|
|
  |
Главная страница / Архитектура отрасли КАК ОСТАНОВИТЬ УТЕЧКУ ИНФОРМАЦИИЗащита конфиденциальной и секретной информации на предприятии подразумевает собой проведение целого комплекса мероприятий. Они должны быть направлены на устранение возможных каналов ее утечки и включать следующие пункты: • защита помещения от возможного прослушивания и утечки информации; • разработка нормативной базы, которая позволит соблюсти необходимый режим в организации, позволяющий исключить допуск посторонних лиц к секретам фирмы; • использование сертифицированных криптографических средств при передаче и хранении секретной информации; • разделение корпоративной сети на две независимые: сеть для передачи секретной информации, сеть для передачи открытой информации; • защита открытого трафика сети от вторжения извне: – межсетевые экраны, – системы обнаружения атак, – антивирусные средства, – анализаторы системных журналов, – системы анализа уязвимостей; • обучение обслуживающего персонала, постоянное повышение квалификации. Как перекрыть каналы утечки информации Чтобы составить представление о деятельности предприятия и получить конфиденциальные сведения, могут быть использованы различные пути и способы. Оставим в стороне такие, как анализ открытых источников информации или анализ результатов работы предприятия, его продукции, отходов и т. д., шантаж или слежка, а также установка в помещении “жучков” и “закладок” в аппаратуре. Рассмотрим подробнее другие каналы, по которым происходит утечка информации и возможные пути ее устранения с помощью различных технических средств. Радиоизлучение монитора и других компонентов ПК. Перехват изображения монитора можно отнести к распространенным способам хищения информации. Для этого используется паразитное излучение, прием которого возможен на расстоянии до 50 м. Основная защита в этом случае – экранирование помещения, металлический кожух ПК, а также устройства, маскирующие побочное электромагнитное излучение, например генератор радиошума ГШ-1000, который зашумляет диапазон частот от 0,1 до 1000 МГц. Микрофонный эффект. Акустические колебания микрофона или обмоток звонка возникают при положенной трубке и могут быть сняты с телефонного кабеля, например, на АТС. Для защиты от такого перехвата можно применять устройства, подавляющие эти колебания, например “Гранит-Х”. Видеонаблюдение за помещением может осуществляться как через окно, так и с помощью видеокамер, вмонтированных в предметы, находящиеся в помещении, либо встроенных в вещи постороннего человека (эти варианты в статье не рассматриваются). Основная защита – жалюзи на окнах и досмотр посторонних лиц. Считывание вибрации стекла. С помощью лазера может быть удаленно произведено считывание вибрации оконного стекла. Основная защита: использование рам с двойными стеклами, а также ведение секретных переговоров в безопасных с этой точки зрения помещениях. Аналогичный способ – считывание вибрации стен, дверей, перекрытий. Защита от этого – установкаго и факс-модемного трафика. Существующие устройства способны раскодировать факс-модемную передачу либо непосредственно во время ее прохождения по телефонной линии, либо магнитофонную запись сообщения. Злоумышленник может подключиться к телефонной линии на любом ее участке. Единственная защита заключается в том, чтобы не передавать с помощью подобного оборудования сведений, разглашение которых нежелательно. Если же без такой передачи нельзя обойтись, то данные должны быть зашифрованы. Подобное следует делать и на ПК, работающем с секретной информацией. К числу средств, способствующих предотвращению несанкционированного доступа к информации, хранящейся на диске ПК можно отнести следующие: • разграничение доступа в сети (“Secret Net” (“Информзащита”)); • электронные ключи, обеспечивающие идентификацию пользователей, например с помощью Smart-карты, устройств Touch memory – Dallas Lock (ООО “Конфидент”), “Соболь” (“Информзащита”); • средства шифрования файлов на дисках – Crypton LITE (“Анкад”), Secret Disk (“Аладдин”), PTS DiskGuard (“Техинформконсалтинг“); • парольный доступ – средства операционных систем и BIOS. Защита корпоративной сети Защиты от утечки информации требует и корпоративная сеть. Информационные технологии несут в себе не только удобства, но и новые угрозы, в том числе связанные с утечкой, повреждением, модификацией и уничтожением конфиденциальных сведений. С целью защиты используются: антивирусные средства, межсетевые экраны, системы обнаружения вторжений, анализаторы системных журналов, криптомаршрутизаторы, системы анализа уязвимостей. Антивирусные средства Сегодня, пожалуй, даже начинающие пользователи знают о существовании компьютерных вирусов, об опасности, которую они представляют. Большинство пользователей знает, что при получении электронной почты ее необходимо проверить на наличие вирусов, аналогично следует поступать и при получении посторонних файлов. Тем не менее массовые заражения периодически