Сетевой журнал: галерея ИТ-проектов

  ПРОЕКТ

Комплексное обеспечение информационной безопасности торговой фирмы с распределенной структурой


"АйТи": Защита комплексная и индивидуальная
Компания "АйТи" выступает в нашей галерее уже второй раз, причем первая задача, в решении которой она участвовала (см. "Сетевой журнал", № 9/2001), заключалась в построении системы документооборота для торговой фирмы, очень похожей на описанную в нынешнем условии. Но если тогда эксперты "АйТи" предложили применить готовое решение (систему "БОСС-Референт"), то сейчас они со всей определенностью заявили: готового решения для данной задачи не существует.

Как же так? Системы защиты - одно из основных направлений деятельности "АйТи", она имеет лицензию Гостехкомиссии при Президенте РФ на деятельность в области защиты информации и лицензию ФАПСИ на распространение и обслуживание сертифицированных ФАПСИ шифровальных средств. Более того, среди клиентов компании много государственных организаций и у нее есть лицензия ФСБ на работу со сведениями, составляющими государственную тайну. И все же типового решения для средней коммерческой фирмы с распределенной сетью у "АйТи" нет.Объясняется это тем, что подход "АйТи" к созданию средств защиты всегда является одновременно комплексным и индивидуальным. Требования разных пользователей могут очень сильно отличаться друг от друга, а задача защиты фактически распадается на несколько задач, каждая из которых решается специфическими средствами. Поэтому, с точки зрения "АйТи", необходимо определить требования заказчика и на их основе, руководствуясь принципом разумной достаточности, сформировать индивидуальный комплекс задач, стоящих в данном случае перед системой защиты. Если подход не будет комплексным, мы не сможем гарантировать, что защитили все точки, нуждающиеся в защите. Если он не будет при этом индивидуальным, систему обеспечения безопасности просто не удастся построить.

Непременное условие

Как считают в "АйТи", некорректно задавать вопрос, как построить систему защиты, не уяснив прежде четко, что именно нужно защитить и от кого. Конечно, известно, что речь идет о защите информации, хранящейся в электронном виде в компьютерах фирмы, однако не всей, а лишь той, безопасности которой что-то реально угрожает, причем выбор средств защиты определяется степенью угрозы. Следовательно, нужно определить, какая именно информация представляет ценность, как она циркулирует, насколько ценна и как долго будет оставаться ценной. (Скажем, списки акционеров, если они составляют тайну, должны быть засекречены в течение всего времени их существования, а договоры - обычно лишь на время согласования, пока есть опасность, что конкуренты попытаются переманить заказчика к себе.) Второй вопрос - кто заинтересован в похищении или уничтожении корпоративной информации и какими методами способен воспользоваться для этой цели? Обладает ли предполагаемый злоумышленник, например, достаточной квалификацией для проникновения в сеть фирмы компьютерным путем или скорее прибегнет к "традиционной" краже со взломом? Решится ли он на ограбление? Станет ли тратить деньги на подкуп сотрудников фирмы? А может быть, подобные методы ему абсолютно ни к чему, поскольку "он" - на самом деле любимая супруга генерального директора, на вполне законном основании имеющая доступ к его домашнему компьютеру? (Директор не хочет, чтобы жене стали известны некоторые подробности состояния его дел, но должен иногда работать дома.)

Рассмотрев задачу, эксперты "АйТи" пришли к выводу, что руководство условной торговой фирмы скорее всего само плохо представляет себе ответы на названные вопросы. В действительности это довольно типично, поскольку, чтобы грамотно проанализировать потребности предприятия в защите, нужен профессиональный специалист по безопасности, а они есть лишь в немногих фирмах. С другой стороны, никто, кроме владельца информации, не в состоянии определить, насколько она важна и кто мог бы попытаться ею завладеть. Что же делать?

Во-первых, если фирма реально заинтересована в надежной защите своей информации, "АйТи" настойчиво рекомендовала бы ей найти и взять на работу специалиста по безопасности - как для того, чтобы спроектировать систему защиты, так и для того, чтобы затем обеспечить эффективное управление ею. Таких специалистов в России пока мало, поэтому, возможно, проще будет обучить одного или нескольких сотрудников фирмы на курсах повышения квалификации соответствующего профиля; в Академии "АйТи" курс по защите имеет номер 107. Этот курс рассчитан на 80 часов и, конечно, предполагает определенные базовые знания. Лучше всего, если обучение будет проходить сотрудник IT-отдела: он работает с информацией, которую, собственно, и нужно защищать, а кроме того, разбирается в технике.

