In English

IT-галерея

13.02.2002, Суханова Мария
Издание: Сетевой
Очередной выпуск нашей "Галереи IT-проектов" посвящен защите инфор­мации. Свои решения предложенной редакцией "Сетевого журнала" зада­чи обеспечения информационной бе­зопасности предлагают четыре фирмы: "Ай-Ти", "Инфотел", ОБИНКО и ЭЛВИС+. Сама же задача такова.

Торговая фирма с распределенной структурой - четыре магазина, два склада и др. (см. схему на с. 55) - испытывает серьезные проблемы с безопасностью данных. Плохо защи­щены данные и транзакции, передаваемые между отделения­ми, электронная почта (имелись случаи несанкционированно­го чтения корреспонденции), информация, хранящаяся в ба­зах клиентов, договоров и в базах, используемых программой "1C: Бухгалтерия" (здесь также зарегистрированы случаи не­санкционированного доступа, в том числе и приводившие к нарушению целостности баз). Контроль доступа и обнаруже­ние вторжений в корпоративную сеть извне практически от­сутствуют, при этом персонал, ответственный за информаци­онную безопасность, не обладает достаточной квалификаци­ей, чтобы идентифицировать вторжения. Особо отмечается высокая уязвимость Web-сервера.

Кроме проблем, есть пожелания: обеспечить удаленный за­щищенный доступ к ресурсам сети для мобильного персонала (менеджеров по закупкам и продажам, экспедиторов), а также сохранение единого рабочего окружения и настроек для со­трудников, имеющих по несколько рабочих мест в разных отде­лениях фирмы.

Задачи проекта представляются заказчику следующими:
  1. Проанализировать компьютерную сеть фирмы на предмет уязвимых мест.
  2. Определить политику безопасности фирмы в отношении информационной системы и выработать рекомендации по ад­министративным мерам и другим средствам, не связанным с информационными технологиями.
  3. Обеспечить защиту корпоративной сети от вторжений из­вне.
  4. Обеспечить внутреннее разграничение доступа к конфи­денциальной информации (финансовые данные, базы клиен­тов, договоров) и контроль безопасности наиболее важных уз­лов внутренней сети.
  5. Организовать защиту информации, передаваемой через Интернет в филиалы.
  6. Организовать защиту Интернет-сервера компании, жела­тельно с возможностью отражения DoS-атак, а также вторже­ний с помощью "троянских коней", подбора паролей и др.
  7. Обеспечить сохранение рабочих окружений сотрудников вне зависимости от их физического местонахождения и ис­пользуемого канала связи.
  8. Упростить и частично автоматизировать плановое адми­нистрирование системы защиты информации. Обеспечить цен­трализованное управление устройствами системы безопаснос­ти. Обеспечить конфиденциальность системных паролей при настройке и управлении серверами и сетевыми устройствами.
  9. Обеспечить надежность и отказоустойчивость систем бе­зопасности, а также защиту самих средств защиты.
Построенная система защиты должна удовлетворять требо­ваниям масштабируемости в несколько раз от имеющегося чис­ла рабочих мест, интеграции с существующими программными платформами и минимизации необходимых затрат, особенно связанных с обслуживанием.

Структура распределенной сети торговой фирмы показана на схеме на с. 55; там же перечислено основное оборудование и ПО, установленное в каждом из подразделений. Фирма рабо­тает с учетной системой "1С:Бухгалтерия" 7.5 (версия "кли­ент-сервер") и ведет также базы клиентов и договоров с по­мощью СУБД MS SQL Server 7.0 (клиент - MS Access 97). Опера­ционные системы - Windows NT 4.0, на некоторых рабочих станциях также Windows 95; Netware 3.0 для файл-серверов, Linux для Интернет-сервисов (кроме Web-сервера, который ра­ботает под управлением Windows 98).

Локальная сеть центрального офиса сегментирована с по­мощью коммутатора 3Com SuperStack II Switch 1100, а сегмен­ты подключены к концентраторам 3Com OfficeConnect Ethernet Hubs; кабель - витая пара 5 категории. Сети всех торговых то­чек, сервисного подразделения и склада N1 реализованы на базе простых концентраторов и витой пары 3 категории, склада N2 - на базе тонкого коаксиального кабеля.

