Современные
информационные технологии
К.т.н. Василенко В.С., Дубчак О. В.,
Національний авіаційний університет, Україна
ВИЗНАЧЕННЯ
МЕТОДУ ЗАХИСТУ ІНФОРМАЦІЙНИХ РЕСУРСІВ У КОМУНІКАЦІЯХ РОЗПОДІЛЕНИХ МЕРЕЖ
Вступ Ключовим компонентом ділового, економічного, соціального
життя суспільства в наш час стають інформаційні ресурси. Відповідно зростає
роль і значення засобів та методів захисту інформації. Збільшуються вимоги до
мережної безпеки, особливо – розподілених обчислювальних мереж (РОМ) через їхню
суттєву відмінність від локальних мереж. Мета більшості загроз – отримання
несанкціонованого доступу до інформації, що циркулює РОМ.
Забезпечення
виконання встановлених правил доступу до захищеної мережі вузлів РОМ можливе на
основі використання брандмауер-системи, яка інтегрується в інфраструктуру РОМ.
Ураховується властивість системи також відслідковувати протоколи динамічної
зміни маршрутизації та захисні послуги, що використовуються [1].
Єдиною загальною точкою обміну даними кожного
вузла РОМ із корпоративною мережею є в такому разі саме брандмауер-система.
Вона використовується як бар’єр між захищеною і незахищеною мережами,
безпосередньо забезпечуючи циркуляцію всіх інформаційних ресурсів між мережами.
Реалізація у брандмауер - системі
механізмів безпеки дозволяє керувати цим засобом і підвищує його захищеність.
Механізми безпеки брандмауер - системи дозволяють: аналізувати дані, що
проходять через брандмауер - систему; контролювати комунікаційне середовище
і партнерів з обміну даними; регламентувати обмін даними відповідно до політики
безпеки; реєструвати події, що мають відношення до безпеки, збираючи статистику
та попередження про загрози.
Доцільно використовувати саме єдину загальну
точку обміну даними кожного вузла РОМ із корпоративною мережею. На користь цього
свідчать декілька переваг: підвищення
ефективності організації захисту; спрощення реалізації корпоративної
політики безпеки; посилення методи аутентифікації; забезпечення безпеки через
розподіл ресурсів; полегшення спостереження за сеансами обміну інформацією.
До основних
завдань брандмауер - системи належить забезпечення контролю доступу на
рівні: мережному; користувачів; даних; прикладному. Також необхідним є:
керування правами доступу; ізоляція послуг із захисту; реалізація функцій
оповіщення; приховування інфраструктури мережі; конфіденційність комунікацій.
Постановка завдання Відсутність універсальних засобів захисту
інформаційних ресурсів РОМ та неможливість окремих компонентів забезпечити
належний рівень мережної безпеки дозволяють зробити припущення щодо
необхідності використання багаторівневого захисту, варіант якого запропоновано
в даній роботі.
Концепція багаторівневого захисту передбачає
створення ефективної інфраструктури безпеки й визначає рівні та можливі
механізми захисту інформаційних ресурсів мережі.
Для
ефективного захисту слід використовувати множину компонентів, сумісне
функціонування яких суттєво ускладнить або унеможливить здійснення загрози.
Організація
багаторівневого захисту пов’язана з визначенням периметру мережі, внутрішньої мережі і політики безпеки
системи - фактору персоналу.
Периметр – це посилена границя мережі, що у своєму
складі може містити: маршрутизатори (routers); брандмауери (firewalls); систему
виявлення вторгнень (СВВ, IDS); пристрої віртуальної приватної мережі (ПВПМ,
VPN); програмне забезпечення мережі; демілітаризовану зону (ДМЗ, DMZ) і
екрановані підмережі.
Маршрутизатори здійснюють управління вхідним, вихідним та
внутрішньомережним трафіками. Пограничний маршрутизатор є останнім перед
виходом в незахищену мережу і виконує роль першого і останнього рубежу захисту
мережі.
Брандмауер або міжмережний екран аналізує об’єм інформації, що передається за
одиницю часу, використовуючи набір правил, які дозволяють визначити можливість
або неможливість передачі трафіку мережею. Область дії брандмауера починається
в точці закінчення області дії пограничного маршрутизатора.
