Защита информации в компьютерных системах и сетях. Анализ угроз сетевой безопасности

Идентификация / аутентификация (ИА) операторов должна вы­полняться аппаратно до этапа загрузки ОС. Базы данных ИА долж­ны храниться в энергонезависимой памяти систем защиты инфор­мации (СЗИ), организованной так, чтобы доступ к ней средствами ПК был невозможен, т.е. энергонезависимая память должна быть размещена вне адресного пространства ПК.

Идентификация / аутентификация удаленных пользователей, как и в предыдущем случае, требует аппаратной реализации. Аутенти­фикация возможна различными способами, включая электронную цифровую подпись (ЭЦП). Обязательным становится требование «усиленной аутентификации», т.е. периодического повторения про­цедуры в процессе работы через интервалы времени, достаточно малые для того, чтобы при преодолении защиты злоумышленник не мог нанести ощутимого ущерба.

2. Защита технических средств от НСД

Средства защиты компьютеров от НСД можно разделить на электронные замки (ЭЗ) и аппаратные модули доверенной загрузки (АМДЗ). Основное их отличие - способ реализации контроля це­лостности. Электронные замки аппаратно выполняют процедуры И/А пользователя, используют внешнее ПО для выполнения про­цедур контроля целостности. АМДЗ аппаратно реализуют как функ­ции ЭЗ, так и функции контроля целостности и функции админи­стрирования.

Контроль целостности технического состава ПК и ЛВС. Кон­троль целостности технического состава ПЭВМ должен выполняться контроллером СЗИ до загрузки ОС. При этом должны контролиро­ваться все ресурсы, которые (потенциально) могут использоваться совместно, в том числе центральный процессор, системный BIOS, гибкие диски, жесткие диски и CD-ROM.

Целостность технического состава ЛВС должна обеспечиваться процедурой усиленной аутентификации сети. Процедура должна выполняться на этапе подключения проверенных ПК к сети и далее через заранее определенные администратором безопасности интер­валы времени.

Контроль целостности ОС, т.е. контроль целостности системных областей и файлов ОС должен выполняться контроллером до загруз­ки ОС для обеспечения чтения реальных данных. Так как в элек­тронном документообороте могут использоваться различные ОС, то встроенное в контроллер ПО должно обеспечивать обслуживание наиболее популярных файловых систем.

Контроль целостности прикладного программного обеспечения (ППО) и данных может выполняться как аппаратным, так и программным компонентом СЗИ.

3. Разграничение доступа к документам, ресурсам ПК и сети

Современные операционные системы все чаще содержат встро­енные средства разграничения доступа. Как правило, эти средства используют особенности конкретной файловой системы (ФС) и ос­нованы на атрибутах, связанных с одним из уровней API операци­онной системы. При этом неизбежно возникают следующие две проблемы.


Привязка к особенностям файловой системы. В современных опе­рационных сйстемах, как правило, используются не одна, а несколь­ко ФС - как новые, так и устаревшие. Обычно на новой ФС встро­енное в ОС разграничение доступа работает, а на старой - может и не работать, так как использует существенные отличия новой ФС.

Это обстоятельство обычно прямо не оговаривается в сертификате, что может ввести пользователя в заблуждение. Именно с целью обеспечения совместимости старые ФС в этом случае включаются в состав новых ОС.

Привязка к API операционной системы. Как правило, операцион­ные системы меняются сейчас очень быстро - раз в год-полтора. Не исключено, что будут меняться еще чаще. Если при этом атри­буты разграничения доступа отражают состав API, с переходом на современную версию ОС будет необходимо переделывать настройки системы безопасности, проводить переобучение персонала и т.д.

Таким образом, можно сформулировать общее требование - подсистема разграничения доступа должна быть наложенной на операционную систему и тем самым быть независимой от файловой системы. Разумеется, состав атрибутов должен быть достаточен для целей описания политики безопасности, причем описание должно осуществляться не в терминах API ОС, а в терминах, в которых привычно работать администраторам безопасности системы.

4. Защита электронных документов

Защита электронного обмена информацией включает два класса задач:

Обеспечение эквивалентности документа в течение его жиз­ненного цикла исходному ЭлД-эталону;

Обеспечение эквивалентности примененных электронных тех­нологий эталонным.

Назначение любой защиты - обеспечение стабильности задан­ных свойств защищаемого объекта во всех точках жизненного цик­ла. Защищенность объекта реализуется сопоставлением эталона (объекта в исходной точке пространства и времени) и результата (объекта в момент наблюдения). Например, в случае, если в точке наблюдения (получения ЭлД) имеется только весьма ограниченная контекстная информация об эталоне (содержании исходного ЭлД), но зато имеется полная информация о результате (наблюдаемом до­кументе), то это означает, что ЭлД должен включать в свой состав атрибуты, удостоверяющие соблюдение технических и технологиче­ских требований, а именно - неизменность сообщения на всех этапах изготовления и транспортировки документа. Одним из вари­антов атрибутов могут быть защитные коды аутентификации (ЗКА).

Защита документа при его создании. При создании документа должен аппаратно вырабатываться защитный код аутентификации. Запись копии электронного документа на внешние носители до вы­работки ЗКА должна быть исключена. Если ЭлД формируется опе­ратором, то ЗКА должен быть привязан к оператору. Если ЭлД по­рождается программным компонентом АС, то ЗКА должен выраба­тываться с привязкой к данному программному компоненту.

Защита документа при его передаче. Защита документа при его передаче по внешним (открытым) каналам связи должна выпол­няться на основе применения сертифицированных криптографиче­ских средств, в том числе с использованием электронно-цифровой подписи (ЭЦП) для каждого передаваемого документа. Возможен и другой вариант - с помощью ЭЦП подписывается пачка докумен­тов, а каждый отдельный документ заверяется другим аналогом собственноручной подписи (АСП), например ЗКА.

Защита документа при его обработке, хранении и исполнении. На этих этапах защита документа осуществляется применением двух ЗКА - входного и выходного для каждого этапа. При этом ЗКА должны вырабатываться аппаратно с привязкой ЗКА к процедуре обработки (этапу информационной технологии). Для поступившего документа (с ЗКА и ЭЦП) вырабатывается второй ЗКА и только за­тем снимается ЭЦП.

Защита документа при доступе к нему из внешней среды. Защита документа при доступе к нему из внешней среды включает два уже описанных механизма - идентификация/аутентификация удален­ных пользователей и разграничение доступа к документам, ресурсам ПК и сети.

5. Защита данных в каналах связи

Традиционно для защиты данных в канале связи применяют канальные шифраторы и передаются не только данные, но и управ­ляющие сигналы.