Подробности можно узнать на нашем сайте (www.net-workmagazine.ru), но они не очень существенны. Во всех предложенных решениях прослеживается мысль о том, что выбор средств защиты определяется в первую очередь не имеющимся оборудованием или ПО и даже не структурой се­ти, а характером информации, которая в этой сети циркули­рует. При этом, может быть, даже в большей степени, чем объективные параметры информации, важно субъективное отношение к ней владельца: чем выше он ценит хранящиеся и передаваемые данные, тем более серьезную защиту про­сит установить.

С другой стороны, авторы всех решений считают необходи­мым определенный минимальный набор защитных средств. Это антивирусное ПО (в задаче оно не упоминалось - видимо, ан­тивирусная защита в фирме есть, и руководство считает ее до­статочной, - но все же роль антивирусов подчеркивается во всех решениях), межсетевые экраны в местах подключения к Интернету, шифрование данных, передаваемых по открытым каналам, разграничение доступа между пользователями корпо­ративной сети. Общей была также рекомендация по возможно­сти модернизировать локальные сети, заменив концентраторы коммутаторами, и основную операционную систему, поскольку средства защиты в Windows 2000/XP значительно усовершенст­вованы по сравнению с NT.

И последнее, на что хотелось бы обратить внимание, - это в разных формах представленное в решениях соображение о том, что работа над системами безопасности требует большей активности со стороны заказчика, чем обычные проекты. Одни обязательные этапы интегратор при всем желании не смог бы взять на себя, другие клиенты сами обычно не готовы кому бы то ни было передоверить. Сказанное относится и к обслужива­нию средств защиты - ряд операций с ними нельзя поручить никому постороннему. И здесь возникает проблема недоста­точно квалифицированного персонала. Предложения по ее по­воду различаются - кто-то рекомендует отказаться от слишком сложных средств защиты, кому-то представляется более пра­вильным найти или подготовить нужных специалистов. Решить это, конечно, тоже должен сам заказчик.


"АЙТИ": ЗАЩИТА КОМПЛЕКСНАЯ И ИНДИВИДУАЛЬНАЯ

Компания "АйТи" выступает в нашей га­лерее уже второй раз, причем первая задача, в решении которой она участ­вовала (см."Сетевой журнал", № 9/2001), заключалась в построении системы документооборота для торговой фирмы, очень похожей на описанную в ны­нешнем условии. Но если тогда эксперты "АйТи" предложили применить готовое ре­шение (систему "БОСС-Референт"), то сей­час они со всей определенностью заявили: готового решения для данной задачи не су­ществует.

Как же так? Системы защиты - одно из основных направле­ний деятельности "АйТи", она имеет лицензию Гостехкомиссии при Президенте РФ на деятельность в области защиты инфор­мации и лицензию ФАПСИ на распространение и обслуживание сертифицированных ФАПСИ шифровальных средств. Более то­го, среди клиентов компании много государственных организа­ций и у нее есть лицензия ФСБ на работу со сведениями, со­ставляющими государственную тайну. И все же типового реше­ния для средней коммерческой фирмы с распределенной се­тью у "АйТи" нет.

Объясняется это тем, что подход "АйТи" к созданию средств защиты всегда является одновременно комплексным и индиви­дуальным. Требования разных пользователей могут очень сильно отличаться друг от друга, а задача защиты фактически распадается на несколько задач, каждая из которых решается специфическими средствами. Поэтому, с точки зрения "АйТи", необходимо определить требования заказчика и на их основе, руководствуясь принципом разумной достаточности, сформи­ровать индивидуальный комплекс задач, стоящих в данном случае перед системой защиты. Если подход не будет ком­плексным, мы не сможем гарантировать, что защитили все точ­ки, нуждающиеся в защите. Если он не будет при этом индивидуальным, систему обеспечения безопасности просто не удаст­ся построить.