происходят, чему немало способствует Интернет. Одним из первых вирусов, распространенных по Глобальной сети, был “червь Морриса”, в течение нескольких часов 2 ноября 1988 года заразивший более 6000 компьютеров. Для заражения этот вирус использовал изъяны в sendmail и finger. Цель написания была благородна – проверка уязвимостей серверов, включенных в Интернет, однако из-за допущенной создателем этой программы ошибки вирус смог саморазмножаться в сети, а также существенно уменьшить быстродействие зараженных рабочих станций. Подобные программы создаются и сейчас. И для их распространения также используют бреши в системах защиты серверов. Кроме программ, которые портят и уничтожают данные и аппаратное обеспечение, замедляют работу компьютера, существуют вирусы, которые, ничем не выдавая своего присутствия, собирают информацию (например, пароли), ведут контроль за нажатием клавиш ПК и передают найденную информацию на заранее определенный адрес. Эти вирусы отноть программы, которые позволяют получить доступ к удаленной машине за счет брешей в используемой ею операционной системе. Последние два типа вирусов наиболее опасны. Основное средство защиты от вирусов – регулярно обновляемые антивирусные программы. Лучше если на одной ПК будут применяться две программы от разных разработчиков и с различными характеристиками, например Dr.Web и AVP. Антивирусные средства рекомендуется установить на ПК, на почтовом сервере (или настроить их для сканирования всего поступающего траффика). Следует учитывать, что антивирусные средства пассивны, они реагируют только на известные угрозы и не в состоянии гарантировать 100-процентную защиту от новых вирусов. Межсетевые экраны Межсетевой экран (МЭ) (firewalls), или брандмауэр, предназначен для контроля над исходящей и входящей в систему информацией, то есть он занимается фильтрацией потока данных на заранее оговоренных условиях. Эти условия задаются системным администратором и способствуют предотвращению атак со стороны внешней сети. Кроме внешних МЭ существуют и внутренние, предназначенные для контроля потоков между сегментами локальной сети. Межсетевые экраны можно классифицировать по тому, на каком уровне они работают: канальном, сетевом, транспортном, прикладном. В зависимости от уровня различаются и задачи МЭ. Чем ниже уровень, тем выше производительность и ниже стоимость. Чем выше уровень, тем больше задач способен решать межсетевой экран. Например, при фильтрации на сетевом уровне можно просмотреть структуру локальной сети из глобальной. Кроме фильтрации МЭ должны вести журналы учета, позволять производить администрирование и настройку правил фильтрации, применять средства аутентификации, а также по возможности использовать средства шифрования. Основные требования к межсетевым экранам записаны в Руководящем документе Государственной технической комиссии при Президенте России “Межсетевые экраны. Защита от несанкционированного доступа к информации. Классификация межсетевых экранов”. При выборе МЭ, представленных на российском рынке огромным количеством наименований, рекомендуется исходить из того, что для работы с информацией, содержащей государственную тайну, эти средства должны быть сертифицированы упомянутой Гостехкомиссией или ФАПСИ. В табл. 1 представлена информация о некоторых из сертифицированных межсетевых экранов. Все МЭ разделены на классы. Установлено 5 классов защищенности. Каждый из них характеризуется определенной минимальной совокупностью требований по защите информации. Например, для автоматизированных систем (АС): • 1 класс, работа с грифом “Особая важность”; • 2 класс, работа с грифом “Совершенно Секретно”; • 3 класс, работа с грифом “Секретно”. Системы обнаружения вторжений Системы обнаружения вторжений (СОВ) предназначены для регистрации враждебного трафика, обнаружения атак и должны сигнализировать системному администратору о начавшейся атаке и ее отражении. Подобные средства появидятся. В табл. 2 представлены некоторые из существующих на мировом рынке СОВ [1]. Системы обнаружения вторжений делятся на три типа: • уровень хоста; • уровень сети; • процедурные. Системы первого типа занимаются ведением журнала регистрации, наблюдением за процессами, а также контролем за целостностью двоичного кода. Системы уровня сети анализируют проходящий трафик, сравнивают его с известными сигнатурами атак и принимают решение о вторжении в случае совпадения кода. При этом делается запись в журнале и извещается системный администратор, и конечно СОВ пытается сама противодействовать атаке. Системы обнаружения вторжений процедурного типа занимаются тем же, что и системы сетевого уровня, а также фиксируют и исследуют работу прикладных программ, пытаются адаптироваться к данной сети. Система обнаружения вторжений – неплохое дополнение к МЭ, в ряде случаев она значительно облегчает труд системных администраторов, но обладает существенным недостатком, имеющимся и у антивирусных сканеров: СОВ не способны обнаружить