6. Защита информационных технологий

Несмотря на известное сходство, механизмы защиты собственно ЭлД как объекта (число, данные) и защита ЭлД как процесса (функция, вычислительная среда) радикально отличаются. При за­щите информационной технологии в отличие от защиты ЭлД досто­верно известны характеристики требуемой технологии-эталона, но имеются ограниченные сведения о выполнении этих требований фактически использованной технологией, т.е. результате. Единст­венным объектом, который может нести информацию о фактиче­ской технологии (как последовательности операций), является соб­ственно ЭлД, а точнее входящие в него атрибуты. Как и ранее, од­ним из видов этих атрибутов могут быть ЗКА. Эквивалентность технологий может быть установлена тем точнее, чем большее коли­чество функциональных операций привязывается к сообщению че­рез ЗКА. Механизмы при этом не отличаются от применяемых при защите ЭлД. Более того, можно считать, что наличие конкретного ЗКА характеризует наличие в технологическом процессе соответст­вующей операции, а значение ЗКА характеризует целостность со­общения на данном этапе технологического процесса.

7. Разграничение доступа к потокам данных

Для целей разграничения доступа к потокам данных применя­ются, как правило, маршрутизаторы, которые используют крипто­графические средства защиты. В таких случаях особое внимание уделяется ключевой системе и надежности хранения ключей. Требо­вания к доступу при разграничении потоков отличаются от таковых при разграничении доступа к файлам и каталогам. Здесь возможен только простейший механизм - доступ разрешен или запрещен.

Выполнение перечисленных требований обеспечивает достаточ­ный уровень защищенности электронных документов как важнейше­го вида сообщений, обрабатываемых в информационных системах.

В качестве технических средств защиты информации в настоя­щее время разработан аппаратный модуль доверенной загрузки (АМДЗ), обеспечивающий загрузку ОС вне зависимости от ее типа для пользователя, аутентифицированного защитным механизмом. Результаты разработки СЗИ НСД «Аккорд» (разработчик ОКБ САПР) серийно выпускаются и являются на сегодня самым извест­ным в России средством защиты компьютеров от несанкциониро­ванного доступа. При разработке была использована специфика прикладной области, отраженная в семействе аппаратных средств защиты информации в электронном документообороте, которые на различных уровнях используют коды аутентификации (КА). Рас­смотрим примеры использования аппаратных средств.

1. В контрольно-кассовых машинах (ККМ) КА используются как средства аутентификации чеков как одного из видов ЭлД. Каждая ККМ должна быть снабжена блоком интеллектуальной фискальной памяти (ФП), которая кроме функций накопления данных об ито­гах продаж выполняет еще ряд функций:

Обеспечивает защиту ПО ККМ и данных от НСД;

Вырабатывает коды аутентификации как ККМ, так и каждого чека;

Поддерживает типовой интерфейс взаимодействия с модулем налогового инспектора;

Обеспечивает съем фискальных данных для представления в налоговую инспекцию одновременно с балансом.

Разработанный блок ФП «Аккорд-ФП» выполнен на основе СЗИ «Аккорд». Он характеризуется следующими особенностями:

Функции СЗИ НСД интегрированы с функциями ФП;

В составе блока ФП выполнены также энергонезависимые ре­гистры ККМ;

Процедуры модуля налогового инспектора так же интегриро­ваны, как неотъемлемая часть в состав блока «Аккорд-ФП».

2. В системе контроля целостности и подтверждения достоверно­сти электронных документов (СКЦПД) в автоматизированной сис­теме федерального или регионального уровня принципиальным отли­чием является возможность защиты каждого отдельного документа. Эта система позволила обеспечить контроль, не увеличивая значи­тельно трафик. Основой для создания такой системы стал контрол­лер «Аккорд-С Б/КА» - высокопроизводительный сопроцессор безопасности, реализующий функции выработки/проверки кодов аутентификации.

Обеспечивает управление деятельностью СКЦПД в целом ре­гиональный информационно-вычислительный центр (РИВЦ), взаимодействуя при этом со всеми АРМ КА - АРМ операторов- участников, оснащенными программно-аппаратными комплексами «Аккорд-СБ/КА» (А-СБ/КА) и программными средствами СКЦПД. В состав РИВЦ должно входить два автоматизированных рабочих места - АРМ-К для изготовления ключей, АРМ-Р для подготовки рассыпки проверочных данных.

3. Применение кодов аутентификации в подсистемах технологиче­ской защиты информации ЭлД. Основой для реализации аппаратных средств защиты информации может служить «Аккорд СБ» и «Ак­корд АМДЗ» (в части средств защиты от несанкционированного доступа). Для защиты технологий используются коды аутентифика­ции. Коды аутентификации электронных документов в подсистеме технологической защиты информации формируются и проверяются на серверах кода аутентификации (СКА) с помощью ключевых таб­лиц (таблиц достоверности), хранящихся во внутренней памяти ус­тановленных в СКА сопроцессоров «Аккорд-СБ». Таблицы досто­верности, закрытые на ключах доставки, доставляются на СКА и загружаются во внутреннюю память сопроцессоров, где и происхо­дит их раскрытие. Ключи доставки формируются и регистрируются на специализированном автоматизированном рабочем месте АРМ-К и загружаются в сопроцессоры на начальном этапе в процессе их персонализации.

Опыт широкомасштабного практического применения более 100 ООО модулей аппаратных средств защиты типа «Аккорд» в ком­пьютерных системах различных организаций России и стран ближне­го зарубежья показывает, что ориентация на программно-аппаратное решение выбрано правильно, так как оно имеет большие возмож­ности для дальнейшего развития и совершенствования.

Выводы

Недооценка проблем, связанных с безопасностью информации, может приводить к огромному ущербу.

Рост компьютерной преступности вынуждает заботиться об ин­формационной безопасности.

Эксплуатация в российской практике однотипных массовых про­граммно-технических средств (например, IBM-совместимые пер­сональные компьютеры; операционные системы - Window, Unix, MS DOS, Netware и т.д.) создает в определенной мере условия для злоумышленников.

Стратегия построения системы защиты информации должна опираться на комплексные решения, на интеграцию информаци­онных технологий и систем защиты, на использование передовых методик и средств, на универсальные технологии защиты инфор­мации промышленного типа.

Вопросы для самоконтроля

1. Назовите виды угроз информации, дайте определение угрозы.

2. Какие существуют способы защиты информации?

3. Охарактеризуйте управление доступом как способ защиты ин­формации. Каковы его роль и значение?

4. В чем состоит назначение криптографических методов защиты информации? Перечислите их.

5. Дайте понятие аутентификации и цифровой подписи. В чем их сущность?

6. Обсудите проблемы защиты информации в сетях и возможности их разрешения.

7. Раскройте особенности стратегии защиты информации с исполь­зованием системного подхода, комплексных решений и принци­па интеграции в информационных технологиях.

8. Перечислите этапы создания систем защиты информации.

9. Какие мероприятия необходимы для реализации технической защиты технологий электронного документооборота?

10. В чем заключается суть мультипликативного подхода?

11. Какие процедуры необходимо выполнить, чтобы защитить сис­тему электронного документооборота?

12. Какие функции выполняет сетевой экран?

Тесты к гл. 5

Вставьте недостающие понятия и словосочетания.