НЕПРЕМЕННОЕ УСЛОВИЕ

Как считают в "АйТи", некорректно задавать вопрос, как по­строить систему защиты, не уяснив прежде четко, что именно нужно защитить и от кого. Конечно, известно, что речь идет о защите информации, хранящейся в электронном виде в ком­пьютерах фирмы, однако не всей, а лишь той, безопасности ко­торой что-то реально угрожает, причем выбор средств защиты определяется степенью угрозы. Следовательно, нужно опреде­лить, какая именно информация представляет ценность, как она циркулирует, насколько ценна и как долго будет оставаться ценной. (Скажем, списки акционеров, если они составляют тайну, должны быть засекречены в течение всего времени их существования, а договоры - обычно лишь на время согласова­ния, пока есть опасность, что конкуренты попытаются перема­нить заказчика к себе.) Второй вопрос - кто заинтересован в похищении или уничтожении корпоративной информации и какими методами способен воспользоваться для этой цели? Обладает ли предполагаемый злоумышленник, например, до­статочной квалификацией для проникновения в сеть фирмы компьютерным путем или скорее прибегнет к "традиционной" краже со взломом? Решится ли он на ограбление? Станет ли тратить деньги на подкуп сотрудников фирмы? А может быть, подобные методы ему абсолютно ни к чему, поскольку "он" -на самом деле любимая супруга генерального директора, на вполне законном основании имеющая доступ к его домашнему компьютеру? (Директор не хочет, чтобы жене стали известны некоторые подробности состояния его дел, но должен иногда работать дома.)

Рассмотрев задачу, эксперты "АйТи" пришли к выводу, что руководство условной торговой фирмы скорее всего само пло­хо представляет себе ответы на названные вопросы. В дейст­вительности это довольно типично, поскольку, чтобы грамотно проанализировать потребности предприятия в защите, нужен профессиональный специалист по безопасности, а они есть лишь в немногих фирмах. С другой стороны, никто, кроме вла­дельца информации, не в состоянии определить, насколько она важна и кто мог бы попытаться ею завладеть. Что же делать?

Во-первых, если фирма реально заинтересована в надеж­ной защите своей информации, "АйТи" настойчиво рекомендо­вала бы ей найти и взять на работу специалиста по безопасно­сти - как для того, чтобы спроектировать систему защиты, так и для того, чтобы затем обеспечить эффективное управление ею. Таких специалистов в России пока мало, поэтому, возможно, проще будет обучить одного или нескольких сотрудников фир­мы на курсах повышения квалификации соответствующего профиля; в Академии "АйТи" курс по защите имеет номер 107. Этот курс рассчитан на 80 часов и, конечно, предполагает оп­ределенные базовые знания. Лучше всего, если обучение будет проходить сотрудник IT-отдела: он работает с информацией, которую, собственно, и нужно защищать, а кроме того, разби­рается в технике.

Во-вторых, "АйТи" готова помочь заказчику в изучении про­блемы защищенности. (Если с представителями компании бу­дет общаться специальный сотрудник, ответственный за ин­формационную безопасность, хотя бы и недостаточно квали­фицированный, это упростит работу для обеих сторон.) Прав­да, здесь потребуется более высокий уровень доверия, чем при обычном предпроектном обследовании, - ведь речь идет об информации, возможно, составляющей коммерческую, служеб­ную или иную тайну, и в некоторых случаях договор должен иметь секретную часть. "АйТи" предоставляет клиентам все требуемые гарантии, а при необходимости организует конфи­денциальные переговоры в помещениях, оборудованных спе­циальной техникой против подслушивания и т. п. В целом от­ношения, возникающие между представителями заказчика и "АйТи" при работе над системами обеспечения безопасности, отличаются от стандартных и скорее напоминают партнерские.