Система виявлення вторгнень (СВВ) дозволяє виявити і повідомити про вторгнення
в мережу, а також про потенційно небезпечні події. СВВ може містити множину
детекторів різного типу, що розміщені в найважливіших точках мережі. Детектори
СВВ розшукують задані сигнатури критичних подій або виконують статистичний
аналіз функціонування мережі, виявляючи аномальні події. У разі виявлення
критичних подій детектори СВВ повідомляють адміністратора і/або здійснюють
запис у журнал подій.
Демілітаризована зона – це підмережа, що містить ресурси загального
користування і підключається до брандмауера або іншого фільтруючого пристрою,
який захищає її від зовнішніх вторгнень. Екранована підмережа є областю,
що розміщується поза брандмауером. Мета використання екранованої підмережи –
ізолювання серверів, до яких необхідно забезпечити доступ із незахищеної мережі
та які використовуються користувачами внутрішньої захищеної підмережі.
Внутрішня мережа – це мережа, захищена периметром. Вона
складається з усіх серверів, робочих станцій та інформаційної інфраструктури.
Для забезпечення захисту внутрішньої мережі використовуються наступні пристрої
“периметру”: маршрутизатори - для фільтрування вхідного та вихідного трафіку
підмережі; внутрішні брандмауери - для розподілу ресурсів; проксі - брандмауери
- для підвищення безпеки; детектори СВВ - для моніторингу трафіку внутрішньої
мережі. У внутрішній мережі також використовуються: персональні брандмауери -
для посилення захисту будь – якої мережної комп’ютерної одиниці; антивірусне
програмне забезпечення; посилення захисту операційної системи; керування
конфігурацією системи; аудит.
Захист хосту – процес зміни конфігурації операційної системи
і додатків хосту з метою перекриття потенціальних вразливостей системи.
Посилення захисту хосту є останнім рубежем оборони системи.
Управління конфігурацією – процес установлення та підтримки визначеної
конфігурації для мережних систем і пристроїв. Це - найкращий засіб організації
захищеної стандартної (базової) конфігурації, який може мінімізувати наслідки
інцидентів. Управління конфігурацією дозволяє також контролювати неавторизоване
встановлення програмного забезпечення.
Аудит – процес контролювання стану захищеності
мережі та своєчасного внесення змін в архітектуру системи технічного захисту
мережі.
Нормативні документи Системи технічного захисту
інформації визначають основні функціональні властивості безпеки інформаційних
ресурсів РОМ: цілісність, доступність, конфіденційність, спостереженість. Забезпечення реалізації останніх – завдання
комплексу засобів захисту комунікаційної мережі зв’язку (КМЗ) РОМ.
Нормативною базою для вибору та реалізації вимог із
захисту інформації в РОМ є НД ТЗІ 2.5-005-99
“Класифікація автоматизованих систем і стандартні функціональні профілі
захищеності оброблюваної інформації від несанкціонованого доступу” [2]. Саме з цього джерела обирається
профіль. Також
можливо визначення профілю як упорядкованої сукупності рівнів послуг
згідно з вимогами зазначеного документу. Вимоги до гарантій визначаються, насамперед,
важливістю оброблюваної інформації з обмеженим доступом і призначенням РОМ.
Як
зазначалося,
забезпечення функціональних властивостей захищеності мережних ресурсів РОМ може
досягатися шляхом використання сукупності засобів та механізмів захисту:
маршрутизаторів; серверів доступу; міжмережних екранів; засобів криптографічного перетворення інформації, що передається
відкритими каналами зв’язку; засобів контролю цілісності; засобів антивірусного захисту; систем
резервного копіювання та відновлення інформації; програмних засобів централізованого керування системою захисту
інформації; аудиту стану
захищеності системи і реагування на критичні події, що пов’язані зі спробами
порушення політики безпеки, встановленої
власником РОМ.
Точна
реалізація політики захисту мережі -
найбільш важлива частина системи керування безпекою мережі. Використання
політики безпеки передбачає вибір, встановлення та налагодження відповідних засобів мережного захисту.