1. События или действия, которые могут привести к несанкциони­рованному использованию, искажению или разрушению информации, называются...

2. Среди угроз безопасности информации следует выделить два вида: ...

3. Перечисленные виды противодействия угрозам безопасности ин­формации: препятствие, управление доступом, шифрование, регламента­ция, принуждение и побуждение относятся к... обеспечения безопас­ности информации.

4. Следующие способы противодействия угрозам безопасности: фи­зические, аппаратные, программные, организационные, законодатель­ные, морально-этические, физические относятся к... обеспечения без­опасности информации.


5. Криптографические методы защиты информации основаны на ее...

6. Присвоение пользователю уникального обозначения для подтвер­ждения его соответствия называется...

7. Установление подлинности пользователя для проверки его соот­ветствия называется...

8. Наибольшая угроза для корпоративных сетей связана:

а) с разнородностью информационных ресурсов и технологий;

б) с программно-техническим обеспечением;

в) со сбоями оборудования. Выберите правильные ответы.

9. Рациональный уровень информационной безопасности в корпо­ративных сетях в первую очередь выбирается исходя из соображений:

а) конкретизации методов защиты;

б) экономической целесообразности;

в) стратегии защиты.

10. Резидентная программа, постоянно находящаяся в памяти компью­тера и контролирующая операции, связанные с изменением информации на магнитных дисках, называется:

а) детектором;

в) сторожем;

г) ревизором.

11. Антивирусные средства предназначены:

а) для тестирования системы;

б) для защиты программы от вируса;

в) для проверки программ на наличие вируса и их лечение;

г) для мониторинга системы.


Кившенко Алексей, 1880

Данная статья содержит обзор пяти вариантов решения задачи организации доступа к сервисам корпоративной сети из Интернет. В рамках обзора приводится анализ вариантов на предмет безопасности и реализуемости, что поможет разобраться в сути вопроса, освежить и систематизировать свои знания как начинающим специалистам, так и более опытным. Материалы статьи можно использовать для обоснования Ваших проектных решений.

При рассмотрении вариантов в качестве примера возьмем сеть, в которой требуется опубликовать:

  1. Корпоративный почтовый сервер (Web-mail).
  2. Корпоративный терминальный сервер (RDP).
  3. Extranet сервис для контрагентов (Web-API).

Вариант 1. Плоская сеть

В данном варианте все узлы корпоративной сети содержатся в одной, общей для всех сети («Внутренняя сеть»), в рамках которой коммуникации между ними не ограничиваются. Сеть подключена к Интернет через пограничный маршрутизатор/межсетевой экран (далее - IFW ).

Доступ узлов в Интернет осуществляется через NAT , а доступ к сервисам из Интернет через Port forwarding .

Плюсы варианта :

  1. Минимальные требования к функционалу IFW (можно сделать практически на любом, даже домашнем роутере).
  2. Минимальные требования к знаниям специалиста, осуществляющего реализацию варианта.
Минусы варианта :
  1. Минимальный уровень безопасности. В случае взлома, при котором Нарушитель получит контроль над одним из опубликованных в Интернете серверов, ему для дальнейшей атаки становятся доступны все остальные узлы и каналы связи корпоративной сети.
Аналогия с реальной жизнью
Подобную сеть можно сравнить с компанией, где персонал и клиенты находятся в одной общей комнате (open space)


hrmaximum.ru

Вариант 2. DMZ

Для устранения указанного ранее недостатка узлы сети, доступные из Интернет, помещают в специально выделенный сегмент – демилитаризованную зону (DMZ). DMZ организуется с помощью межсетевых экранов, отделяющих ее от Интернет (IFW ) и от внутренней сети (DFW ).


При этом правила фильтрации межсетевых экранов выглядят следующим образом:
  1. Из внутренней сети можно инициировать соединения в DMZ и в WAN (Wide Area Network).
  2. Из DMZ можно инициировать соединения в WAN.
  3. Из WAN можно инициировать соединения в DMZ.
  4. Инициация соединений из WAN и DMZ ко внутренней сети запрещена.


Плюсы варианта:
  1. Повышенная защищённость сети от взломов отдельных сервисов. Даже если один из серверов будет взломан, Нарушитель не сможет получить доступ к ресурсам, находящимся во внутренней сети (например, сетевым принтерам, системам видеонаблюдения и т.д.).
Минусы варианта:
  1. Сам по себе вынос серверов в DMZ не повышает их защищенность.
  2. Необходим дополнительный МЭ для отделения DMZ от внутренней сети.
Аналогия с реальной жизнью
Данный вариант архитектуры сети похож на организацию рабочей и клиентской зон в компании, где клиенты могут находиться только в клиентской зоне, а персонал может быть как в клиентской, так и в рабочих зонах. DMZ сегмент - это как раз и есть аналог клиентской зоны.


autobam.ru

Вариант 3. Разделение сервисов на Front-End и Back-End

Как уже отмечалось ранее, размещение сервера в DMZ никоим образом не улучшает безопасность самого сервиса. Одним из вариантов исправления ситуации является разделение функционала сервиса на две части: Front-End и Back-End . При этом каждая часть располагается на отдельном сервере, между которыми организуется сетевое взаимодействие. Сервера Front-End, реализующие функционал взаимодействия с клиентами, находящимися в Интернет, размещают в DMZ, а сервера Back-End, реализующие остальной функционал, оставляют во внутренней сети. Для взаимодействия между ними на DFW создают правила, разрешающие инициацию подключений от Front-End к Back-End.

В качестве примера рассмотрим корпоративный почтовый сервис, обслуживающий клиентов как изнутри сети, так и из Интернет. Клиенты изнутри используют POP3/SMTP, а клиенты из Интернет работают через Web-интерфейс. Обычно на этапе внедрения компании выбирают наиболее простой способ развертывания сервиса и ставят все его компоненты на один сервер. Затем, по мере осознания необходимости обеспечения информационной безопасности, функционал сервиса разделяют на части, и та часть, что отвечает за обслуживание клиентов из Интернет (Front-End), выносится на отдельный сервер, который по сети взаимодействует с сервером, реализующим оставшийся функционал (Back-End). При этом Front-End размещают в DMZ, а Back-End остается во внутреннем сегменте. Для связи между Front-End и Back-End на DFW создают правило, разрешающее, инициацию соединений от Front-End к Back-End.