Во-вторых, "АйТи" готова помочь заказчику в изучении проблемы защищенности. (Если с представителями компании будет общаться специальный сотрудник, ответственный за информационную безопасность, хотя бы и недостаточно квалифицированный, это упростит работу для обеих сторон.) Правда, здесь потребуется более высокий уровень доверия, чем при обычном предпроектном обследовании, - ведь речь идет об информации, возможно, составляющей коммерческую, служебную или иную тайну, и в некоторых случаях договор должен иметь секретную часть. "АйТи" предоставляет клиентам все требуемые гарантии, а при необходимости организует конфиденциальные переговоры в помещениях, оборудованных специальной техникой против подслушивания и т. п. В целом отношения, возникающие между представителями заказчика и "АйТи" при работе над системами обеспечения безопасности, отличаются от стандартных и скорее напоминают партнерские.

Этапы работы над проектом

Построение системы обеспечения информационной безопасности "АйТи" предлагает начать с анализа имеющейся на предприятии автоматизированной системы и технологии обработки информации. В ходе этого анализа эксперты компании совместно с представителями заказчика должны:
  • выявить значимые угрозы для информации, циркулирующей в пределах фирмы;
  • оценить вероятность каждого события, представляющего угрозу для безопасности, и ущерб от него;
  • составить неформальную модель нарушителя;
  • определить основные требования к системе защиты;
  • оценить с точки зрения этих требований эффективность применяемых сейчас организационных мер и инженерно-технических средств защиты;
  • разработать предложения и рекомендации по построению (или совершенствованию, но к нашей торговой фирме это вряд ли относится) комплексной системы обеспечения безопасности.

    Следующим шагом должна стать подготовка распорядительных документов, которые составят основу для проведения защитных мероприятий ("Концепция информационной безопасности", "План защиты", "Положение о категорировании ресурсов автоматизированной системы" и некоторые другие). Если бы они существовали, их, вероятно, достаточно было бы отредактировать, но в нашей торговой фирме они, по-видимому, отсутствуют. Необходимо также внести пункты, касающиеся защиты, в должностные инструкции и положения об отделах и подразделениях. Разработанные документы в зависимости от результатов обследования могут предусматривать решение следующих задач:
  • защита от проникновения в корпоративную сеть и от утечки информации из сети по каналам связи;
  • защита наиболее критичных ресурсов сети от вмешательства в нормальный процесс функционирования;
  • защита важных рабочих мест и ресурсов от несанкционированного доступа;
  • криптографическая защита наиболее важных информационных ресурсов.

    Далее определяются уже конкретные защитные мероприятия и технические средства защиты - и те и другие в каждом случае, вообще говоря, свои. Когда это сделано, можно переходить к проведению мероприятий, а также установке и настройке технических средств.

    Ниже мы - по необходимости очень кратко - скажем о технических средствах защиты, с которыми работает "АйТи", оговорившись еще раз, что эксперты компании не смогли бы дать никаких рекомендаций без обследования технологии обработки информации в фирме. Не будем останавливаться на средствах обеспечения физической безопасности, которые имеют лишь косвенное отношение к нашей задаче, - упомянем только, что "АйТи" работает с ними и считает необходимым рассматривать их в рамках комплексной системы защиты предприятия.

    Защита рабочего места

    Защита входа в систему на рабочих местах традиционно организуется с помощью паролей, но этот метод не лишен недостатков. Чтобы пароль был надежен, он должен быть довольно длинным (не менее шести символов) и сложным (не представлять собой существующих слов, содержать как буквы, так и цифры и т. д.) и достаточно часто (не реже чем раз в три месяца) меняться. В результате пользователям трудно запоминать свои пароли, они их записывают, теряют эти записки и т. д.

    Возможную альтернативу паролям представляют разнообразные электронные "пропуска" - смарт-карты, таблетки Touch Memory, ключи e-token. Однако такой "пропуск", как и любой другой предмет, который человек носит при себе, может быть потерян или похищен. От подобного недостатка свободны устройства для биометрической идентификации, опознающие пользователя по отпечаткам пальцев или ладони, узору сетчатки глаза, голосу и т. д. Из них сейчас наибольшей популярностью пользуются сканеры отпечатков пальцев, автономные, а также встроенные в мышь и в клавиатуру. "АйТи" предлагает своим клиентам мыши со встроенным сканером BioLink U-Match Mouse и специализированные серверы аутентификации Autheneon, работающие с отпечатками пальцев.

