ПАК ViPNet Coordinator HW1000/2000, правила эксплуатации и обработки информации

Воронежский институт МВД России Кафедра информационной безопасности УТВЕРЖДАЮ Заместитель начальника кафедры информационной безопасности полковник полиции А.В. Мельников «___» ___________ 2018 г. Тезисы лекции по программе повышения квалификации сотрудников подразделений территориальных органов МВД России по теме: «ПАК ViPNet Coordinator HW1000/2000, правила эксплуатации и обработки информации» (c использованием системы дистанционных образовательных технологий) Блок дистанционного обучения в системе MOODLE Тема №2. «Защита каналов связи ИМТС МВД России с помощью программно-аппаратной технологии ViPNet» Лекция №1. «Принципы организации защищенной телекоммуникационной инфраструктуры» Подготовил: старший преподаватель кафедры информационной безопасности подполковник полиции С.В. Зарубин Обсуждены и одобрены на заседании методической секции кафедры информационной безопасности протокол № __ от _______ 2018 г. Обсуждены и одобрены на заседании кафедры информационной безопасности протокол № __ от _______ 2018 г. Воронеж 2018 1. Принципы организации защищенной телекоммуникационной инфраструктуры. Обеспечение информационной безопасности в телекоммуникационных системах актуально, прежде всего, для организаций со сложной, территориально-распределенной, многоуровневой структурой: крупных банков, транснациональных и государственных компаний. Зачастую телекоммуникационные системы подобных организаций построены с использованием оборудования различных поколений и от разных производителей, что заметно усложняет процесс управления информационной системой. Не исключением является и распределенная телекоммуникационная система органов внутренних дел – так называемая интегрированная мультисервисная телекоммуникационная сеть (ИМТС). Телекоммуникационная система ОВД отличается разнородностью, ее сегменты состоят из различных баз, наборов распределенных систем и задач локального характера. Это делает внутриведомственные ресурсы особенно уязвимыми. В процессе обмена данными между сотрудниками ОВД сети могут быть поражены вредоносными программами, которые разрушают базы данных и осуществляют передачу сведений третьим лицам. Итак, что же относится к главным угрозам телекоммуникационной системы ОВД? По мнению специалистов, наиболее серьезную опасность для информационной инфраструктуры сегодня представляют вирусы (троянское ПО, черви), шпионское и рекламное программное обеспечение, спам и фишинг-атаки типа «отказ в обслуживании» и социальный инжиниринг. Причем источником угроз могут быть как удаленные пользователи, так и сотрудники локального сегмента ИМТС (часто ненамеренно). Реализация вредоносных алгоритмов может привести как к парализации системы и ее сбоям, так и к утере, подмене или утечке информации. Все это чревато огромными потерями для ведомства. Таким образом, главными задачами любой системы информационной безопасности являются: • обеспечение доступности данных для авторизированных пользователей – возможности оперативного получения информационных услуг; • гарантия целостности информации – ее актуальности и защищенности от несанкционированного изменения или уничтожения; • обеспечение конфиденциальности сведений. Для решения обозначенных целей сегодня применяются такие методы защиты информации, как регистрация и протоколирование, идентификация и аутентификация, управление доступом, создание межсетевых экранов и криптография. Однако о них, как и о конкретных программных продуктах на их основе, мы поговорим несколько позже. Стоит отметить, что важность обеспечения информационной безопасности оценена и на государственном уровне, что отражается в требованиях нормативно-правовых актов, таких как: • Гражданский кодекс РФ. • Федеральный закон от 29.06.2004 г. № 98-ФЗ «О коммерческой тайне». • Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». • Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных». • Федеральный закон от 6.04.2011 г. № 63-ФЗ «Об электронной подписи». Необходимо остановиться о регуляторах в области информационной безопасности телекоммуникационных систем. Регуляторами в области информационной безопасности в РФ являются: Федеральная служба по техническому и экспортному контролю, Федеральная служба безопасности, Федеральная служба охраны, Министерство обороны РФ, Министерство связи и массовых коммуникаций РФ, Служба внешней разведки РФ и Банк России. Так, регуляторами выдвигаются следующие требования к защите данных в компьютерных сетях: • использование лицензионных технических средств и ПО; • проведение проверки объектов информации на соответствие нормативным требованиям по защищенности; • составление списка допустимых к применению программных средств и запрет на использование средств, не входящих в этот перечень; • использование и своевременное обновление антивирусных программ, проведение регулярных проверок компьютеров на предмет заражения вредоносными