Плюсы варианта:

  1. В общем случае атаки, направленные против защищаемого сервиса, могут «споткнуться» об Front-End, что позволит нейтрализовать или существенно снизить возможный ущерб. Например, атаки типа TCP SYN Flood или slow http read , направленные на сервис, приведут к тому, что Front-End сервер может оказаться недоступен, в то время как Back-End будет продолжать нормально функционировать и обслуживать пользователей.
  2. В общем случае на Back-End сервере может не быть доступа в Интернет, что в случае его взлома (например, локально запущенным вредоносным кодом) затруднит удаленное управление им из Интернет.
  3. Front-End хорошо подходит для размещения на нем межсетевого экрана уровня приложений (например, Web application firewall) или системы предотвращения вторжений (IPS, например snort).
Минусы варианта:
  1. Для связи между Front-End и Back-End на DFW создается правило, разрешающее инициацию соединения из DMZ во внутреннюю сеть, что порождает угрозы, связанные с использованием данного правила со стороны других узлов в DMZ (например, за счет реализации атак IP spoofing, ARP poisoning и т. д.)
  2. Не все сервисы могут быть разделены на Front-End и Back-End.
  3. В компании должны быть реализованы бизнес-процессы актуализации правил межсетевого экранирования.
  4. В компании должны быть реализованы механизмы защиты от атак со стороны Нарушителей, получивших доступ к серверу в DMZ.
Примечания
  1. В реальной жизни даже без разделения серверов на Front-End и Back-End серверам из DMZ очень часто необходимо обращаться к серверам, находящимся во внутренней сети, поэтому указанные минусы данного варианта будут также справедливы и для предыдущего рассмотренного варианта.
  2. Если рассматривать защиту приложений, работающих через Web-интерфейс, то даже если сервер не поддерживает разнесение функций на Front-End и Back-End, применение http reverse proxy сервера (например, nginx) в качестве Front-End позволит минимизировать риски, связанные с атаками на отказ в обслуживании. Например, атаки типа SYN flood могут сделать http reverse proxy недоступным, в то время как Back-End будет продолжать работать.
Аналогия с реальной жизнью
Данный вариант по сути похож на организацию труда, при которой для высоко загруженных работников используют помощников - секретарей. Тогда Back-End будет аналогом загруженного работника, а Front-End аналогом секретаря.


mln.kz

Вариант 4. Защищенный DMZ

DMZ это часть сети, доступная из Internet, и, как следствие, подверженная максимальному риску компрометации узлов. Дизайн DMZ и применяемые в ней подходы должны обеспечивать максимальную живучесть в условиях, когда Нарушитель получил контроль над одним из узлов в DMZ. В качестве возможных атак рассмотрим атаки, которым подвержены практически все информационные системы, работающие с настройками по умолчанию:

Защита от атак, связанных с DHCP

Не смотря на то, что DHCP предназначен для автоматизации конфигурирования IP-адресов рабочих станций, в некоторых компаниях встречаются случаи, когда через DHCP выдаются IP-адерса для серверов, но это довольно плохая практика. Поэтому для защиты от Rogue DHCP Server , DHCP starvation рекомендуется полный отказ от DHCP в DMZ.

Защита от атак MAC flood

Для защиты от MAC flood проводят настройку на портах коммутатора на предмет ограничения предельной интенсивности широковещательного трафика (поскольку обычно при данных атаках генерируется широковещательный трафик (broadcast)). Атаки, связанные с использованием конкретных (unicast) сетевых адресов, будут заблокированы MAC фильтрацией, которую мы рассмотрели ранее.

Защита от атак UDP flood

Защита от данного типа атак производится аналогично защите от MAC flood, за исключением того, что фильтрация осуществляется на уровне IP (L3).

Защита от атак TCP SYN flood

Для защиты от данной атаки возможны варианты:
  1. Защита на узле сети с помощью технологии TCP SYN Cookie .
  2. Защита на уровне межсетевого экрана (при условии разделения DMZ на подсети) путем ограничения интенсивности трафика, содержащего запросы TCP SYN.

Защита от атак на сетевые службы и Web-приложения

Универсального решения данной проблемы нет, но устоявшейся практикой является внедрение процессов управления уязвимостями ПО (выявление, установка патчей и т.д., например, так), а также использование систем обнаружения и предотвращения вторжений (IDS/IPS).

Защита от атак на обход средств аутентификации

Как и для предыдущего случая универсального решения данной проблемы нет.
Обычно в случае большого числа неудачных попыток авторизации учетные записи, для избежания подборов аутентификационных данных (например, пароля) блокируют. Но подобный подход довольно спорный, и вот почему.
Во-первых, Нарушитель может проводить подбор аутентификационной информации с интенсивностью, не приводящей к блокировке учетных записей (встречаются случаи, когда пароль подбирался в течении нескольких месяцев с интервалом между попытками в несколько десятков минут).
Во-вторых, данную особенность можно использовать для атак типа отказ в обслуживании, при которых Нарушитель будет умышленно проводить большое количество попыток авторизации для того, чтобы заблокировать учетные записи.
Наиболее эффективным вариантом от атак данного класса будет использование систем IDS/IPS, которые при обнаружении попыток подбора паролей будут блокировать не учетную запись, а источник, откуда данный подбор происходит (например, блокировать IP-адрес Нарушителя).

Итоговый перечень защитных мер по данному варианту:

  1. DMZ разделяется на IP-подсети из расчета отдельная подсеть для каждого узла.
  2. IP адреса назначаются вручную администраторами. DHCP не используется.
  3. На сетевых интерфейсах, к которым подключены узлы DMZ, активируется MAC и IP фильтрация, ограничения по интенсивности широковещательного трафика и трафика, содержащего TCP SYN запросы.
  4. На коммутаторах отключается автоматическое согласование типов портов, запрещается использование native VLAN.
  5. На узлах DMZ и серверах внутренней сети, к которым данные узлы подключаются, настраивается TCP SYN Cookie.
  6. В отношении узлов DMZ (и желательно остальной сети) внедряется управление уязвимостями ПО.
  7. В DMZ-сегменте внедряются системы обнаружения и предотвращения вторжений IDS/IPS.
Плюсы варианта:
  1. Высокая степень безопасности.
Минусы варианта:
  1. Повышенные требования к функциональным возможностям оборудования.
  2. Трудозатраты во внедрении и поддержке.
Аналогия с реальной жизнью
Если ранее DMZ мы сравнили с клиентской зоной, оснащенной диванчиками и пуфиками, то защищенный DMZ будет больше похож на бронированную кассу.


valmax.com.ua

Вариант 5. Back connect

Рассмотренные в предыдущем варианте меры защиты были основаны на том, что в сети присутствовало устройство (коммутатор / маршрутизатор / межсетевой экран), способное их реализовывать. Но на практике, например, при использовании виртуальной инфраструктуры (виртуальные коммутаторы зачастую имеют очень ограниченные возможности), подобного устройства может и не быть.

В этих условиях Нарушителю становятся доступны многие из рассмотренных ранее атак, наиболее опасными из которых будут:

  • атаки, позволяющие перехватывать и модифицировать трафик (ARP Poisoning, CAM table overflow + TCP session hijacking и др.);
  • атаки, связанные с эксплуатацией уязвимостей серверов внутренней сети, к которым можно инициировать подключения из DMZ (что возможно путем обхода правил фильтрации DFW за счет IP и MAC spoofing).
Следующей немаловажной особенностью, которую мы ранее не рассматривали, но которая не перестает быть от этого менее важной, это то, что автоматизированные рабочие места (АРМ) пользователей тоже могут быть источником (например, при заражении вирусами или троянами) вредоносного воздействия на сервера.

