на Интернет-шлюзе, специализированные хакерские утилиты-снифферы могут также перехватывать трафик, включая чат-сессии и прочие частные данные, такие как пароли, имена, адреса и даже зашифрованные файлы;
защищать мои IP-адреса от ложных сообщений 'IP-адрес уже занят'
Обнаруживает ситуации, когда два или более компьютеров имеют один IP-адрес. Такое может случиться, если атакующий пытается получить доступ к сетевому трафику или заблокировать компьютеру доступ в сеть, но также может происходить и санкционировано, если провайдер использует несколько серверов для распределения нагрузки. При включенном параметре, Outpost Firewall Pro блокирует ARP-ответы с одинаковыми IP-адресами (но разными MAC-адресами) и таким образом защищает компьютер от последствий дублирования IP-адресов;
блокировать узлы, сканирующие компьютеры в сети ограничивает количество ARP-запросов, перебирающих IP-адреса, с одного MAC-адреса за указанный промежуток времени, что может являться сканированием локальной сети. Некоторые массово распространяющиеся вирусы перебирают узлы для распространения с одного компьютера на другой, заражая их по очереди. Этот метод также используется сканерами сети и анализаторами уязвимостей.
Компонент Outpost Firewall Pro Детектор атак выполняет две независимые функции: блокирует атаки и обнаруживает попытки сканирования портов. В данном контексте под атакой понимается отправка на ваш компьютер вредоносных данных, которые могут привести к ошибкам в системе (падениям, зависаниям и т.д.), или попытка атакующего получить незаконный доступ к данным, хранящимся на вашем компьютере. Сканирование портов - это попытка определить открытые порты в вашей системе до начала атаки. При получении запроса на соединение (короткого сообщения на компьютерном языке, целью которого является установление соединения через один из портов на вашем компьютере), компонент Детектор атак сохраняет «Запрос на соединение» но, во избежание ложных срабатываний, не считает единичный запрос сканированием портов. Если от одного и того же удаленного узла поступают многочисленные запросы на соединение, компонент предупредит вас о «Сканировании портов».
Чувствительность Outpost Firewall Pro в обнаружении сканирования портов (т.е. количество запросов на соединение, которые вызывают появление сообщения о «Сканировании портов») определяется на вкладке Дополнительно (Настройки > Детектор атак > Настройка > Дополнительно > Атаки), как показано на рисунке 3.16.
Вы можете указать, какие атаки Outpost Firewall Pro должен обнаруживать и блокировать. По умолчанию, продукт определяет более 25 типов атак и вторжений, но вы можете отменить определение некоторых из них, чтобы снизить потребление ресурсов вашей системы или снизить количество ошибочных или слишком частых сообщений, которые появляются, если, к примеру, доверенная служба в вашей сети была ошибочно принята за источник атаки.
Рисунок 3.16 Настройки детектора атак
Чтобы настроить список определяемых атак, щелкните Настройки > Детектор атак > Настройка и щелкните кнопку Атаки на вкладке Дополнительно, как показано на рисунке 3.17.
Рисунок 3.17 Настройки списка атак
Все выбранные типы атак обнаруживаются брандмауэром. Чтобы исключить какой-либо тип, снимите флажок напротив его названия. Чтобы вернуться к предварительным установкам, щелкните кнопку По умолчанию.
В вашей сети не исключено наличие компьютеров, которым вы полностью доверяете и которые, вы уверены, не могут являться источником опасности.
Также, вы можете быть уверены, что некоторые порты вашей системы не могут являться плацдармом для вторжения. Другими словами, вы полагаете бесполезным слежение за этими узлами и портами и хотите сберечь расходуемые системные ресурсы, перестав следить за ними. Детектор атак позволяет вести списки исключений, в которые вы можете добавить узлы и порты, слежение за которыми вы хотите отключить. Для добавления узла, подсети или порта в список доверенных, щелкните Настройки > Детектор атак > Исключения.
На странице Узлы и сети щелкните кнопку Добавить и в появившемся диалоговом окне Выбор адреса задайте формат, который вы будете использовать для ввода адреса. Доступны следующие варианты:
- имя домена. Например, #"justify">подсеть (IP-адрес и маска подсети). Например, 216.12.219.1 - 216.12.219.255;
IPv6-адрес. Например, 2002::a00:1;
макроадрес. Например, LOCAL_NETWORK. Подробнее об использовании макроопределений адресов для задания адресов локальных или удаленных узлов;
Введите требуемый адрес в том формате, который вы выбрали (можно использовать маски) и щелкните Добавить. Подобным образом вы можете последовательно добавить несколько адресов. Щелкните OK, чтобы добавить их в список доверенных. Чтобы удалить адрес из списка, выберите его и щелкните Удалить. Если вы не хотите, чтобы Outpost Firewall Pro обнаруживал атаки, исходящие из сетей, отмеченных на вкладке Настройки LAN как Доверенные, снимите флажок Обнаруживать атаки из доверенных сетей. Чтобы выключить обнаружение атак со шлюзов, снимите флажок Анализировать трафик от шлюзов. Укажите все узлы и подсети, которые вы считаете доверенными, и щелкните OK для сохранения настроек.