неизвестные вторжения, пока не будут обновлены сигнатуры. Анализаторы системных журналов Системный администратор сети должен просматривать не один десяток журналов на серверах и станциях, межсетевых экранах и в системах обнаружения вторжений. Анализаторы предназначены для облегчения работы с системными журналами. Криптомаршрутизаторы В территориально-распределенной корпоративной сети, по которой передается секретная или конфиденциальная информация (данные, голос, видеоконференции), должна быть исключена возможность прослушивания этого трафика. С этой целью, а также для закрытия доступа в секретную сеть из внешней открытой используется криптомаршрутизатор. Он шифрует трафик между сегментами сети, проходящий через открытые каналы. Сеть, построенная подобным образом и обеспечивающая шифрование трафика от узла до узла, называется виртуальной частной сетью (VPN). Она может быть построена на базе как импортных, так и отечественных средств. Однако следует учитывать, что, во-первых, ряд стран ограничивает экспорт криптографических средств, во-вторых, российское законодательство по понятным причинам ограничивает применение таких средств для работы с информацией, содержащей государственную тайну, и в-третьих, существует достаточно много отечественных сертифицированных Гостехкомиссией РФ и ФАПСИ средств. В табл. 3 приведен далеко не полный список. Основные преимущества криптомаршрутизаторов: • скрытая структура защищенной сети; • полная прозрачность (т. е. пользователи не чувствуют разницы от того, шифруется ли траффик или нет) для конечных пользователей; • защита сети от атак извне; • эффективная защита передаваемой информации, что позволяет использовать открытые каналы связи, например Интернет, кроме случаев, предусмотренных законодательством России (не разрешается использовать публичные сети типа Интернет для передачи по ним секретной информаость данных; • защита от анализа траффика; • масштабируемость сети. Система анализа уязвимостей Все перечисленные выше средства защиты информации могут не справиться со своей задачей при наличии бреши в операционной системе или прикладной программе. Устранение этого недостатка в кратчайшие сроки не позволит злоумышленнику как-либо навредить вам. Для поиска возможных брешей, в том числе ошибок конфигурирования средств защиты, предназначены системы анализа уязвимостей. Их существует огромное множество. Приведем некоторые из них: NetRecon (Axent Technologies), HakerShield (BindView), Internet Scanner (Internet Security System), Retina (eEye Digital Security), CyberCop Scanner (Network Associates), WebTrends Security Analyzer и System Analyst Integrated Network Tools (World Wide Digital Security), программное обеспечение с открытым кодом Nessus Security Scanner и Security Administrator’s Research Assistant. В [2] приводится подробное тестирование некоторых средств оценки уязвимости. Большинство этих средств дороги и, кроме того, не гарантируют на 100% защиты вашей системы. Они так же, как СОВ и антивирусы, могут обнаружить только известные “дыры” в операционных системах и бессильны перед новыми атаками. Это означает, что даже при постоянном обновлении сигнатур может случиться так, что атака произойдет раньше, чем выйдет очередное обновление. Эти средства хороши, но они не могут служить панацеей от всех бед. “Человеческий фактор” Разговор о защите конфиденциальной информации будет неполным, если не упомянуть о так называемом “человеческом факторе”. Как известно, по статистике до 80% от всех видов хищения информации совершается при пособничестве или непосредственном участии самих сотрудников предприятий. Именно поэтому доступ в помещения, где ведется работа с конфиденциальной или секретной информацией, должен быть ограничен. Там должны находиться лишь те, кто работает с закрытыми данными, обслуживает аппаратуру. Посторонние (например, уборщицы, слесари, электрики и др.) могут находиться здесь только в присутствии дежурного по помещению. Сами помещения при необходимости рекомендуется сертифицировать в надлежащих органах на право работы с информацией требуемого грифа секретности. Доступ в спецпомещения, а также правила работы и охраны регламентируются специальными документами, в соответствии с которыми и осуществляется защита конфиденциальной или секретной информации. Особое внимание следует уделить кадрам. С закрытой информацией должны работать специалисты, имеющие соответствующую квалификацию, прошедшие проверку и пользующиеся доверием руководства. Работа таких сотрудников должна хорошо оплачиваться, что позволит исключить продажу секретов третьей стороне. Надо учитывать, что сотрудники предприятия могут разгласить секретные сведения не только умышленно, но невольно в интервью, журнальной статье или при неформальном общении с коллегами из конкурирующих фирм.льности предприятия, позволит предотвратить следование утвержденным на предприятии правилам работы с закрытой информацией. Главная страница / Архитектура отрасли |