ЭТАПЫ РАБОТЫ НАД ПРОЕКТОМ

Построение системы обеспечения информационной безо­пасности "АйТи" предлагает начать с анализа имеющейся на предприятии автоматизированной системы и технологии обра­ботки информации. В ходе этого анализа эксперты компании совместно с представителями заказчика должны:
  • выявить значимые угрозы для информации, циркулирую­щей в пределах фирмы;
  • оценить вероятность каждого события, представляющего угрозу для безопасности, и ущерб от него;
  • составить неформальную модель нарушителя;
  • определить основные требования к системе защиты;
  • оценить с точки зрения этих требований эффективность применяемых сейчас организационных мер и инженерно-тех­нических средств защиты;
  • разработать предложения и рекомендации по построе­нию (или совершенствованию, но к нашей торговой фирме это вряд ли относится) комплексной системы обеспечения безо­пасности.
Следующим шагом должна стать подготовка распорядитель­ных документов, которые составят основу для проведения за­щитных мероприятий ("Концепция информационной безопас­ности", "План защиты", "Положение о категорировании ресур­сов автоматизированной системы" и некоторые другие). Если бы они существовали, их, вероятно, достаточно было бы отре­дактировать, но в нашей торговой фирме они, по-видимому, отсутствуют. Необходимо также внести пункты, касающиеся за­щиты, в должностные инструкции и положения об отделах и подразделениях. Разработанные документы в зависимости от результатов обследования могут предусматривать решение сле­дующих задач:
  • защита от проникновения в корпоративную сеть и от утеч­ки информации из сети по каналам связи;
  • защита наиболее критичных ресурсов сети от вмешатель­ства в нормальный процесс функционирования;
  • защита важных рабочих мест и ресурсов от несанкциони­рованного доступа;
  • криптографическая защита наиболее важных информаци­онных ресурсов.
Далее определяются уже конкретные защитные мероприя­тия и технические средства защиты - и те и другие в каждом случае, вообще говоря, свои. Когда это сделано, можно перехо­дить к проведению мероприятий, а также установке и настрой­ке технических средств.

Ниже мы - по необходимости очень кратко - скажем о тех­нических средствах защиты, с которыми работает "АйТи", ого­ворившись еще раз, что эксперты компании не смогли бы дать никаких рекомендаций без обследования технологии обработки информации в фирме. Не будем останавливаться на средствах обеспечения физической безопасности, которые имеют лишь косвенное отношение к нашей задаче, - упомя­нем только, что "АйТи" работает с ними и считает необходи­мым рассматривать их в рамках комплексной системы защиты предприятия.

ЗАЩИТА РАБОЧЕГО МЕСТА

Защита входа в систему на рабочих местах традиционно ор­ганизуется с помощью паролей, но этот метод нелишен недо­статков. Чтобы пароль был надежен, он должен быть довольно длинным (не менее шести символов) и сложным (не представ­лять собой существующих слов, содержать как буквы, так и ци­фры и т. д.) и достаточно часто (не реже чем раз в три месяца) меняться. В результате пользователям трудно запоминать свои пароли, они их записывают, теряют эти записки и т. д.

Возможную альтернативу паролям представляют разнооб­разные электронные "пропуска" - смарт-карты, таблетки Touch Memory, ключи e-token. Однако такой "пропуск", как и любой другой предмет, который человек носит при себе, может быть потерян или похищен. От подобного недостатка свободны уст­ройства для биометрической идентификации, опознающие пользователя по отпечаткам пальцев или ладони, узору сетчат­ки глаза, голосу и т. д. Из них сейчас наибольшей популярнос­тью пользуются сканеры отпечатков пальцев, автономные, а также встроенные в мышь и в клавиатуру. "АйТи" предлагает своим клиентам мыши со встроенным сканером BioLink Li-Match Mouse и специализированные серверы аутентификации Autheneon, работающие с отпечатками пальцев.

ЗАЩИТА СЕТЕВЫХ РЕСУРСОВ

Следующим шагом необходимо позаботиться о контроле и разграничении доступа к сетевым ресурсам. Windows NT 4.0, используемая в торговой фирме, имеет средства, позволяющие это сделать, и в любом случае начинать надо с их правильной настройки. Но не все заказчики считают штатные средства ОС достаточными. Определенные основания для сомнений в дан­ном случае имеются: известно, что в защите операционных си­стем Microsoft то и дело обнаруживаются "дыры"; кроме того, ни одна из них не сертифицирована (и не будет, пока Microsoft не предоставит органам, проводящим сертификацию, исходные тексты программ - без них нельзя удостовериться в отсутствии незаявленных функций). В конечном итоге все зависит от субъективного мнения заказчика - кому принадлежит инфор­мация, тот и определяет ее ценность, а эксперты "АйТи" могут лишь сообщить ему данные о надежности тех или иных средств защиты.

