Организация использования средств межсетевого экранирования в информационной системе ИББ и анализ их эффективности

Увеличение потоков информации, передаваемых по Интернету компаниями и частными пользователями, а также потребность в организации удаленного доступа к корпоративным сетям являются причинами постоянного совершенствования технологий подключения корпоративных сетей к Интернету.

Следует отметить, что в настоящее время ни одна из технологий подключения, обладая высокими характеристиками по производительности, в стандартной конфигурации не может обеспечить полнофункциональной защиты корпоративной сети. Решение данной задачи становится возможным только при использовании технологии межсетевых экранов, организующей безопасное взаимодействие с внешней средой. Также межсетевые экраны позволяют организовать комплексную защиту корпоративной сети от несанкционированного доступа, основанную как на традиционной (IP–пакетной) фильтрации контролируемых потоков данных, осуществляемой большинством ОС семейства Windows и UNIX, так и на семантической (контентной), доступной только коммерческим специальным решениям.

1. Постановка задачи обеспечения безопасности информационной системы учебного назначения с использованием средств межсетевого экранирования

Для обеспечения безопасности ИС учебного назначения с использованием средств межсетевого экранирования, необходимо разработать комплекс мер, по защите от проникновения злоумышленника. Для решения задачи обеспечения защиты периметра информационной сети хозяйствующего субъекта, необходимо провести анализ существующих методов и средств защиты периметра ИС, выбрать наиболее приемлемое средство защиты, т.е. провести сравнительный анализ средств выбранной группы, выбрать наиболее подходящий.

Уровень защиты должен достигаться с учетом последующих пунктов:

• масштаба ХС и топологии и размера его корпоративной сети;
• циркулирующей в сети информации, ее цене и ценности для ХС;
• построенной модели нарушителя, а так же возможного ущерба, который нарушитель может нанести ИС.
• выделенных средств, на организацию такой системы.

Для разработки рекомендаций по организации и обеспечению защиты безопасности ИС учебного назначения с использованием средств межсетевого экранирования, необходимо:

• провести моделирование информационной системы (п.2.2);
• составить классификацию выбранных средств межсетевого экранирования (п.3.1);
• обосновать показатели и критерии выбора таких средств (п.3.1);
• провести сравнительный анализ средств (п.3.1);
• разработать комплекс организационно–технических мероприятий по организации безопасности   (п.3.2);
• обосновать затраты на защиту (п.3.3).

Все эти критерии будут рассмотрены в последующих разделах данной дипломной работы.

Выводы по первой главе

В рамках анализа роли и места средств межсетевого экранирования в СЗИ были рассмотрены выполняемые функции МЭ сетей, с учетом их типовых особенностей, это позволит выделить наиболее полную и эффективную модель МЭ для защиты . В дальнейшем, в рамках данной работы, будет рассматриваться сравнительный анализ и выбор средств межсетевого экранирования.

В первой главе проводился анализ угроз безопасности информационной системы ВУЗа, в данном случае Института безопасности бизнеса. Были идентифицированы основные типы угроз, факторов, способствующих их проявлению (уязвимостей) на информационные ресурсы сети, как внешние, так и внутренние. Анализ угроз ИБ является одним из ключевых моментов политики безопасности любой ИС. Так же в первой главе были рассмотрены роль и место, выполняемые функции и проанализировано использование средств межсетевого экранирования в СЗИ. Это позволит организовать внутреннюю политику безопасности сети ХС. В соответствии с политикой реализации межсетевых экранов определяются правила доступа к ресурсам внутренней сети. Так же были рассмотрены различные категории, виды МЭ и требования к ним.

Задачи, которые были описаны в первой главе, показывают, что необходимо разработать комплекс мер по защите от проникновения нарушителя извне и по защите от внутренних угроз, что позволит разработать рекомендации по организации и обеспечению безопасности информационной системы учебного назначения, путем обоснования требований к системе защиты информации, проведения классификации средств межсетевого экранирования по основным показателям, обоснования показателей и критериев сравнения, по которым будет проводится выбор средства, а так же сравнительного анализа отобранных средств защиты информационной системы. Кроме этого в данной главе была выполнена постановка задачи обеспечения защищенности корпоративной информационной сети.