ПО; • разработка способов профилактики по недопущению попадания вирусов в сеть; • разработка методов хранения и восстановления зараженного ПО. В банковских структурах также необходимо обеспечивать разграничение доступа к данным для предотвращения преступных действий со стороны сотрудников и внедрять методы шифрования данных с целью обеспечения безопасности проведения электронных денежных операций. Комплексный подход при построении системы информационной безопасности и защиты информации. Надежную защиту информации в телекоммуникационной системе может обеспечить только комплексный подход, подразумевающий одновременное использование аппаратных, программных и криптографических средств (ни одно из этих средств в отдельности не является достаточно надежным). Подобный подход предусматривает анализ и оптимизацию всей системы, а не отдельных ее частей, что позволяет обеспечить баланс характеристик, тогда как улучшение одних параметров нередко приводит к ухудшению других. Стандартом построения системы безопасности является ISO 17799, который предусматривает внедрение комплексного подхода к решению поставленных задач. Соблюдение данного стандарта позволяет решить задачи по обеспечению конфиденциальности, целостности, достоверности и доступности данных. Организационные меры, принимаемые при комплексном подходе, являются самостоятельным инструментом и объединяют все используемые методы в единый целостный защитный механизм. Такой подход обеспечивает безопасность данных на всех этапах их обработки. При этом правильно организованная система не создает пользователям серьезных неудобств в процессе работы. Комплексный подход включает детальный анализ внедряемой системы, оценку угроз безопасности, изучение средств, используемых при построении системы, и их возможностей, анализ соотношения внутренних и внешних угроз и оценку возможности внесения изменений в систему. Таким образом, для обеспечения защиты информации необходимо предпринимать следующие меры: • формирование политики безопасности и составление соответствующей документации; • внедрение защитных технических средств. И хотя 60–80% усилий по обеспечению безопасности в крупных телекоммуникационных системах направлено на реализацию первого пункта, второй является не менее, а возможно и более, важным. Что касается угроз, то для телекоммуникационных систем можно выделить следующие из наиболее часто встречающихся: 1. Прослушивание каналов, т.е. запись и последующий анализ всего проходящего потока сообщений. Прослушивание в большинстве случаев не замечается легальными участниками информационного обмена. 2. Умышленное уничтожение или искажение (фальсификация) про­ходящих по сети сообщений, а также включение в поток ложных сообще­ний. Ложные сообщения могут быть восприняты получателем как под­линные. 3. Присвоение злоумышленником своему узлу или ретранслятору чужого идентификатора, что дает возможность получать или отправлять сообщения от чужого имени. 4. Преднамеренный разрыв линии связи, что приводит к полному прекращению доставки всех (или только выбранных злоумышленником) сообщений. 5. Внедрение сетевых вирусов, т.е. передача по сети тела вируса с его последующей активизацией пользователем удаленного или локального узла. В соответствии с этим специфические задачи защиты в сетях пере­дачи данных состоят в следующем: 1. Аутентификация одноуровневых объектов, заключающаяся в подтверждении подлинности одного или нескольких взаимодействующих объектов при обмене информацией между ними. 2. Контроль доступа, т.е. защита от несанкционированного исполь­зования ресурсов сети. 3. Маскировка данных, циркулирующих в сети. 4. Контроль и восстановление целостности всех находящихся в сети данных. 5. Арбитражное обеспечение, т.е. защита от всевозможных отказов от отправки, приема или содержания отправленных или принятых данных. 2. Механизмы защиты информации в телекоммуникационной инфраструктуре. Для решения перечисленных задач в телекоммуникационных системах создаются специальные ме­ханизмы защиты. Их перечень и содержание для общего случая могут быть представлены следующим образом. 1. Механизмы аутентификации, т.е. опознавания* пользователей, обращающихся к ресурсам сети, и представляемых им ресурсов. Для этих целей используются общеизвестные пароли, вводимые в открытом или зашифрованном виде, индивидуальные характеристики опознаваемых субъектов или объектов. В последнее время для опознавания пользовате­лей все большее распространение получают так называемые идентифика­ционные карточки. 2. Механизмы контроля доступа, осуществляющие проверку пол­номочий субъекта или объекта на право использования им запраши­ваемого ресурса. Для обеспечения указанного контроля используются списки полномочий, матрицы доступа, мандаты доступа и т.