Безопасность в Интернет

В этом и двух следующих выпусках я хотел бы предложить вашему вниманию большую и чрезвычайно информативную статью моих коллег из компании Элвис+. Слегка усеченный вариант этой статьи некоторые из вас уже могли прочитать в #11 "Сетевого журнала".

В статье рассматриваются общие вопросы защиты информации, различные виды угроз и средств защиты локальных сетей и потоков информации от несанкционированного доступа. Внимание акцентируется на необходимости комплексно подходить к решению проблемы защиты информации в каждом конкретном случае.

Все ваши вопросы, касающиеся данной статьи, вы можете задавать не только мне, но и непосредственно авторам -- Игорю Кадощуку, Татьяне Савельевой и Елене Турской.

Грани информационной безопасности

Глобальность и доступность -- особенности сегодняшнего бизнеса. Это накладывает на способы обеспечения информационной безопасности бизнеса значительные, но известные ограничения. Особенность информационной защиты бизнеса сегодня -- существование в «открытой» среде, в открытых сетях Интернет, с всем известными интерфейсами, протоколами, адресами и способами доступа, и пр., и пр. Ведь главным принципом современного бизнеса является, одновременно с глобальностью и доступностью, интегрируемость и контактность практически всех элементов бизнеса: бизнес процессов, информации и людей! Это, в частности, предполагает принципиальную открытость к интеграции и совместимости со значительным спектром разнообразных программных средств самого различного назначения и локализации: от операционных систем, до библиотек графических интерфейсов пользователей огромного количества и разнообразия поставщиков.

Мы живем в мире динамических многообразий -- «все течет, все изменяется», и все быстрее и быстрее. Это, одновременно, и одна из главных причин появления методологии открытых систем, и одна из главных трудностей обеспечения информационной защиты.

• технологии информационной защиты, протоколы, криптоалгоритмы, аудит информационных систем, управление, процедуры сертификации, политики безопасности;
• всевозможные модели и схемы - PKI, DCE, компоненты открытой среды - сети, платформы, промежуточные слои;
• уязвимости, угрозы атак и сами атаки, опасности потери целостности, конфиденциальности данных, нелегальные вторжения;
• методы неавторизованных транзакций, воровства, вандализма, как «извне», так и «изнутри» корпоративных сетей;
• растет число и повышается квалификация хакеров и «крекеров»;
• совершенствуются не только хакеры, но и их вирусы, «троянские кони», сетевые сканеры и многие другие специальных приложения;
• растет цена безопасности из-за значительного объема «ручных» операций, отсутствия централизации, невозможность интеграции средств защиты, пр.;
• цена растет также из-за быстрого роста требований к квалификации персонала по безопасности (рост требований к качеству защиты подразумевается!);
• изменяются требования пользователей к информационным системам вообще, и к системам информационной безопасности в частности, как требования к технологиям информационной защиты, так и требования к функциям самих систем информационной защиты.

Но есть еще одна важнейшая особенность информационной безопасности: защищать необходимо все уязвимые места (что бы мы не защищали!), тогда как нападающему достаточно проделать брешь только в одном из них.

Основа информационной защиты -- «всеохватность», комплексность! Собственно это и есть причина существования такого множества технологий, методов, средств и методик информационной защиты. Они возникали как способы борьбы с разнообразными способами нападения, и собрать их в единую управляемую, интегрированную систему информационной защиты -- задача требующая профессиональной квалификации и опыта.

Такая интегрируемость в принципе невозможна без следования общественно согласованным стандартам и функциональным спецификациям самого высокого уровня. В том числе, и, если угодно, в первую очередь, в области информационной безопасности.

Чем обеспечивается «всеохватность» и комплексность информационной безопасности? На наш взгляд, и в функциональной полноценности защиты, и в интегрируемости поставляемых компонент системы, и в методически выверенном подходе к созданию системы информационной безопасности, и в профессиональном умении организовать все проектные работы, и еще во многом другом, но давайте по порядку.

В состав наших комплексных предложений входят следующие функциональные области:

• Комплексная защита от внешних угроз при подключении к общедоступным сетям связи (например: Internet), а также управление доступом из сети Internet с использованием технологии межсетевых экранов (Firewall) и содержательной фильтрации (Content Inspection);
• Защита информации передаваемой по открытым каналам связи с использованием технологии VPN (защищенных виртуальных частных сетей);
• Защита от вирусов с использованием специализированных комплексов антивирусной профилактики;
• Разграничение доступа к информационным ресурсам, а также защита от несанкционированного доступа (НСД) к информации;
• Обеспечение конфиденциальности, целостности и подлинности информации с использованием методов надежного преобразования данных (кодирования);
• Обеспечение гарантированной идентификации пользователей с использованием технологии токенов (смарт - карты, touch-memory, ключи для USB-портов и т.п.);
• Управление однократным доступом к разнообразным информационным ресурсам (Single Sign On);
• Обеспечение надежного хранения информации с использованием технологии защиты на файловом уровне (кодирование файлов и каталогов);
• Обеспечение активного исследования защищенности информационных ресурсов с использованием технологии Intrusion Detection (обнаружение атак);
• Обеспечение централизованного управления системой информационной безопасности в соответствии с согласованной и утвержденной политикой (Administration, Auditing и Policy Compliance);
• Поддержка полнофункциональной инфраструктуры открытых ключей (PKI, Directory and Certificate Services).