Глава 2. Моделирование информационной системы   ИББ

Федеральный закон РФ «Об информации, информационных технологиях и о защите информации» даёт следующее определение: «информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств».

В данном разделе мы моделируем ИС учебной для проведения учебных занятий по предмету: «Программно–аппаратная защита информации» и защиты сети от вредоносных объектов при помощи межсетевого экрана.

Под информационной системой понимается – совокупность технического, программного и организационного обеспечения, а также персонала, предназначенная для того, чтобы своевременно обеспечивать надлежащих людей надлежащей информацией [6]. Также информационной системой называют только подмножество компонентов ИС в широком смысле, включающее базы данных, СУБД и специализированные прикладные программы.

Модель сети это описание совокупности составляющих сеть аппаратно–программных средств и протоколов обмена данными между ее элементами, обеспечивающих ее функционирование, и в достаточной степени повторяющие свойства реальной сети, существенные для отражения процессов в сети [8].

В лабораторию ПАЗИ необходимо внедрение и использование небольшой информационной сети, к которой не будут предъявляться особые требования к ее функционированию. В сети такого масштаба решаются задачи получения доступа к файлам соседних компьютеров, распечатка документов на общем принтере и подключения компьютеров к Интернет. Именно при подключении локальной сети к Интернет встает задача защиты периметра. Однако выбор средств защиты будет напрямую зависеть от топологии сети. При построении сети масштаба малого предприятия обычно используются 2 вида сетей:

• одноранговая сеть;
• сеть с централизованным управлением.

Одноранговой сетью сегодня уже никто не пользуется, она является не актуальной, поэтому рассмотрим только сеть с централизованным управлением.

Сеть с централизованным управлением – это локальная вычислительная сеть, в которой сетевые устройства централизованы и управляются одним или несколькими серверами.

Рабочие станции или клиенты обращаются к ресурсам сети через сервер. Сети на основе сервера применяются в тех случаях, когда в сеть должно быть объединено много рабочих станций, либо необходимо уделить особое внимание вопросам безопасности сети малого предприятия. В этих случаях возможностей одноранговой сети не хватит.

С этой целью в корпоративную информационную сеть хозяйствующего субъекта включается специализированный компьютер – сервер, который обслуживает только сеть и не решает никаких других задач.

Сервер – логический или физический узел сети, обслуживающий запросы к одному адресу или доменному имени, и состоящий из одного или нескольких аппаратных серверов, на котором выполняются один или система серверных программ [9].

Программное обеспечение, управляющее работой ЛВС с централизованным управлением, состоит из двух частей:

• сетевой операционной системы, устанавливаемой на сервере;
• программного обеспечения на рабочей станции, представляющего набор программ, работающих под управлением операционной системы, которая установлена на рабочей станции.

Исходя из выше сказанного можно сделать вывод, что в ПАЗИ необходима организация централизованной системы защиты периметра, которая позволяет вести централизованную настройку средств защиты, вовремя и адекватно реагировать на атаки, производящиеся извне на корпоративную сеть, что не позволит злоумышленникам узнать внутреннюю топологию сети.

2.1 Анализ требований к системе защиты информации

Периметр защищаемой системы – лучшее место для раннего обнаружения вторжения. Вредоносные объекты в первую очередь взаимодействует с периметром, производя преодоление системы защиты, они создают возмущения, которые регистрируются специальными средствам. Сеть периметра – компьютерная сеть логически находящаяся между ЛВС и сетью Интернет и предназначенная для концентрации средств защиты информации с целью защиты ИТ-инфраструктуры предприятия от вредоносных воздействий из сети Интернет. Таким образом, системы защиты периметра являются наиболее эффективными средствами защиты от несанкционированного доступа в ИС, поскольку могут выдавать тревожный сигнал до того, как злоумышленник реализует атаку.

В данной области нет единых подходов к организации такой защиты. Однако в данной работе нами проводится обобщение основных требований, предъявляемых системам защиты периметра ИС.

