Организация защиты информации в корпоративной сети

Андрей Степаненко, руководитель отдела систем защиты информации, НИП "Информзащита"

Целью написания данной статьи является оказание практической помощи специалистам, занимающимся обеспечением безопасности информации в крупных автоматизированных системах. По ряду исторически сложившихся причин защита от осязаемых угроз (например, контроль доступа в помещения и физическая защита, защита от утечки информации за счет ПЭМИН) не вызывает у специалистов особых проблем, а именно безопасность информационных ресурсов им значительно труднее оценить и измерить.

Начиная разговор о защите информации в корпоративной сети, необходимо определить, что же является объектом защиты. Это - сложно структурированная гетерогенная сеть, предназначенная для распределенной обработки данных.

Характерной особенностью корпоративной сети является то, что ее построение проводится как правило, на протяжении нескольких лет, что является причиной того, что в одной сети функционирует оборудование разных производителей и поколений, на которых можно встретить как самое современное, так и самое "древнее" программное обеспечение, не всегда изначально ориентированное на совместную обработку данных.

Если в сети производится обработка сведений, составляющих коммерческую или иную тайну, то для обеспечения безопасности этой информации должны быть предприняты определенные меры.

Ниже приведен примерный поэтапный план построения целостной системы защиты информации.

обследование автоматизированной системы и разработка организационно-распорядительных документов;

выбор, приобретение, установка, настройка и эксплуатация средств защиты;

обучение персонала работе с имеющимися средствами защиты;

информационное обслуживание по вопросам информационной безопасности;

периодический аудит системы информационной безопасности.

Постараемся применить его к корпоративной сети.

защита от проникновения в корпоративную сеть и от утечки информации из сети по каналам связи;

разграничение потоков информации между сегментами сети;

защита наиболее критичных ресурсов сети от вмешательства в нормальный процесс функционирования;

защита важных рабочих мест и ресурсов от несанкционированного доступа (НСД);

криптографическая защита наиболее важных информационных ресурсов.

К сожалению, в настоящее время не существует ни одного готового решения (аппаратного, программного или иного), обеспечивающего реализацию функций одновременно всех перечисленных задач. Поэтому подробно рассмотрим, какие средства позволят реализовать соответствующие функции.

Защита от проникновения в сеть и от утечки информации из сети. В качестве основного средства, позволяющего реализовать подобную угрозу, рассматривается канал подключения корпоративной сети к глобальной сети Internet. Наиболее распространенным решением является применение межсетевых экранов, которые позволяют определить и реализовать правила разграничения доступа как для внешних, так и для внутренних пользователей корпоративной сети, скрыть при необходимости структуру сети от внешнего пользователя, блокировать отправку информации по "запретным" адресам и, наконец, просто контролировать применение Internet.

Разграничение потоков информации между сегментами сети. В зависимости от характера обрабатываемой в том или ином сегменте сети информации и от способа взаимодействия между сегментами реализуют один из вариантов:

Никакого разграничения - вариант, применимый в случаях, когда ни в одном из взаимодействующих сегментов не хранится и не обрабатывается важная информация или когда сегменты сети содержат информацию с одинаковой важностью и находятся в одном здании, т.е. в пределах контролируемой зоны. Реализация, естественно, не требует никаких усилий, но и защита просто отсутствует.

Применение межсетевых экранов - рекомендуется при организации взаимодействия между сегментами через сеть Internet. Как правило, данный способ применяется тогда, когда в сети уже имеются межсетевые экраны, предназначенные для контроля за потоками информации между внутренней сетью и Internet, что позволяет предотвратить лишние расходы - более полно используются возможности имеющихся средств.

Защита важных рабочих мест и ресурсов от НСД. До настоящего времени многие автоматизированные системы работали и продолжают работать, ориентируясь только на встроенные защитные механизмы различных операционных систем (как правило, сетевых), что обеспечивает достаточную защиту (при правильном администрировании) информации на серверах. Но количество серверов составляют в корпоративной сети 1-3% от общего числа рабочих станций, на которых и производится обработка той самой защищенной информации. При этом подавляющее большинство рабочих станций (примерно 90%) работает под управлением MS DOS/Windows 3.1х или Windows 95 и не имеет никаких средств защиты, так как эти операционные системы не содержат встроенных защитных механизмов.

Возникает парадоксальная ситуация - на незащищенном рабочем месте может обрабатываться важная информация, доступ к которой ничем не ограничен. Именно в этих случаях рекомендуется применять дополнительные средства защиты от несанкционированного доступа для рабочих станций.

Следующие рекомендации можно рассматривать как общие при выборе средств защиты от НСД:

Ориентироваться необходимо только на сертифицированные продукты.

Выбирать поставщика систем защиты, который обеспечит полный комплекс обслуживания, т.е. не только продажу и гарантии, которые есть у всех, но и услуги по установке и настройке (при необходимости), по обучению сотрудников работе со средствами защиты, по сопровождению приобретенных систем.

Выбирать систему защиты, обеспечивающую разграничение доступа в различных операционных системах.

Ориентироваться на системы с лучшими эксплуатационными характеристиками, такими как: высокая надежность, совместимость с различным программным обеспечением, минимальное снижение производительности рабочей станции и т.д.

При выборе обращать внимание не только на стоимость подобных средств, но и на уровень предполагаемых расходов на их эксплуатацию и сопровождение.

На основе данных обследования можно перейти ко второму этапу плана - выбору, приобретению, установке, настройке и эксплуатации систем защиты в соответствии с разработанными рекомендациями.

Вопросу выбора соответствующих средств было уделено достаточно внимания, поэтому несколько слов о важности сопровождения приобретенных средств. Вы должны отдавать себе отчет, что любое средство защиты создает дополнительные препятствия в работе обычного пользователя, при этом препятствий будет тем больше, чем меньше времени будет уделяться настройке этих систем. Администратор безопасности должен ежедневно обрабатывать данные регистрации для того, чтобы своевременно корректировать настройки систем, обеспечивающие адаптацию к изменениям в технологии обработки информации. Без этого любая система, какой бы хорошей она ни была, обречена на медленное и мучительное (для конечных пользователей) вымирание.

Третий этап- обучение администраторов безопасности работе с приобретенными средствами защиты. В процессе обучения администратор приобретает базовые знания о технологии обеспечения информационной безопасности, глубокие знания об имеющихся в операционных системах подсистемах безопасности и возможностях изучаемых систем защиты, о технологических приемах, используемых при их настройке и эксплуатации.

Четвертый этап - информационное обслуживание по вопросам безопасности. Наличие своевременной информации об обнаруженных уязвимостях и о способах защиты от них, безусловно, поможет предпринять некоторые меры задолго до того, как "грянет гром". Источников подобных сведений в настоящее время очень много - это книги, журналы, Web-сервера, списки рассылки и т.п. К сожалению, администратор безопасности не всегда имеет достаточное количество времени для поиска крупиц знаний в этом море информации.

Пятый этап - периодический аудит системы информационной безопасности - необходим потому, что корпоративная сеть, подобно живому организму, является постоянно изменяющейся структурой. Появляются новые серверы и рабочие станции, меняется программное обеспечение и его настройки, меняется состав и важность информации, меняются люди, работающие в организации и т.д. Все это приводит к тому, что защищенность системы постоянно снижается.