Таким образом, перед нами встает задача защитить сервера внутренней сети от атак Нарушителя как из DMZ, так и из внутренней сети (заражение АРМа трояном можно интерпретировать как действия Нарушителя из внутренней сети).

Предлагаемый далее подход направлен на уменьшение числа каналов, через которые Нарушитель может атаковать сервера, а таких канала как минимум два. Первый это правило на DFW , разрешающее доступ к серверу внутренней сети из DMZ (пусть даже и с ограничением по IP-адресам), а второй - это открытый на сервере сетевой порт, по которому ожидаются запросы на подключение.

Закрыть указанные каналы можно, если сервер внутренней сети будет сам строить соединения до сервера в DMZ и будет делать это с помощью криптографически защищенных сетевых протоколов. Тогда не будет ни открытого порта, ни правила на DFW .

Но проблема в том, что обычные серверные службы не умеют работать подобным образом, и для реализации указанного подхода необходимо применять сетевое туннелирование, реализованное, например, с помощью SSH или VPN, а уже в рамках туннелей разрешать подключения от сервера в DMZ к серверу внутренней сети.

Общая схема работы данного варианта выглядит следующим образом:

  1. На сервер в DMZ инсталлируется SSH/VPN сервер, а на сервер во внутренней сети инсталлируется SSH/VPN клиент.
  2. Сервер внутренней сети инициирует построение сетевого туннеля до сервера в DMZ. Туннель строится с взаимной аутентификацией клиента и сервера.
  3. Сервер из DMZ в рамках построенного туннеля инициирует соединение до сервера во внутренней сети, по которому передаются защищаемые данные.
  4. На сервере внутренней сети настраивается локальный межсетевой экран, фильтрующий трафик, проходящий по туннелю.

Использование данного варианта на практике показало, что сетевые туннели удобно строить с помощью OpenVPN , поскольку он обладает следующими важными свойствами:

  • Кроссплатформенность. Можно организовывать связь на серверах с разными операционными системами.
  • Возможность построения туннелей с взаимной аутентификацией клиента и сервера.
  • Возможность использования сертифицированной криптографии .
На первый взгляд может показаться, что данная схема излишне усложнена и что, раз на сервере внутренней сети все равно нужно устанавливать локальный межсетевой экран, то проще сделать, чтобы сервер из DMZ, как обычно, сам подключался к серверу внутренней сети, но делал это по шифрованному соединению. Действительно, данный вариант закроет много проблем, но он не сможет обеспечить главного - защиту от атак на уязвимости сервера внутренней сети, совершаемых за счет обхода межсетевого экрана с помощью IP и MAC spoofing.

Плюсы варианта:

  1. Архитектурное уменьшение количества векторов атак на защищаемый сервер внутренней сети.
  2. Обеспечение безопасности в условиях отсутствия фильтрации сетевого трафика.
  3. Защита данных, передаваемых по сети, от несанкционированного просмотра и изменения.
  4. Возможность избирательного повышения уровня безопасности сервисов.
  5. Возможность реализации двухконтурной системы защиты, где первый контур обеспечивается с помощью межсетевого экранирования, а второй организуется на базе данного варианта.
Минусы варианта:
  1. Внедрение и сопровождение данного варианта защиты требует дополнительных трудовых затрат.
  2. Несовместимость с сетевыми системами обнаружения и предотвращения вторжений (IDS/IPS).
  3. Дополнительная вычислительная нагрузка на сервера.
Аналогия с реальной жизнью
Основной смысл данного варианта в том, что доверенное лицо устанавливает связь с не доверенным, что похоже на ситуацию, когда при выдаче кредитов Банки сами перезванивают потенциальному заемщику с целью проверки данных. Добавить метки

Информационные системы, в которых средства передачи данных принадлежат одной компания, используются только для нужд этой компании, принято называть сеть масштаба предприятия корпоративная компьютерная сеть (КС). КС-это внутренняя частная сеть организации, объединяющая вычислительные, коммуникационные и информационные ресурсы этой организации и предназначенная для передачи электронных данных, в качестве которых может выступать любая информация Тем самым основываясь на вышесказанное можно сказать, что внутри КС определена специальная политика, описывающая используемые аппаратные и программные средства, правила получения пользователей к сетевым ресурсам, правила управления сетью, контроль использования ресурсов и дальнейшее развитие сети. Корпоративная сеть представляет собой сеть отдельной организации .

Несколько схожее определение можно сформулировать исходя из концепции корпоративной сети приведенной в труде Олифера В.Г. и Олифера Н.Д. “Компьютерные сети: принципы, технологии, протоколы”: любая организация - это совокупность взаимодействующих элементов (подразделений), каждый из которых может иметь свою структуру. Элементы связаны между собой функционально, т.е. они выполняют отдельные виды работ в рамках единого бизнес процесса, а также информационно, обмениваясь документами, факсами, письменными и устными распоряжениями и т.д . Кроме того, эти элементы взаимодействуют с внешними системами, причем их взаимодействие также может быть как информационным, так и функциональным. И эта ситуация справедлива практически для всех организаций, каким бы видом деятельности они не занимались - для правительственного учреждения, банка, промышленного предприятия, коммерческой фирмы и т.д.

Такой общий взгляд на организацию позволяет сформулировать некоторые общие принципы построения корпоративных информационных систем, т.е. информационных систем в масштабе всей организации.

Корпоративная сеть - система, обеспечивающая передачу информации между различными приложениями, используемыми в системе корпорации . Корпоративной сетью считается любая сеть, работающая по протоколу TCP/IP и использующая коммуникационные стандарты Интернета, а также сервисные приложения, обеспечивающие доставку данных пользователям сети. Например, предприятие может создать сервер Web для публикации объявлений, производственных графиков и других служебных документов. Служащие осуществляют доступ к необходимым документам с помощью средств просмотра Web.

Серверы Web корпоративной сети могут обеспечить пользователям услуги, аналогичные услугам Интернета, например работу с гипертекстовыми страницами (содержащими текст, гиперссылки, графические изображения и звукозаписи), предоставление необходимых ресурсов по запросам клиентов Web, а также осуществление доступа к базам данных. В этом руководстве все службы публикации называются “службами Интернета” независимо от того, где они используются (в Интернете или корпоративной сети).

Корпоративная сеть, как правило, является территориально распределенной, т.е. объединяющей офисы, подразделения и другие структуры, находящиеся на значительном удалении друг от друга. Принципы, по которым строится корпоративная сеть, достаточно сильно отличаются от тех, что используются при создании локальной сети. Это ограничение является принципиальным, и при проектировании корпоративной сети следует предпринимать все меры для минимизации объемов передаваемых данных. В остальном же корпоративная сеть не должна вносить ограничений на то, какие именно приложения и каким образом обрабатывают переносимую по ней информацию. Характерной особенностью такой сети является то, что в ней функционируют оборудование самых разных производителей и поколений, а также неоднородное программное обеспечение, не ориентированное изначально на совместную обработку данных .