Для реализации основных функциональных компонент системы безопасности мы используем различные механизмы и методы:

• Стандартные коммуникационные протоколы;
• Сертифицированные средства криптографии;
• Наиболее прогрессивные механизмы авторизации и аутентификации;
• Современные средства контроля доступа к рабочим местам сети и из сетей общего пользования;
• Надежные антивирусные комплексы;
• Самые интеллектуальные программы обнаружения атак и аудита;
• Развитые средства централизованного управления контролем доступа пользователей, и безопасного обмена пакетами данных и сообщениями любых приложений по открытым IP-сетям;
• Наиболее интегрируемые средства поддержки инфраструктуры открытых (асимметричных) ключей, и пр.

Одним из самых распространенных путей обеспечения информационной безопасности является применение межсетевых экранов. В зависимости от масштабов организации и установленной политики безопасности используются различные типы межсетевых экранов, стоимость которых, в зависимости от производителя, сложности разработки и функциональности, может быть различной.

С помощью МЭ можно решить следующие задачи:

• безопасное взаимодействие пользователей и информационных ресурсов, расположенных в Extranet- и Intranet-сетях, с внешними сетями, например с Internet;
• создание технологически единого комплекса мер защиты для распределенных и сегментированных локальных сетей подразделений предприятия;
• построение иерархической системы защиты, предоставляющей адекватные средства обеспечения безопасности для различных по степени закрытости сегментов корпоративной сети.

В настоящее время на российском рынке существует множество межсетевых экранов ряда известных отечественных и зарубежных фирм, с различной производительностью, возможностями установки на те или иные операционные системы, наличием гибкого и централизованного управления и т.д., т.е., максимально отвечающие всем требованиям, пожеланиям и ожиданиям.

Например, межсетевой экран CheckPoint Firewall-1, имеющий сертификат Гостехкомиссии РФ. Firewall-1 функционирует на операционных системах: Windows NT, Solaris, HP UX и AIX. Поставляемый нами, CheckPoint Firewall-1 определяет, каким сервисам позволено устанавливать соединения защищенной сети с внешним миром при помощи фильтрации пакетов и сервисов proxy. Он позволяет описывать настройки системы для каждого пользователя (в том числе разграничивать доступ в Internet по времени), выбирать метод авторизации, сервисы и сетевые интерфейсы. Firewall-1 имеет удобный графический интерфейс пользователя, прост в настройке и установке, обеспечивает удобство мониторинга и обработку системных сообщений. Он реализует множество самых необходимых функций, в том числе, осуществляет балансировку нагрузки между несколькими серверами сети, обеспечивает функции повышенной отказоустойчивости, производит фильтрацию URL, скрывает адреса внутренней сети (NAT) различными способами, включая трансляцию и подмену адресов.

Firewall-1 компании CheckPoint осуществляет интеграцию с различными средствами защиты (системами обнаружения атак, антивирусными системами, в том числе с антивирусными комплексами), управляет списками контроля доступа межсетевого экрана PIX Firewall и маршрутизаторов Cisco, Bay, 3Com, накапливает записи о всевозможных событиях операционной системы и сетевой активности, включая попытки НСД, а также многое другое.

Если речь идет о программно-аппаратных устройствах, то мы предлагаем межсетевой экран Private Internet Exchange (PIX) компании Cisco. Он функционирует на собственной операционной системе и также сертифицирован Гостехкомиссией России. Его отличает высокая производительность, повышенная надежность при установке в режиме «горячего» резервирования и возможности расширения и изменения IP-сетей, эффективно решая проблему нехватки адресов IP. Эти замечательные свойства имеют вполне объективную основу.

Производительность PIX определяется, в частности, выбором специальной (не UNIX-подобной) операционной системы реального времени в отличие от типичных proxy-сервисов, а также использованием схемы защиты, базирующейся на алгоритме адаптивной безопасности (adaptive security algorithm - ASA) и технологии «сквозного посредника» (Cut-Through Proxy), которая позволяет после успешной идентификации пользователя, в соответствии с политикой обеспечения безопасности на прикладном уровне, обеспечивать контроль потока данных между абонентами на уровне сессии. Высокие показатели производительности дают возможность поддерживать более 64 тысяч одновременных соединений. При полной загрузке PIX обеспечивает пропускную способность до 170 Мб/сек, которая существенно превосходит межсетевые экраны, базирующиеся на ОС UNIX или ОС Windows NT.

Проблема нехватки адресов IP эффективно решается с помощью технологии трансляции сетевых адресов Network Address Translation (NAT), что делает возможным использование, как существующих адресов, так и резервных пространств адресов для частных сетей. PIX также может быть настроен для совместного использования транслируемых и нетранслируемых адресов, позволяя использовать как адресное пространство для частных сетей IP, так и зарегистрированные адреса IP.

Продолжение -- в #29, послезавтра, 29 ноября. В нем -- о построении VPN, защите от вирусов и "троянов", технологии токенов, защите на файловом уровне и технологии обнаружения атак.

Искренне ваш, А.Бочаров