Політика
захисту мережі має описувати
технологію та процедури, що використовуються для моніторингу стану захисту
системи. Власне, моніторинг дозволяє виявляти загрози мережі. Контроль
активності в мережі може виявити спроби компрометації системи та допомагти
зробити аналіз загроз. Моніторинг забезпечує відповідність налагоджень засобів
мережного захисту вимогам політики безпеки. Він може містити аналіз повідомлень
системних журналів маршрутизаторів периметру, брандмауерів і системи керування
доступом.
Моніторинг може здійснюватися системою
виявлення вторгнень. Сенсори СВВ аналізують зміст окремих пакетів з метою
виявлення наявності в мережному трафіку ознак (сигнатур) загрози або
вторгнення. У разі підозрілості поведінки потоку даних, сенсори у реальному
масштабі часу реєструють порушення політики безпеки та передають сигнал тривоги
засобам управління інформаційною безпекою для своєчасного відключення порушника
від мережі та недопущення подальшого розвитку загрози.
Політика захисту мережі має визначати
процедури, що використовуються для аудиту, тестування та підтримки захисту
мережі. Аудит і тестування -
засоби допомоги при відображенні
загального технічного стану та вразливостей мережних компонентів і всієї
системи в цілому, найкращий метод перевірки ефективності існуючої
інфраструктури системи захисту. До списку задач, що виконуються в процесі
аудиту, доцільно включати: перевірку кожної нової системи, що встановлюється в
мережі; перевірку відповідності змін конфігурації мережних засобів діючої
політики безпеки; регулярні перевірки системи за допомогою додаткових
автоматизованих засобів; позапланові перевірки стану системи; щоденні перевірки
найважливіших системних файлів і файлів системного журналу; контроль за
активністю користувачів.
Загальна
характеристика стану системи захисту створюється на основі результатів
регулярних перевірок. Такі перевірки можуть моделювати більшість варіантів
несанкціонованого доступу до системи. Також може бути визначена і незаконна
активність користувачів.
Для
виявлення дій порушників, певних проблем захисту, а також для контролю
відповідності системи вимогам і стандартам політики безпеки можуть
використовуватися позапланові перевірки.
Моніторинг і аудит можуть виявити слабкі місця системи захисту. На
підставі результатів перевірок необхідно удосконалювати стан системи захисту,
використовуючи актуалізовані програмні засоби, технічні рекомендації,
удосконалені версії існуючого програмного забезпечення, новітні технології.
Слід розуміти, що безперервний контроль, супроводження і модифікація системи
захисту забезпечує належну безпеку мережі. Основними напрямками вдосконалення
системи є: регулярне відслідкування інформації про нові типи
загроз і точки вразливості, а також про нові технології захисту мереж і нові
методи захисту обладнання й систем; своєчасне оновлення програмного забезпечення, “заплат”, сервісних
пакетів; оновлення політики безпеки та методів захисту інформаційних активів; підготовка
кваліфікованого персоналу з питань захисту інформації; використання нових технологій захисту, що дозволяють забезпечити
наскрізний захист потоку даних між кінцевими пунктами; забезпечення розслідування, координації дій, документального
підтвердження і необхідного оповіщення про інциденти захисту.
Висновок
Отже, розглянувши питання захисту інформаційних ресурсів
комунікаційної мережі зв’язку РОМ, можна визначити доцільність використання
комплексу засобів захисту кожного із вузлів, який зможе реалізувати наступні
основні групи задач: захист периметру мережі вузлів РОМ; захист віддаленого
доступу до ресурсів РОМ; захист інфраструктури мережі; засоби антивірусного
захисту мережних ресурсів вузлів; забезпечення надійного, безперервного
функціонування комплексу засобів захисту.
Література:
1. Буточнов О.М., Гончар Г.В.,
Деревянко С.М., Короленко М.П. Захист інформації в комунікаційній мережі
зв’язку ЄДАПС. // К.: Вісті Академії інженерних наук України. 2005, № 2, с. 37
− 58;
2. НД ТЗІ 2.5-005-99 “Класифікація
автоматизованих систем і стандартні функціональні профілі захищеності
оброблюваної інформації від несанкціонованого доступу”.