В современном мире слово «информация» приобрело четкую связь с понятиями «прибыль», которую можно получить, располагая ею, и «ущерб», который может быть нанесен вследствие ее утечки. Одна из главных причин потери информации — несанкционированный доступ к данным и приложениям, получаемый абонентами, которые не прошли регистрацию и не имеют права на использование соответствующих информационных ресурсов.
К понятию несанкционированного доступа (НСД) относят атаки на корпоративную сеть извне (например, через электронную почту и интернет), доступ сотрудников к конфиденциальной информации, вероятность чтения или копирования посторонними данных, принадлежащих компании. НСД может выражаться в копировании, искажении и уничтожении данных, перехвате и блокирование информации, подмены процессов обработки данных и т. д.
Основными требованиями, предъявляемыми к безопасности информации в любой системе, являются:
1) доступность – возможность работы пользователя с устройством и предотвращение DoS-атак, т. е. необходимо предусмотреть защиту от возможностей организации несанкционированных воздействий на устройство, приводящих к его отказу в обслуживании легальных пользователей сети;
2) конфиденциальность – защита передаваемой информации от ее несанкционированного прочтения;
3) аутентичность – возможность для устройств сети определить источник принимаемой информации;
4) целостность – защита передаваемой информации от несанкционированного изменения;
5) неотрицаемость – необходимость исключить возможность отказа от переданной информации.
Предотвращение утечки информации, несанкционированного доступа является одной из важнейших задач отделов информационной безопасности любой организации.
Виды угроз
Существуют внешние и внутренние угрозы безопасности информационным системам. Под внешними угрозами безопасности понимаются угрозы со стороны внешней среды, такие как:
— атаки из сети Интернет, направленные на искажение, уничтожение, кражу информации или приводящие к отказу в обслуживании информационных систем;
— распространение вредоносного кода — вирусов, троянского программного обеспечения, шпионских программ, интернет-червей;
— нежелательные рассылки (спам). Защита от внешних угроз информационной безопасности
Многоуровневая защита от вредоносного кода и спама — комплекс мер, включающий
— внедрение следующих корпоративных систем:
— антивирусной защиты рабочих станций и серверов;
— контентной фильтрации трафика на наличие вредоносного программного обеспечения;
— защиты от спама.
Под внутренними угрозами информационной безопасности понимаются угрозы со стороны сотрудников компании как умышленные (мошенничество, кража, искажение или уничтожение конфиденциальной информации, промышленный шпионаж и т.п.), так и неумышленные (изменение или уничтожение информации из-за низкой квалификации сотрудников или невнимательности), а также сбои программных или аппаратных средств обработки и хранения информации.
Методы
Если в 70-х годах прошлого столетия для сохранения неприкосновенности данных применялись организационные меры, и это было эффективно, то на сегодняшний день существует целый комплекс разносторонних решений для средств защиты информации (СЗИ).
Во-первых, это комплекс инженерных средств, затрудняющих или исключающих физический доступ к объектам. Во-вторых, — механические, электрические, электронные и другие устройства, защищающие информацию. И наконец, это специальные программы, охраняющие информацию от НСД. Естественно, объект будет надежно защищен только при реализации системного подхода, то есть комплексного применения всех перечисленных средств наряду с организационными методами защиты информации.
Программные средства защиты применяются в центральных процессорах, устройствах группового управления вводом-выводом данных, а также в аппаратуре связи в тех случаях, когда в их составе есть процессоры. На сегодняшний день программы защиты от НСД можно разделить на несколько основных групп. Каждая из них блокирует определенные виды угроз, и в совокупности они позволяют добиться высокого уровня защиты информации от несанкционированного использования.
В число программных средств, обеспечивающих разграничение доступа к данным и управление им, входят аутентификация и авторизация доступа. К ним же относятся специальные программные продукты, позволяющие управлять учетными записями пользователей информационной системы.
Самые распространенные методы защиты информационных систем — парольный доступ (в том числе многоуровневый), использование электронных замков, ключей, перемычек и т. д. Как правило, данные средства защиты не представляют серьезного препятствия для злоумышленников, так как пароли и ключи можно легко узнать или подобрать. К более сложным и надежным средствам относятся проксимити-карты, доступ на основе сопоставления биометрических данных (отпечатка пальца, сетчатки глаза), а также программы повышения достоверности идентификации (аутентификации).