п. 3. Механизмы шифрования данных, используемые для обеспечения секретности находящихся в сети данных. Для указанных целей использу­ются два класса криптографического преобразования данных: симмет­ричные, осуществляемые с использованием секретного ключа и асиммет­ричные, осуществляемые с использованием ключей общего пользования. Непременным условием функционирования механизма шифрования яв­ляется наличие подсистемы (службы) управления распределением ключей. 4. Механизмы цифровой (электронной) подписи, включающие две подсистемы: закрытия блоков данных и проверки закрытых блоков. За­крытие блоков данных осуществляется шифрованием таким образом, что образуемый шифртекст является функцией персональных ключей подпи-сантов, содержания подписываемого текста и, быть может, некоторых дополнительных параметров (цаты, времени суток, идентификатора ЭВМ и т.п.). Проверка закрытых блоков, например, в случае возникновения конфликтных ситуаций достигается созданием службы арбитража, кото­рой должны быть известны все реквизиты подписи и решениям которой подчинялись бы участники обмена данными в сети. 5. Механизмы обеспечения целостности среды передачи и данных, причем выделяются два аспекта целостности: целостность одного блока данных (или поля памяти) и целостность потока блоков данных. Обеспечение целостности одного блока данных достигается тем, что на передающем объекте к блоку передаваемых данных прибавляется признак, значение которого является некоторой функцией данных блока (например, контрольной суммой), а на принимающем объекте вычисляет­ся значение этого признака по принятому блоку, которое затем сравни­вается с полученным его значением. Целостность потока блоков достигается последовательной нумера­цией передаваемых блоков. 6. Механизмы управления маршрутом, предназначенные для защи­ты от попыток несанкционированного изменения маршрута передачи данных: при обнаружении таких попыток маршрут передачи изменяется. 7. Механизмы освидетельствования, предназначенные для обеспе­чения объективного разрешения конфликтных ситуаций, возникающих в процессе передачи-приема данных в сети. Суть их заключается в анализе сложившейся ситуации третьей стороной (арбитром), которой должны доверять обе взаимодействующие стороны и которая обладает информа­цией, необходимой для объективного освидетельствования. Особенности защиты информации в вычислительных сетях обусловлены тем, что сети, обладающие несомненными (по сравнению с ло­кальными ЭВМ) преимуществами обработки информации, усложняют организацию защиты, причем основные проблемы при этом состоят в следующем. 1) Разделение совместно используемых ресурсов. В силу совместного использования большого количества ресурсов различными пользовате­лями сети, возможно находящимися на большрм расстоянии друг от дру­га, сильно повышается риск НСД - в сети его можно осуществить проще и незаметнее. 2) Расширение зоны контроля. Администратор или оператор от­дельной системы или подсети должен контролировать деятельность поль­зователей, находящихся вне пределов его досягаемости, возможно в дру­гой стране. При этом он должен поддерживать рабочий контакт со сво­ими коллегами в других организациях. 3) Комбинация различных программно-аппаратных средств. Соеди­нение нескольких систем, пусть даже однородных по характеристикам, в сеть увеличивает уязвимость всей системы в целом. Система настроена на выполнение своих специфических требований безопасности, которые мо­гут оказаться несовместимы с требованиями на других системах. В слу­чае соединения разнородных систем риск повышается. 4) Неизвестный периметр. Легкая расширяемость сетей ведет к то­му, что определить границы сети подчас бывает сложно; один и тот же узел может быть доступен для пользователей различных сетей. Более того, для многих из них не всегда можно точно определить сколько пользователей имеют доступ к определенному узлу и кто они. 5) Множество точек атаки. В сетях один и тот же набор данных или сообщение могут передаваться через несколько промежуточных уз­лов, каждый из которых является потенциальным источником угрозы. Естественно, это не может способствовать повышению защищенности се­ти. Кроме того, ко многим современным сетям можно получить доступ с помощью коммутируемых линий связи и модема, что во много раз увели­чивает количество возможных точек атаки. Такой способ прост, легко осуществим и трудно контролируем; поэтому он считается одним из наи­более опасных. В списке уязвимых мест сети также фигурируют линии связи и различные виды коммуникационного оборудования: усилители сигнала, ретрансляторы, модемы и т.