Для подключения удаленных пользователей к корпоративной сети самым простым и доступным вариантом является использование телефонной связи. Там, где это, возможно, могут использоваться сети ISDN. Для объединения узлов сети в большинстве случаев используются глобальные сети передачи данных. Даже там, где возможна прокладка выделенных линий (например, в пределах одного города) использование технологий пакетной коммутации позволяет уменьшить количество необходимых каналов связи и - что немаловажно - обеспечить совместимость системы с существующими глобальными сетями.

Подключение корпоративной сети к Internet оправдано, если вам нужен доступ к соответствующим услугам. Во многих работах бытует мнение по поводу подключения к Internet-у: Использовать Internet как среду передачи данных стоит только тогда, когда другие способы недоступны и финансовые соображения перевешивают требования надежности и безопасности. Если вы будете использовать Internet только в качестве источника информации, лучше пользоваться технологией "соединение по запросу" (dial-on-demand), т.е. таким способом подключения, когда соединение с узлом Internet устанавливается только по вашей инициативе и на нужное вам время. Это резко снижает риск несанкционированного проникновения в вашу сеть извне .

Для передачи данных внутри корпоративной сети также стоит использовать виртуальные каналы сетей пакетной коммутации. Основные достоинства такого подхода - универсальность, гибкость, безопасность

В результате изучения структуры информационных сетей (ИС) и технологии обработки данных разрабатывается концепция информационной безопасности ИС. В концепции находят отражение следующие основные моменты:

  • 1) Организация сети организации
  • 2) существующие угрозы безопасности информации, возможности их реализации и предполагаемый ущерб от этой реализации;
  • 3) организация хранения информации в ИС;
  • 4) организация обработки информации;
  • 5) регламентация допуска персонала к той или иной информации;
  • 6) ответственность персонала за обеспечение безопасности.

Развивая эту тему, на основе концепции информационной безопасности ИС, приведенной выше, предлагается схема безопасности, структура которой должна удовлетворять следующие условия:

Защита от несанкционированного проникновения в корпоративную сеть и возможности утечки информации по каналам связи .

Разграничение потоков информации между сегментами сети.

Защита критичных ресурсов сети.

Криптографическая защита информационных ресурсов.

Для подробного рассмотрения вышеприведенных условий безопасности целесообразно привести мнение: для защиты от несанкционированного проникновения и утечки информации предлагается использование межсетевых экранов или брандмауэров. Фактически брандмауэр - это шлюз, который выполняет функции защиты сети от несанкционированного доступа из вне (например, из другой сети).

Различают три типа брандмауэров:

Шлюз уровня приложений Шлюз уровня приложений часто называют прокси - сервером (proxy server) - выполняет функции ретранслятора данных для ограниченного числа приложений пользователя. То есть, если в шлюзе не организована поддержка того или иного приложения, то соответствующий сервис не предоставляется, и данные соответствующего типа не могут пройти через брандмауэр.

Фильтрирующий маршрутизатор. Фильтрующий маршрутизатор. Точнее это маршрутизатор, в дополнительные функции которого входит фильтрование пакетов (packet-filtering router). Используется на сетях с коммутацией пакетов в режиме дейтаграмм. То есть, в тех технологиях передачи информации на сетях связи, в которых плоскость сигнализации (предварительного установления соединения между УИ и УП) отсутствует (например, IP V 4). В данном случае принятие решения о передаче по сети поступившего пакета данных основывается на значениях его полей заголовка транспортного уровня. Поэтому брандмауэры такого типа обычно реализуются в виде списка правил, применяемых к значениям полей заголовка транспортного уровня.

Шлюз уровня коммутации. Шлюз уровня коммутации - защита реализуется в плоскости управления (на уровне сигнализации) путем разрешения или запрета тех или иных соединений.

Особое место отводится криптографической защите информационных ресурсов в корпоративных сетях. Так как шифрование является одним из самых надежных способов защиты данных от несанкционированного ознакомления. Особенностью применения криптографических средств является жесткая законодательная регламентация. В настоящее время в корпоративных сетях они устанавливаются только на тех рабочих местах, где хранится информация, имеющая очень высокую степень важности.

Так согласно классификации средств криптографической защиты информационных ресурсов в корпоративных сетях они делятся на:

Криптосистемы с одним ключом, их часто называют традиционной, симметричной или с одним ключом. Пользователь создает открытое сообщение, элементами которого являются символы конечного алфавита. Для шифрования открытого сообщения генерируется ключ шифрования. С помощью алгоритма шифрования формируется шифрованное сообщение

Приведенная модель предусматривает, что ключ шифрования генерируется там же, где само сообщение. Однако, возможно и другое решение создания ключа - ключ шифрования создается третьей стороной (центром распределения ключей), которой доверяют оба пользователя. В данном случае за доставку ключа обоим пользователям ответственность несет третья сторона. Вообще говоря, данное решение противоречит самой сущности криптографии - обеспечение секретности передаваемой информации пользователей.

Криптосистемы с одним ключом используют принципы подстановки (замены), перестановки (транспозиции) и композиции. При подстановке отдельные символы открытого сообщения заменяются другими символами. Шифрование с применением принципа перестановки подразумевает изменение порядка следования символов в открытом сообщении. С целью повышения надежности шифрования шифрованное сообщение, полученное применением некоторого шифра, может быть еще раз зашифровано с помощью другого шифра. Говорят, что в данном случае применен композиционный подход. Следовательно, симметричные криптосистемы (с одним ключом) можно классифицировать на системы, которые используют шифры подстановки, перестановки и композиции.

Криптосистема с открытым ключом. Она имеет место только еесли пользователи при шифровании и дешифровании используют разные ключи KО и KЗ. Эту криптосистему называют асимметричной, с двумя ключами или с открытым ключом.

Получатель сообщения (пользователь 2) генерирует связанную пару ключей:

KО - открытый ключ, который публично доступен и, таким образом, оказывается доступным отправителю сообщения (пользователь 1);

KС - секретный, личный ключ, который остается известным только получателю сообщения (пользователь 1).

Пользователь 1, имея ключ шифрования KО, с помощью определенного алгоритма шифрования формирует шифрованный текст.

Пользователь 2, владея секретным ключом Kс, имеет возможность выполнить обратное действие.

В этом случае пользователь 1 готовит сообщение пользователю 2 и перед отправлением шифрует это сообщение с помощью личного ключа KС. Пользователь 2 может дешифрировать это сообщение, используя открытый ключ KО. Так как, сообщение было зашифровано личным ключом отправителя, то оно может выступать в качестве цифровой подписи. Кроме того, в данном случае невозможно изменить сообщение без доступа к личному ключу пользователя 1, поэтому сообщение решает так же задачи идентификации отправителя и целостности данных.

Напоследок хотелось бы сказать, что посредством установки криптографических средств защиты можно достаточно надежно защитить рабочее место сотрудника организации, который непосредственно работает с информацией, имеющей особое значение для существования этой организации, от несанкционированного доступа.