Для ограничения угрозы со стороны инсайдеров используются продукты класса Identity Lifecycle Management (управление жизненным циклом учетных записей). Благодаря им новому сотруднику, принимаемому на работу, предоставляется доступ лишь к необходимым информационным ресурсам. При увольнении сотрудника доступ к данным своевременно блокируется: все его учетные записи в информационных системах компании отключаются или удаляются. В целях защиты информационной системы от НСД администратор компании должен знать, какие шаги предпринимают пользователи в рамках работы в ИС предприятия: какие приложения запускают, какие файлы открывают (или пытаются открыть), получают и отправляют. Программы мониторинга событий безопасности регистрируют в специальных электронных журналах время входа в систему и выхода каждого пользователя, а также его действия, потенциально опасные для работы системы. В случае инцидента эти данные позволяют достаточно быстро определить его причину и правильно квалифицировать действия пользователей. Программы мониторинга полезны и для обнаружения вторжений извне, анализа уязвимых мест в системе защиты информационных систем. Возможность искажения или уничтожения информации — еще одна угроза при работе с данными. Если злоумышленнику удалось взломать защиту и удалить или модифицировать информацию, на помощь приходят программы автоматического резервирования и восстановления данных. Уровень надежности системы зависит от того, насколько критична потерянная информация. В зависимости от степени важности время между произошедшим сбоем и последним копированием данных может варьироваться от суток до 1 секунды. Шифрование данных используется в случаях, когда необходимо обеспечить конфиденциальность информации в процессе хранения, либо когда ее нужно передать по незащищенному каналу. Как правило, для кодирования применяются уникальные алгоритмы, по принципу «черного ящика», когда неизвестно, по какому алгоритму записывается информация в систему хранения и как она декодируется в случае обращения к ней. Типичный пример ситуации, требующей шифрования данных — это удаленная работа пользователей с информационной системой. Чтобы сотрудник в любой точке сети мог безопасно получать информацию, необходимую для работы, необходимо предавать ее исключительно по защищенным каналам. Таким образом, даже если хакеру удастся перехватить данные, он не сможет их прочитать. Криптографические алгоритмы бывают двух видов: симметричные (для шифрования и дешифрования используется один и тот же ключ) и несимметричные (для шифрования используется закрытый ключ, а для расшифровывания — открытый, специальным образом полученный из закрытого ключа). Принцип несимметричных алгоритмов шифрования применяется для создания электронно-цифровой подписи, которая позволяет идентифицировать человека, подписавшего электронный документ, и подтвердить содержание подписываемого документа и времени его подписания. Разумеется, подлинность электронно-цифровой подписи можно проверить с помощью специальных программ.
SIEM-системы (Система Сбора и Корреляции Событий) отслеживают подозрительные активности как внутри контура, так и извне.
Изначально такие системы были не способны что-либо предотвращать или защищать. SIEM-системы второго поколения позволяют выявить подозрительные активности и отреагировать на них, например, заблокировать учетную запись при попытке подбора паролей. Задача состоит в анализе информации, поступающей от различных систем, таких как антивирусы, DLP-системы, IDS-системы, маршрутизаторы, межсетевые экраны, операционные системы серверов и пользовательских ПК, и при этом детектировать отклонение от норм по каким-либо критериям. Если такое отклонение выявлено — система генерирует инцидент. Стоит отметить, что в основе работы SIEM лежат, в основном, статистические и математические технологии. Таким образом, они регистрируют попытки сканирования портов, подбора паролей и прочее, и предоставляют информацию в виде отчета.
Для выполнения своей задачи современные SIEM-системы используют следующие источники информации:
– Access Control, Authentication. Применяются для мониторинга контроля доступа к информационным системам и использования привилегий;
– DLP-системы. Сведения о попытках инсайдерских утечек, нарушении прав доступа;
– IDS/IPS-системы. Несут данные о сетевых атаках, изменениях конфигурации и доступа к устройствам;
– антивирусные приложения.
Также рассмотрим технологию Системы Обнаружения Несанкционированных Подключений (СОНП), которая основывается на анализе SNMP сообщений об изменении статуса порта, получаемых от сетевых коммутаторов, и определение неавторизованных подключений на основе отсутствия MAC адреса устройства в базе данных авторизованных хостов сети.
SNMP сообщение, содержащее IP адрес коммутатора и номер вновь включившегося порта, посылается сетевым коммутатором на центральный сервер мониторинга при изменении статуса любого порта с «Выключен» на «Включен». Отправку таких сообщений поддерживают даже самые простые модели сетевых коммутаторов, поэтому реализовать инфраструктуру мониторинга всех портов локальной сети достаточно просто.
В качестве серверной части, обеспечивающей сбор SNMP сообщений, может выступать существующий в компании сервер сетевого мониторинга (HP OpenView, IBM Tivoli, Microsoft MOM, и т.п.).
Далее сообщение поступает на обработку, где производится определение (discovery) основных идентификационных параметров подключения.
Первым делом необходимо определить всю возможную информацию о новом соединении. В качестве источников информации о соединении могут быть сами сетевые коммутаторы, база данных СКС компании, а также база данных разрешенных соединений, в которой сохраняются все когда-либо обнаруженные подключения.
Анализ соединения позволяет определить важную информацию о сетевых свойствах (MAC адрес, IP адрес, VLAN, номер порта сетевого коммутатора, сетевое имя), и месторасположение подключенного компьютера.
После этого, с помощью базы данных соединений, хранящей информацию о соединениях и их статусе «Разрешено/Запрещено», производится проверка соединения на легитимность. Если обрабатываемое соединение зарегистрировано в базе, как разрешенное, то на этом его обработка завершается. Т.е. система просто игнорирует произошедшее события, расценивая его, как нормальную активность.
Если же соединение опознано как Запрещенное или неопознанное (новое) на консоль Администратора безопасности высылается Тревожное сообщение, а в БД Соединений заносится информация о факте нового или запрещенного соединения.
Заключение
Информационная безопасность – одна из перспективных и быстроразвивающихся сфер IT. Ситуация в IT-отрасли как никогда интересует мировое сообщество, многочисленные взломы и киберудары по крупным структурам вызывают тревогу. Обостренный интерес к данной области подтверждают регулярно проводимые международные и внутригосударственные конференции и съезды по теме защиты информации.
Циклическим кодам и кодам Рида-Соломона могут иметь самостоятельное практическое применение в плане разработанных схем и алгоритмов; с другой стороны — предложенная модель каскадной кодирующей системы дает возможность значительно снизить сложность кодирования-декодирования, а, следовательно, и стоимость реализации системы обработки информации. Многие теоретические формулировки и выкладки обоснованы и подтверждены многочисленными примерами и моделированием, позволяющими также судить об их практической ценности.