К системам защиты периметра предъявляются следующие требования:

• отсутствие возможности управлять системой извне – например системы, встроенные в операционные системы такие, как Windows, Unix. Они обладают одним очень существенным недостатком – гипотетической возможностью удаленного управления, что очень существенно сказывается на защищенности этих систем;
• скрытый характер функционирования системы – система защиты периметра не должна обнаруживать свое функционирование как для соединений извне, так и поступающих соединений из внутренней сети. Это не позволит злоумышленнику определить характеристики средства защиты;
• отсутствие известных уязвимостей – компания–производитель системы защиты периметра должна обеспечивать всестороннюю поддержку своего продукта и своевременно устранять обнаруженные уязвимости системы. Данное требование возможно при официальном обновлении продукта;
• постоянная отчётность о ошибках и работоспособности – любые события связанные с нарушением работоспособности системы и отсутствием подключения к внешней или внутренней сети должны быть доведены до ответственного за обеспечение защиты периметра специалиста по защите информации или администратора. Например, в случае, если внутреннюю сеть попытались физически переключить напрямую к внешней сети в обход системы защиты периметра.
• наличие автономного питания системы – системы защиты периметра должны быть независимыми от электросети, ввиду возможных перебоев с электроснабжением. Система должна работать постоянно;

Кроме того, системы защиты периметра должны обладать максимально высокой чувствительностью, чтобы обнаружить даже самого опытного нарушителя, но, в то же время, должны обеспечивать низкую вероятность ложных срабатываний. Для этого необходимо сделать оптимизацию настроек системы защиты.

При осуществлении защиты периметра информационной сети ПАЗИ, могут возникнуть определенные сложности с организацией такой системы, обусловленные [5]:

• нечеткостью границ системы. Если у физического объекта есть видимая граница или такую границу не сложно провести, то у информационной сети такая граница не очевидна;
• сложностью обнаружения злоумышленника. Если, при защите периметра физического объекта, можно зафиксировать злоумышленника, преодолевающего систему защиты, визуально или с помощью специальных датчиков и извещателей, то при защите информационной сети это затруднительно;
• скрытость ошибок в программном обеспечении и технических средствах защиты и функционирования сети. Данные ошибки можно сравнить с дырами в заборе, которые хорошо видны и легко устраняемы при физической защите. Однако в ИС такие дыры не всегда заметны для службы защиты, но о них могут знать злоумышленники.

В системе защиты информационной системы также возможна разработка и использование отдельных модулей защиты, однако эффективность такой системы будет очень низкой из–за децентрализации, плохой совместимости и повышающейся вероятности появления ошибки.

Существует комплексная система, позволяющая обеспечить все требования по защите периметра ИС, реализующая в себе все средства, с помощью которых достигается защищенность периметра. Эта система может оповещать администратора безопасности о попытках взлома системы, о попытках преодоления системы, о попытках вывода из строя системы, кто, куда и как пытается войти, а так же о действиях персонала компании по доступу к ресурсам сети с оповещением о превышении ими полномочий, попытках несанкционированного доступа к ресурсу. Из чего следует, что данная система реализует защиту сети не только извне, но и изнутри. Такой системой может служить – межсетевой экран. Однако не стоит полагать, что задачу защиты периметра МЭ в состоянии решить полностью, необходим комплексный подход к решению данной задачи, путем внедрения системы обнаружения вторжения и системы мониторинга информационной безопасности. Но в рамках данной работы будут рассмотрены возможности по защите периметра межсетевыми экранами.

Межсетевой экран в ПАЗИ это аппаратное или программное средство первой необходимости при подключении локальной сети к Интернету. Межсетевые экраны способны анализировать входящий и выходящий трафик и принимать решения о его пропуске или блокировании. При выборе типа приобретаемого или создаваемого МЭ прежде всего следует проанализировать существующую политику безопасности и определить службы, к которым пользователи должны получить доступ после подключения к сети. С помощью политики безопасности можно будет разработать стратегию МЭ и использовать маршрутизаторы и другие методы для обеспечения безопасности сети [10].