    Защита сетевых ресурсов

    Следующим шагом необходимо позаботиться о контроле и разграничении доступа к сетевым ресурсам. Windows NT 4.0, используемая в торговой фирме, имеет средства, позволяющие это сделать, и в любом случае начинать надо с их правильной настройки. Но не все заказчики считают штатные средства ОС достаточными. Определенные основания для сомнений в данном случае имеются: известно, что в защите операционных систем Microsoft то и дело обнаруживаются "дыры"; кроме того, ни одна из них не сертифицирована (и не будет, пока Microsoft не предоставит органам, проводящим сертификацию, исходные тексты программ - без них нельзя удостовериться в отсутствии незаявленных функций). В конечном итоге все зависит от субъективного мнения заказчика - кому принадлежит информация, тот и определяет ее ценность, а эксперты "АйТи" могут лишь сообщить ему данные о надежности тех или иных средств защиты.

    Если заказчику нужно усилить стандартные средства разграничения доступа, можно надстроить над ОС специализированную систему защиты от несанкционированного доступа. "АйТи" предлагает заказчикам сертифицированные отечественные системы, выпускаемые фирмами ОКБ САПР, "ИнфоКрипт", "Анкад", НИИ "Центропрограммсистем", НИП "Информзащита", НИИ УИМ АВН, "Конфидент" и НТЦ "Безопасность информационных технологий и систем".

    Впрочем, вряд ли имеет смысл надстраивать что-либо над NT 4.0: эта система стремительно устаревает и ПО для нее перестает поддерживаться - новые версии выпускаются уже только для Windows 2000/XP. Поэтому "АйТи" почти наверняка порекомендовала бы торговой фирме в первую очередь заменить ОС на более современную. В действительности это относится не только к ОС: активное сетевое оборудование, например, тоже безнадежно устарело, так что сеть вот-вот перестанет справляться с нагрузкой, а сама по себе установка коммутаторов вместо концентраторов уже улучшит положение с разграничением доступа.

    Общий принцип здесь состоит в том, что комплексная система защиты информации должна быть интегрирована с аппаратно-программной информационной платформой сети, причем наиболее эффективные системы интегрируются с современными платформами. Так что если заказчик заинтересован в надежной защите и работает, как и наша торговая фирма, на устаревшем оборудовании и ПО, ему, как считают в "АйТи", следует увязать планы построения защиты с планами развития своей информационной системы в целом.

    Защита от внешних атак

    Торговой фирме могут угрожать в общем случае три вида внешних атак из каналов общего доступа, и в первую очередь из интернета: вредоносные программы (вирусы, "черви", "троянские кони" и т. п.), DoS-атаки и проникновение в сеть фирмы для съема конфиденциальной информации. Для предотвращения такого рода атак повсеместно используются межсетевые экраны.

    Этот класс продуктов представлен на рынке очень широко, причем здесь есть как зарубежные, так и отечественные сертифицированные разработки. "АйТи" работает с компаниями Check Point Software Technologies, Cisco, "Фактор-ТС", Элвис+ и Jet Infosystems.

    Программно-аппаратные решения в 3-4раза дороже чисто программных, но такое соотношение получается без учета стоимости компьютера, на котором устанавливается программа. Между тем специалисты "АйТи" настоятельно советуют устанавливать экран именно на выделенную машину - во избежание конфликтов с другим ПО, способных помешать его нормальной работе. В своих проектах "АйТи" иногда поставляла заказчикам компьютеры, корпус которых был запаян или запирался на ключ, с заранее установленными и настроенными межсетевыми экранами. Фактически это ничем не отличается от программно-аппаратного комплекса.

    Межсетевые экраны должны быть установлены во всех точках стыка с интернетом. На складах, где используется доступ по коммутируемой линии и ОС Windows 95, это, вероятно, могут быть "персональные брандмауэры" (personal firewalls), но, как уже говорилось, если информационная система нуждается в модернизации, лучше провести эту модернизацию и определять технические средства защиты уже для нового оборудования и ПО. Возможно, брандмауэры в таких количествах и не потребуются, поскольку будет перестроена структура распределенной сети.

    Многие межсетевые экраны имеют встроенную проверку на вирусы, однако они контролируют только каналы интернета, а это далеко не единственный путь распространения вредоносных программ. Общеизвестно, что они часто приходят в почтовых вложениях, а кроме того, отлично передаются через сменные носители, прежде всего дискеты (вспомним, что десять лет назад в России мало кто пользовался даже электронной почтой, не говоря уже об интернете, а эпидемии вирусов тем не менее бушевали). Поэтому эксперты "АйТи" считают обязательным элементом системы обеспечения безопасности комплексную антивирусную защиту.