Способы защиты информации на предприятии, также как и способы ее добычи, постоянно меняются. Регулярно появляются новые предложения от компаний, предоставляющих услуги по защите информации. Панацеи конечно нет, но есть несколько базовых шагов построения защиты информационной системы предприятия, на которые вам обязательно нужно обратить внимание.

Многим наверняка знакома концепция глубокой защиты от взлома информационной сети. Основная ее идея состоит в том, чтобы использовать несколько уровней обороны. Это позволит, как минимум, минимизировать ущерб, связанный с возможным нарушением периметра безопасности вашей информационной системы.
Далее рассмотрим общие аспекты компьютерной безопасности, а также создадим некий чеклист, служащий в качестве основы для построения базовой защиты информационной системы предприятия.

1. Межсетевой экран (файрвол, брэндмауэр)

Брандмауэр или файрвол - это первая линия обороны, которая встречает непрошенных гостей.
По уровню контроля доступа выделяют следующие типы брэндмауэра:

  • В простейшем случае фильтрация сетевых пакетов происходит согласно установленных правил, т.е. на основе адресов источника и назначения сетевых пакетов, номеров сетевых портов;
  • Брэндмауэр, работающий на сеансовом уровне (stateful). Он отслеживает активные соединения и отбрасывает поддельные пакеты, нарушающие спецификации TCP/IP;
  • Файрвол, работающий на прикладном уровне. Производит фильтрацию на основе анализа данных приложения, передаваемых внутри пакета.

Повышенное внимание к сетевой безопасности и развитие электронной коммерции привело к тому, что все большее число пользователей используют для своей защиты шифрование соединений (SSL, VPN). Это достаточно сильно затрудняет анализ трафика проходящего через межсетевые экраны. Как можно догадаться, теми же технологиями пользуются разработчики вредоносного программного обеспечения. Вирусы, использующие шифрование трафика, стали практически не отличимы от легального трафика пользователей.

2. Виртуальные частные сети (VPN)

Ситуации, когда сотруднику необходим доступ к ресурсам компании из общественных мест (Wi-Fi в аэропорту или гостинице) или из дома (домашнюю сеть сотрудников не контролируют ваши администраторы), особенно опасны для корпоративной информации. Для их защиты просто необходимо использовать шифрованные туннели VPN. Ни о каком доступе к удаленному рабочему столу (RDP) напрямую без шифрования не может быть и речи. Это же касается использования стороннего ПО: Teamviewer, Aammy Admin и т.д. для доступа к рабочей сети. Трафик через эти программы шифруется, но проходит через неподконтрольные вам сервера разработчиков этого ПО.

К недостаткам VPN можно отнести относительную сложность развертывания, дополнительные расходы на ключи аутентификации и увеличение пропускной способности интернет канала. Ключи аутентификации также могут быть скомпрометированы. Украденные мобильные устройства компании или сотрудников (ноутбуки, планшеты, смартфоны) с предварительно настроенными параметрами подключения VPN могут стать потенциальной дырой для несанкционированного доступа к ресурсам компании.

3. Системы обнаружения и предотвращения вторжений (IDS, IPS)

Система обнаружения вторжений (IDS - англ.: Intrusion Detection System) - программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему (сеть), либо несанкционированного управления такой системой. В простейшем случае такая система помогает обнаружить сканирование сетевых портов вашей системы или попытки войти на сервер. В первом случае это указывает на первоначальную разведку злоумышленником, а во втором попытки взлома вашего сервера. Также можно обнаружить атаки, направленные на повышение привилегий в системе, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения. Продвинутые сетевые коммутаторы позволяют подключить систему обнаружения вторжений, используя зеркалирование портов, или через ответвители трафика.

Система предотвращения вторжений (IPS - англ.: Intrusion Prevention System) -программная или аппаратная система обеспечения безопасности, активно блокирующая вторжения по мере их обнаружения. В случае обнаружения вторжения, подозрительный сетевой трафик может быть автоматически перекрыт, а уведомление об этом немедленно отправлено администратору.

4. Антивирусная защита

Антивирусное программное обеспечение является основным рубежом защиты для большинства современных предприятий. По данным исследовательской компании Gartner, объем рынка антивирусного ПО по итогам 2012 года составил $19,14 млрд. Основные потребители - сегмент среднего и малого бизнеса.

Прежде всего антивирусная защита нацелена на клиентские устройства и рабочие станции. Бизнес-версии антивирусов включают функции централизованного управления для передачи обновлений антивирусных баз клиентские устройства, а также возможность централизованной настройки политики безопасности. В ассортименте антивирусных компаний присутствуют специализированные решения для серверов.
Учитывая то, что большинство заражений вредоносным ПО происходит в результате действий пользователя, антивирусные пакеты предлагают комплексные варианты защиты. Например, защиту программ электронной почты, чатов, проверку посещаемых пользователями сайтов. Кроме того, антивирусные пакеты все чаще включают в себя программный брандмауэр, механизмы проактивной защиты, а также механизмы фильтрации спама.

5. Белые списки

Что из себя представляют "белые списки"? Существуют два основных подхода к информационной безопасности. Первый подход предполагает, что в операционной системе по умолчанию разрешен запуск любых приложений, если они ранее не внесены в "черный список". Второй подход, напротив, предполагает, что разрешен запуск только тех программ, которые заранее были внесены в "белый список", а все остальные программы по умолчанию блокируются. Второй подход к безопасности конечно более предпочтителен в корпоративном мире. Белые списки можно создать, как с помощью встроенных средств операционной системы , так и с помощью стороннего ПО. Антивирусное ПО часто предлагает данную функцию в своем составе. Большинство антивирусных приложений, предлагающих фильтрацию по белому списку, позволяют провести первоначальную настройку очень быстро, с минимальным вниманием со стороны пользователя.

Тем не менее, могут возникнуть ситуации, в которых зависимости файлов программы из белого списка не были правильно определены вами или антивирусным ПО. Это приведет к сбоям приложения или к неправильной его установке. Кроме того, белые списки бессильны против атак, использующих уязвимости обработки документов программами из белого списка. Также следует обратить внимание на самое слабое звено в любой защите: сами сотрудники в спешке могут проигнорировать предупреждение антивирусного ПО и добавить в белый список вредоносное программное обеспечение.

6. Фильтрация спама

Спам рассылки часто применяются для проведения фишинг атак, использующихся для внедрения троянца или другого вредоноса в корпоративную сеть. Пользователи, которые ежедневно обрабатывают большое количество электронной почты, более восприимчивы к фишинг-сообщениям. Поэтому задача ИТ-отдела компании - отфильтровать максимальное количество спама из общего потока электронной почты.

Основные способы фильтрации спама:

  • Специализированные поставщики сервисов фильтрации спама;
  • ПО для фильтрации спама на собственных почтовых серверах;
  • Специализированные хардварные решения, развернутые в корпоративном дата-центре.