Если заказчику нужно усилить стандартные средства раз­граничения доступа, можно надстроить над ОС специализиро­ванную систему защиты от несанкционированного доступа. "АйТи" предлагает заказчикам сертифицированные отечест­венные системы, выпускаемые фирмами ОКБ САПР, "Инфо-Крипт", "Анкад", НИИ "Центропрограммсистем", НИП "Информ-защита", НИИ УЙМ АВН, "Конфидент" и НТЦ "Безопасность ин­формационных технологий и систем".

Впрочем, вряд ли имеет смысл надстраивать что-либо над NT 4.0: эта система стремительно устаревает и ПО для нее пе­рестает поддерживаться - новые версии выпускаются уже только для Windows 2000/XP. Поэтому "АйТи" почти наверняка порекомендовала бы торговой фирме в первую очередь заме­нить ОС на более современную. В действительности это отно­сится не только к ОС: активное сетевое оборудование, напри­мер, тоже безнадежно устарело, так что сеть вот-вот переста­нет справляться с нагрузкой, а сама по себе установка комму­таторов вместо концентраторов уже улучшит положение с раз­граничением доступа.

Общий принцип здесь состоит в том, что комплексная систе­ма защиты информации должна быть интегрирована с аппарат­но-программной информационной платформой сети, причем наиболее эффективные системы интегрируются с современны­ми платформами. Так что если заказчик заинтересован в на­дежной защите и работает, как и наша торговая фирма, на ус­таревшем оборудовании и ПО, ему, как считают в "АйТи", сле­дует увязать планы построения защиты с планами развития своей информационной системы в целом.

ЗАЩИТА ОТ ВНЕШНИХ АТАК

Торговой фирме могут угрожать в общем случае три вида внешних атак из каналов общего доступа, и в первую очередь из Интернета: вредоносные программы (вирусы, "черви", "тро­янские кони" и т. п.), OoS-атаки и проникновение в сеть фир­мы для съема конфиденциальной информации. Для предотвра­щения такого рода атак повсеместно используются межсетевые экраны.

Этот класс продуктов представлен на рынке очень широко, причем здесь есть как зарубежные, так и отечественные серти­фицированные разработки. "АйТи" работает с компаниями Check Point Software Technologies, Cisco, "Фактор-ТС", ЭЛВИС+ и Jet Infosystems.

Программно-аппаратные решения в 3-4раза дороже чисто программных, но такое соотношение получается без учета сто­имости компьютера, на котором устанавливается программа.

Между тем специалисты "АйТи" настоятельно советуют уста­навливать экран именно на выделенную машину - во избежа­ние конфликтов с другим ПО, способных помешать его нор­мальной работе. В своих проектах "АйТи" иногда поставляла заказчикам компьютеры, корпус которых был запаян или запи­рался на ключ, с заранее установленными и настроенными межсетевыми экранами. Фактически это ничем не отличается от программно-аппаратного комплекса.

Межсетевые экраны должны быть установлены во всех точ­ках стыка с Интернетом. На складах, где используется доступ по коммутируемой линии и ОС Windows 95, это, вероятно, могут быть "персональные брандмауэры" (personal firewalls), но, как уже говорилось, если информационная система нуждается в модернизации, лучше провести эту модернизацию и опреде­лять технические средства защиты уже для нового оборудова­ния и ПО. Возможно, брандмауэры в таких количествах и не потребуются, поскольку будет перестроена структура распре­деленной сети.

Многие межсетевые экраны имеют встроенную проверку на вирусы, однако они контролируют только каналы Интернета, а это далеко не единственный путь распространения вредонос­ных программ. Общеизвестно, что они часто приходят в почто­вых вложениях, а кроме того, отлично передаются через смен­ные носители, прежде всего дискеты (вспомним, что десять лет назад в России мало кто пользовался даже электронной поч­той, не говоря уже об Интернете, а эпидемии вирусов тем не менее бушевали). Поэтому эксперты "АйТи" считают обяза­тельным элементом системы обеспечения безопасности ком­плексную антивирусную защиту.

"АйТи" предлагает клиентам антивирусные пакеты фирм "Лаборатория Касперского", "ДиалогНаука", Trend Micro и "Аладдин". По наблюдениям сотрудников "АйТи", продукты Trend Micro идеально работают в больших сетях и почти никог­да не конфликтуют с другим ПО, установленным на компьюте­рах, чего, увы, нельзя сказать об остальных программах. Одна­ко любая из них вполне может оказаться самой подходящей для сети конкретного заказчика, поэтому "АйТи" дает клиен­там возможность проверить у себя несколько разных антиви­русов и в конце концов приобрести тот, который понравится больше всех.