    "АйТи" предлагает клиентам антивирусные пакеты фирм "Лаборатория Касперского", "ДиалогНаука", Trend Micro и "Аладдин". По наблюдениям сотрудников "АйТи", продукты Trend Micro идеально работают в больших сетях и почти никогда не конфликтуют с другим ПО, установленным на компьютерах, чего, увы, нельзя сказать об остальных программах. Однако любая из них вполне может оказаться самой подходящей для сети конкретного заказчика, поэтому "АйТи" дает клиентам возможность проверить у себя несколько разных антивирусов и в конце концов приобрести тот, который понравится больше всех.

    Для борьбы с атаками, которые по тем или иным причинам не были отражены межсетевым экраном, служат системы анализа защищенности, способные обнаруживать вторжения в сеть и определять ее уязвимые места. Это совсем новое, бурно развивающееся сейчас направление, и на российском рынке выбор пока невелик: из продуктов данного класса на настоящий момент сертифицировано ГТК только семейство SAFEsuite корпорации Internet Security Systems. В него входят системы Internet Scanner (анализ защищенности сетевых сервисов и протоколов на базе TCP/IP), System Scanner (анализ защищенности операционных систем) и RealSecure (обнаружение атак) и др.

    Криптографическая защита

    Информацию, представляющую особую ценность, можно дополнительно защитить шифрованием. Тогда, если злоумышленник все-таки сумеет завладеть ею, обойдя все "оборонительные сооружения", его будет ждать разочарование - он все равно не сможет ничего прочесть. Шифрование применяется также в тех случаях, когда данные приходится передавать по недостаточно защищенному каналу - например, через интернет или городскую телефонную сеть (как между АХО и центральным офисом нашей торговой фирмы). Представленные в настоящее время на рынке средства криптографической защиты информации можно классифицировать по следующим направлениям: предварительное абонентское шифрование и верификация посредством электронной цифровой подписи отдельных файлов-документов, автоматическое шифрование информации при обмене по каналам передачи данных (на этом принципе строятся VPN) и шифрование данных при хранении на магнитных носителях серверов и ПЭВМ.

    Шифрование при хранении очень полезно, если есть опасность, что злоумышленник получит физический доступ к носителю информации (например, украв портативный компьютер, - такие случаи очень часты). Из систем этого класса "АйТи" работает с пакетами, выпускаемыми "Аладдином", "Анкадом" и "ТехИнформКонсалтингом".

    Выбор между средствами предварительного абонентского шифрования и средствами шифрования при обмене по каналам связи зависит от того, сколько сотрудников передают конфиденциальную информацию по открытому каналу. Если это один-два человека, рационально установить программу шифрования у них на рабочих местах, если больше, обычно предпочтительнее автоматически шифровать весь исходящий трафик. "АйТи" работает примерно с десятком продуктов каждого из двух классов, и мы не будем перечислять здесь их все. Назовем только разработку самой "АйТи" - систему документооборота "БОСС-Референт" со встроенной сертифицированной ФАПСИ криптозащитой (предварительное абонентское шифрование).

    И конечно, необходимо позаботиться о защите криптографических ключей - иначе шифрование теряет смысл.

    Когда защита построена

    После того как система безопасности установлена и налажена, возникает резонный вопрос: как удостовериться, что информация действительно надежно защищена? Для этого предназначены аттестационные испытания, в ходе которых эксперты моделируют различного рода угрозы и смотрят, как на них реагируют средства защиты. "АйТи" - одна из организаций, аккредитованных ГТК на право проведения таких испытаний.

    Средства защиты нуждаются в постоянном наблюдении и поддержке, а также обновлении, поскольку в области информационной безопасности все время происходят изменения: обнаруживаются новые уязвимости, появляются новые виды атак, выходят версии средств защиты, позволяющие с ними бороться, и т. д. Кроме того, технология обработки информации в фирме со временем наверняка будет меняться и в связи с этим может потребоваться обновление всего комплекса защитных мероприятий и средств. Поэтому в фирме целесообразно иметь специального сотрудника, ведающего вопросами безопасности. Если в ее штате нет специалиста нужной квалификации, его, как уже говорилось в начале, желательно нанять или подготовить.

    Таким образом, путь построения и развития действительно эффективной корпоративной системы безопасности все же лучше проходить вместе - системному интегратору и специалисту заказчика, который знает и понимает сегодняшние и будущие задачи защиты своего предприятия.

    сетевой форум
    поиск
    подписка на журнал
    о сетевом


    Rambler's Top100