Выберите одну из вкладок TCP-порты или UDP-порты в зависимости от того, какой порт вы собираетесь добавить в список доверенных. Вы можете ввести либо номер порта, либо диапазон портов, разделяя их запятыми, или выбрать требуемый порт из списка, дважды щелкнув по нему для добавления в поле. Чтобы удалить порт из списка, просто сотрите его имя или номер в текстовом поле. После указания всех портов, щелкните OK для сохранения настроек.
ЗАКЛЮЧЕНИЕ
В настоящее время информационная безопасность - одна из актуальных проблем, стоящих не только перед коммерческими предприятиями, но и почти перед каждым человеком, который живущим в современном обществе. В наше время повсеместной автоматизации, доступ злоумышленников к некоторым АС может привести поистине к катастрофическим последствиям. Поэтому защите должно уделяться очень большое внимание. К сожалению абсолютной защиты не существует. Обход тех или иных средств защиты вопрос только времени, денег и желания. Поэтому при разработке защиты необходимо учитывать ценность защищаемого объекта. Нельзя также останавливаться на достигнутом. Практически совершенная защита сегодня завтра может превратиться лишь в небольшую помеху на пути злоумышленников. Я разработал систему безопасности для одного из офисов компании. Действуя в соотвеветствии с принципом слабого звена я постарался охватить все аспекты безопасности, но в связи с очень большим объемом работы, я охватил действительно все то что стоит внимания.
В итоге в данном дипломном проекте были рассмотрены основные вопросы обеспечения инженерно-технической защиты объекта, для усиления его информационной безопасности. Рассмотрены системы телекоммуникаций объекта и произведен мониторинг ключевых управляющих элементов системы передачи данных. Произведен анализ защищенности сети, в целях выявления узких мест в области защиты передаваемых данных. На основе полученных в результате анализа объекта и его составляющих данных было произведено проектирование усовершенствованной модели безопасности, составлен технический план поэтапного внедрения в существующую систему безопасности новых элементов и методов, способствующих усилению информационной безопасности. Произведен анализ и подборка современного сетевого оборудования для создания защищенной системы передачи данных. Осуществлено проектирование сетевой модели с применением в ней ключевых управляющих элементов сети от компании Cisco. Построение сетевой модели и настройка маршрутизаторов компании Cisco осуществляется в программе модуляции работы сети - Cisco Packet Tracer.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. Ярочкин В. Безопасность информационных систем. - М.: «Ось-89».
. Большаков А.А., Петpяев А.Б., Платонов В.В., Основы обеспечения безопасности данных в компьютеpных системах и сетях, -РИЦ.: Москва Техносфера. 2005. - c528.
. Гайкович В.Ю., Ершов Д.В. Основы безопасности информационных технологий - Триумф. 2004. - с351.
. Волокитин А.В., Маношкин А.П., Солдатенков А.В., Савченко С.А., Петров Ю.А. Информационная безопасность государственных организаций и коммерческих фирм. Справочное пособие (под общей редакцией Реймана Л.Д.) М.: НТЦ «ФИОРД-ИНФО», 2002г.-272с.
. Петраков А.В. Основы практической защиты информации. 3-е изд. Учебное пособие-М.: Радио и связь, 2001г.-368с.
. Хорошко В.А., Чекатков А.А. Методы и средства защиты информации(под редакцией Ковтанюка) К.: Издательство Юниор, 2003г.-504с.
Больше работ по теме:
Диплом
Проектирование баз данных методом нормализации
Диплом
Проектирование и разработка информационной системы для учета ремонтных работ и обслуживания оргтехники фирмы ООО "Компьютерный мир" г. Самара
Диплом
Проектирование и создание FTP-сервера на базе ОС Linux
Диплом
Проектирование информационной системы планирования организационно-технических мероприятий ОАО "Спектр"
Диплом
Предмет: Информационное обеспечение, программирование
Тип работы: Диплом
Новости образования
22 Июля 2016 16:26
Более 70 представителей крупных вузов АСЕАН подтвердили участие в форуме во Владивостоке
22 Июля 2016 12:51
Абызов: публикация первичных статсведений снизит бюрократическую нагрузку на школы
22 Июля 2016 11:53
В Чечне свыше 200 школьников сдали ЕГЭ с результатом свыше 90 баллов - министр
22 Июля 2016 05:36
Замглавы Минобрнауки РФ: задача сократить число людей с высшим образованием не стоит
21 Июля 2016 20:19
КОНТАКТНЫЙ EMAIL: [email protected]
Скачать реферат © 2017 | Пользовательское соглашение
ПРОФЕССИОНАЛЬНАЯ ПОМОЩЬ СТУДЕНТАМ