Для борьбы с атаками, которые по тем или иным причинам не были отражены межсетевым экраном, служат системы ана­лиза защищенности, способные обнаруживать вторжения в сеть и определять ее уязвимые места. Это совсем новое, бурно развивающееся сейчас направление, и на российском рынке выбор пока невелик: из продуктов данного класса на настоя­щий момент сертифицировано ГТК только семейство SAFEsuite корпорации Internet Security Systems. В него входят системы Internet Scanner (анализ защищенности сетевых сервисов и протоколов на базе TCP/IP), System Scanner (анализ защищен­ности операционных систем) и RealSecure (обнаружение атак) и др.

КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА

Информацию, представляющую особую ценность, можно до­полнительно защитить шифрованием. Тогда, если злоумышлен­ник все-таки сумеет завладеть ею, обойдя все "оборонительные сооружения", его будет ждать разочарование - он все рав­но не сможет ничего прочесть. Шифрование применяется так­же в тех случаях, когда данные приходится передавать по не­достаточно защищенному каналу - например, через Интернет или городскую телефонную сеть (как между АХО и централь­ным офисом нашей торговой фирмы). Представленные в на­стоящее время на рынке средства криптографической защиты информации можно классифицировать по следующим направ­лениям: предварительное абонентское шифрование и верифи­кация посредством электронной цифровой подписи отдельных файлов-документов, автоматическое шифрование информации при обмене по каналам передачи данных (на этом принципе строятся VPN) и шифрование данных при хранении на магнит­ных носителях серверов и ПЭВМ.

Шифрование при хранении очень полезно, если есть опас­ность, что злоумышленник получит физический доступ к носи­телю информации (например, украв портативный компьютер, -такие случаи очень часты). Из систем этого класса "АйТи" ра­ботает с пакетами, выпускаемыми "Аладдином", "Анкадом" и "ТехИнформКонсалтингом".

Выбор между средствами предварительного абонентского шифрования и средствами шифрования при обмене по кана­лам связи зависит оттого, сколько сотрудников передают кон­фиденциальную информацию по открытому каналу. Если это один-два человека, рационально установить программу шиф­рования у них на рабочих местах, если больше, обычно пред­почтительнее автоматически шифровать весь исходящий тра­фик. "АйТи" работает примерно с десятком продуктов каждого из двух классов, и мы не будем перечислять здесь их все. На­зовем только разработку самой "АйТи" - систему документо­оборота "БОСС-Референт" со встроенной сертифицированной ФАПСИ криптозащитой (предварительное абонентское шиф­рование).

И конечно, необходимо позаботиться о защите криптогра­фических ключей - иначе шифрование теряет смысл.

КОГДА ЗАЩИТА ПОСТРОЕНА

После того как система безопасности установлена и нала­жена, возникает резонный вопрос: как удостовериться, что ин­формация действительно надежно защищена? Для этого пред­назначены аттестационные испытания, в ходе которых экспер­ты моделируют различного рода угрозы и смотрят, как на них реагируют средства защиты. "АйТи" - одна из организаций, ак­кредитованных ГТК на право проведения таких испытаний.

Средства защиты нуждаются в постоянном наблюдении и поддержке, а также обновлении, поскольку в области инфор­мационной безопасности все время происходят изменения: обнаруживаются новые уязвимости, появляются новые виды атак, выходят версии средств защиты, позволяющие с ними бо­роться, и т. д. Кроме того, технология обработки информации в фирме со временем наверняка будет меняться и в связи с этим может потребоваться обновление всего комплекса защитных мероприятий и средств. Поэтому в фирме целесообразно иметь специального сотрудника, ведающего вопросами безо­пасности. Если в ее штате нет специалиста нужной квалифика­ции, его, как уже говорилось в начале, желательно нанять или подготовить.

Таким образом, путь построения и развития действительно эффективной корпоративной системы безопасности все же лучше проходить вместе - системному интегратору и специа­листу заказчика, который знает и понимает сегодняшние и бу­дущие задачи защиты своего предприятия.

Центральный федеральный округ