д. 6) Сложность управления и контроля доступа к системе. Многие атаки на сеть могут осуществляться без получения физического доступа к определенному узлу - с помощью сети из удаленных точек. В этом случае идентификация нарушителя может оказаться очень сложной, если не не­возможной. Кроме того, время атаки может оказаться слишком мало для принятия адекватных мер. 3. Программно-аппаратные средства защиты информации в телекоммуникационной инфраструктуре. К основным программно-аппаратным средствам относятся: 1. Межсетевые экраны. Они обеспечивают разделение сетей и предотвращают нарушение пользователями установленных правил безопасности. Современные межсетевые экраны отличаются удобным управлением и большим функционалом (возможностью организации VPN, интеграции с антивирусами и др.). В настоящее время наблюдаются тенденции: • к реализации межсетевых экранов аппаратными, а не программными средствами (это позволяет снизить затраты на дополнительное оборудование и ПО и повысить степень защищенности); • к внедрению персональных межсетевых экранов; • к ориентации на сегмент SOHO, что приводит к расширению функционала данных средств. 2. Антивирусная защита информации. Усилия крупнейших производителей направлены на обеспечение эшелонированной защиты корпоративных сетей. Разрабатываемые системы защищают рабочие станции, а также закрывают почтовые шлюзы, прокси-серверы и другие пути проникновения вирусов. Эффективным решением является параллельное использование двух и более антивирусов, в которых реализованы различные методы обнаружения вредоносного ПО. 3. Системы обнаружения атак. Подобные системы тесно интегрированы со средствами блокировки вредоносных воздействий и с системами анализа защищенности. Система корреляции событий акцентирует внимание администратора только на тех событиях, которые могут нанести реальный ущерб инфраструктуре компании. Производители IDS стремятся к повышению скоростных показателей своих разработок. 4. Контроль доступа и средства защиты информации внутри сети. С целью обеспечения безопасности данных крупными компаниями проводится автоматизация управления информационной безопасностью или создание общей консоли управления, а также разграничение доступа между сотрудниками согласно их функционалу. В области средств создания VPN отмечается стремление к повышению производительности процессов шифрования и обеспечения мобильности клиентов (то есть доступа к сведениям с любого устройства). Разработчики систем контроля содержимого стремятся добиться того, чтобы созданные ими системы не создавали дискомфорта пользователям. 4. Тенденции в сфере комплексной защиты информации телекоммуникационных систем. Комплексные средства защиты информации меняются со временем и определяются прежде всего текущими экономическими условиями и существующими угрозами. Так, увеличение количества вредоносных атак и экономический кризис заставляют российские компании и госструктуры выбирать только реально работающие решения. Этим объясняется смена ориентиров. Если раньше корпорации были нацелены в первую очередь на выполнение требований регуляторов, то теперь им не менее важно обеспечить реальную безопасность бизнеса путем внедрения соответствующих программных и аппаратных средств. Все больше компаний стремится интегрировать защитные средства с другими системами ИТ-структур, в частности, SIEM. Функция администрирования средств защиты передается от подразделений безопасности в ИТ-отделы. В последнее время руководителями компаний и ИТ-директорами уделяется особое внимание технологичности применения, совместимости и управляемости средств защиты. Отмечается переход от простого поиска уязвимостей (чисто технического подхода) к риск-ориентированному менеджменту (к комплексному подходу). Все более важными для клиентов становятся наглядность отчетности, удобство интерфейса, обеспечение безопасности виртуальных сред при работе с мобильными устройствами. В связи с увеличением доли целевых атак растет спрос на решения в области защищенности критических объектов и инфраструктуры (расследования компьютерных инцидентов, предотвращение DDoS-атак). Цена организации корпоративной системы защиты сведений складывается из множества составляющих. В частности, она зависит от сферы деятельности компании, количества сотрудников и пользователей, территориальной распределённости системы, требуемого уровня защищенности и др. На стоимость работ влияет цена приобретаемого оборудования и ПО, объем выполняемых работ, наличие дополнительных сервисов и другие факторы. Так, стоимость программно-аппаратного комплекса Cisco WebSecurity варьируется от $170 (при количестве пользователей до 1000) до $670 (5000–10 000 пользователей). Локально развертываемое устройство McAfee WebGateway стоит от $2000 до $27 000. Цена веб-фильтра Websense WebSecurity может достигать $40 000. Стоимость Barracuda WebFilter стартует от $1500 за оборудование, обслуживающее до 100 пользователей одновременно (аппарат для обслуживания 300–8000 пользователей обойдется в $4000). При этом ежегодное обновление ПО обойдется еще в $400–1100. Приобрести GFI WebMonitor для 100 пользователей на один год можно за 208 000 рублей ($2600). Итак, современная информационная безопасность телекоммуникационной системы базируется на концепции комплексной защиты информации, подразумевающей одновременное использование многих взаимосвязанных программно-аппаратных решений и мер социального характера, которые поддерживают и дополняют друг друга.