7. Поддержка ПО в актуальном состоянии

Своевременное обновление программного обеспечения и применение актуальных заплаток безопасности - важный элемент защиты корпоративной сети от несанкционированного доступа. Производители ПО, как правило, не предоставляют полную информацию о новой найденной дыре в безопасности. Однако злоумышленникам хватает и общего описания уязвимости, чтобы буквально за пару часов после публикации описания новой дыры и заплатки к ней, написать программное обеспечение для эксплуатации этой уязвимости.
На самом деле это достаточно большая проблема для предприятий малого и среднего бизнеса, поскольку обычно используется широкий спектр программных продуктов разных производителей. Часто обновлениям всего парка ПО не уделяется должного внимания, а это практически открытое окно в системе безопасности предприятия. В настоящее время большое количество ПО самостоятельно обновляется с серверов производителя и это снимает часть проблемы. Почему часть? Потому что сервера производителя могут быть взломаны и, под видом легальных обновлений, вы получите свежее вредоносное ПО. А также и сами производители порой выпускают обновления, нарушающие нормальную работу своего ПО. На критически важных участках бизнеса это недопустимо. Для предотвращения подобных инцидентов все получаемые обновления, во-первых, должны быть применены сразу после их выпуска, во-вторых, перед применением они обязательно должны быть тщательно протестированы.

8. Физическая безопасность

Физическая безопасность корпоративной сети является одним из важнейших факторов, который сложно переоценить. Имея физический доступ к сетевому устройству злоумышленник, в большинстве случаев, легко получит доступ к вашей сети. Например, если есть физический доступ к коммутатору и в сети не производится фильтрация МАС-адресов. Хотя и фильтрация MAC в этом случае вас не спасет. Еще одной проблемой является кража или небрежное отношение к жестким дискам после замены в сервере или другом устройстве. Учитывая то, что найденные там пароли могут быть расшифрованы, серверные шкафы и комнаты или ящики с оборудованием должны быть всегда надежно ограждены от проникновения посторонних.

Мы затронули лишь некоторые из наиболее распространенных аспектов безопасности. Важно также обратить внимание на обучение пользователей, периодический независимый аудит информационной безопасности, создание и соблюдение надежной политики информационной безопасности.
Обратите внимание на то, что защита корпоративной сети является достаточно сложной темой, которая постоянно меняется. Вы должны быть уверены, что компания не зависит всего лишь от одного-двух рубежей защиты. Всегда старайтесь следить за актуальной информацией и свежими решениями на рынке информационной безопасности.

Воспользуйтесь надежной защитой корпоративной сети в рамкам услуги «обслуживание компьютеров организаций» в Новосибирске.

Сразу отметим, что системы защиты, которая 100% даст результат на всех предприятиях, к сожалению, не существует. Ведь с каждым днём появляются всё новые способы обхода и взлома сети (будь она или домашняя). Однако тот факт, что многоуровневая защита - все же лучший вариант для обеспечения безопасности корпоративной сети, остается по-прежнему неизменным.

И в данной статье мы разберем пять наиболее надежных методов защиты информации в компьютерных системах и сетях, а также рассмотрим уровни защиты компьютера в корпоративной сети.

Однако сразу оговоримся, что наилучшим способом защиты данных в сети является бдительность ее пользователей. Все сотрудники компании, вне зависимости от рабочих обязанностей, должны понимать, и главное - следовать всем правилам информационной безопасности. Любое постороннее устройство (будь то телефон, флешка или же диск) не должно подключаться к корпоративной сети.

Кроме того, руководству компании следует регулярно проводить беседы и проверки по технике безопасности, ведь если сотрудники халатно относятся к безопасности корпоративной сети, то никакая защита ей не поможет.

Защита корпоративной сети от несанкционированного доступа

  1. 1. Итак, в первую очередь необходимо обеспечить физическую безопасность сети. Т.е доступ во все серверные шкафы и комнаты должен быть предоставлен строго ограниченному числу пользователей. Утилизация жестких дисков и внешних носителей, должна проходить под жесточайшим контролем. Ведь получив доступ к данным, злоумышленники легко смогут расшифровать пароли.
  2. 2. Первой «линией обороны» корпоративной сети выступает межсетевой экран, который обеспечит защиту от несанкционированного удалённого доступа. В то же время он обеспечит «невидимость» информации о структуре сети.

В число основных схем межсетевого экрана можно отнести:

  • - использование в его роли фильтрующего маршрутизатора, который предназначен для блокировки и фильтрации исходящих и входящих потоков. Все устройства в защищённой сети имеет доступ в интернет, но обратный доступ к этим устройства из Интернета блокируется;
  • - экранированный шлюз, который фильтрует потенциально опасные протоколы, блокируя им доступ в систему.
  1. 3. Антивирусная защита является главным рубежом защиты корпоративной сети от внешних атак. Комплексная антивирусная защита минимизирует возможность проникновения в сеть «червей». В первую очередь необходимо защитить сервера, рабочие станции, и систему корпоративного чата.

На сегодняшний день одной из ведущих компаний по антивирусной защите в сети является «Лаборатория Касперского», которая предлагает такой комплекс защиты, как:

  • - контроль – это комплекс сигнатурных и облачных методов контроля за программами и устройствами и обеспечения шифрования данных;
  • - обеспечение защиты виртуальной среды с помощью установки «агента» на одном (или каждом) виртуальном хосте;
  • - защита «ЦОД» (центр обработки данных) – управление всей структурой защиты и единой централизованной консоли;
  • - защита от DDoS-атак, круглосуточный анализ трафика, предупреждение о возможных атаках и перенаправление трафика на «центр очистки».

Это только несколько примеров из целого комплекса защиты от «Лаборатории Касперского».

  1. 4. Защита . На сегодняшний день многие сотрудники компаний осуществляют рабочую деятельность удаленно (из дома), в связи с этим необходимо обеспечить максимальную защиту трафика, а реализовать это помогут шифрованные туннели VPN.

Одним из минусов привлечения «удалённых работников» является возможность потери (или кражи) устройства, с которого ведется работы и последующего получения доступа в корпоративную сеть третьим лицам.

  1. 5. Грамотная защита корпоративной почты и фильтрация спама.

Безопасность корпоративной почты

Компании, которые обрабатывают большое количество электронной почты, в первую очередь подвержены фишинг–атакам.

Основными способами фильтрация спама, являются:

  • - установка специализированного ПО (данные услуги так же предлагает «Лаборатория Касперского»);
  • - создание и постоянное пополнение «черных» списков ip-адресов устройств, с которых ведется спам-рассылка;
  • - анализ вложений письма (должен осуществляться анализ не только текстовой части, но и всех вложений - фото, видео и текстовых файлов);
  • - определение «массовости» письма: спам-письма обычно идентичны для всех рассылок, это и помогает отследить их антиспам-сканерам, таким как «GFI MailEssentials» и «Kaspersky Anti-spam».

Это основные аспекты защиты информации в корпоративной сети, которые работают, практически в каждой компании. Но выбор защиты зависит также от самой структуры корпоративной сети.

Похожие статьи