Рассмотрим некоторую усредненную модель распределенной компьютерной системы организации. Основа такой системы -- локальная сеть, состоящая из одного или нескольких сегментов. Локальная сеть служит для связи рабочих станций пользователей, серверов, рабочих мест администраторов, коммуникационного оборудования, сетевых принтеров и другого оборудования. При наличии филиалов (удаленных пользователей) особенно необходимы межсетевые экраны, позволяющие организовать защиту сегмента локальной сети от глобальной сети, которая используется как транспорт для взаимодействия удаленных локальных сегментов (VPN). Кроме того, межсетевые экраны контролируют входную информацию из открытой сети (фильтрация сервисов). Межсетевые экраны дополняются ДМЗ -- демилитаризованной зоной, в которой установлены серверы почты и Веб и которые работают как амортизаторы принимая на себя удар сетевых атак (вирусы и др.). Этот традиционный набор считается защитой локальной сети. Однако в действительности это может не быть защитой, если не реализованы некоторые основные принципы защиты информации.

В системе должна быть единая политика безопасности, которая определяет правила обращения с информацией так, чтобы исключить или снизить угрозы ущерба. Единая политика нужна, чтобы исключить противоречия между правилами обращения с одной и той же информацией в разных подразделениях организации. В самом простом случае, что этой политикой является дискреционная политика, т. е. у каждого информационного объекта системы есть хозяин, который определяет правила доступа субъектов к объектам. Для реализации дискреционной политики безопасности каждый субъект и объект должны быть идентифицированы, а каждый субъект должен подтвердить свой идентификатор (аутентификация). Обычно дискреционную политику безопасности усиливают аудитом, т. е. отслеживанием действий пользователей или субъектов, которые действуют от их имени, в компьютерной системе.

Кроме дискреционной политики безопасности как минимум необходимо организовать защиту целостности информационных ресурсов от модификации или уничтожения. Идентификация и аутентификация, правила разграничения доступа, аудит и защита целостности должны реализовываться механизмами защиты. На каждом рабочем месте и на серверах установлены операционные системы, которые, как правило, обладают набором механизмов защиты, обеспечивающих идентификацию и аутентификацию, разграничение доступа, аудит на данном компьютере. Серьезные прикладные системы типа СУБД также обладают локальным набором механизмов защиты, обеспечивающих идентификацию и аутентификацию, разграничение доступа и аудит. Основными механизмами защиты целостности являются резервное копирование (backup), электронно-цифровая подпись (ЭЦП) и коды аутентификации.

Однако выполнение политики безопасности на каждом компьютере вовсе не означает, что выполняется единая политика безопасности во всей системе. Например, пользователи по сети могут обращаться на файловый сервер для получения необходимой информации или отправки документов в файле на печать на сетевой принтер. Обращение на сервер предполагает копирование файла из одного компьютера, где файл находится под защитой локальной политики безопасности и средств ее поддержки, в другой компьютер, на котором действует локальная политика безопасности и механизмы ее поддержки. Ясно, что передача файла или информации из этого файла в файл на другой машине не управляется локальной политикой безопасности, т. е. должны быть механизмы реализации политики безопасности системы в целом, с помощью которых может быть разрешен доступ субъекта на одной машине к информации, расположенной на другой машине. В частности, для такого доступа субъект из рабочей станции 1 (РС1), запрашивающий доступ к информации на компьютере РС2, должен быть идентифицирован и аутентифицирован на РС2, т. е. его аутентификационная информация (пароль) на РС1 должна быть передана на РС2. Этот субъект должен быть учтен на РС2 в матрице разграничения доступа, а его действия должны отслеживаться аудитом на РС1 и РС2. Так как в сегменте локальной сети передача является широковещательной, то передача пароля для аутентификации на РС2 может быть подслушана на любой рабочей станции и в следующий раз подслушивающий субъект сможет запрашивать информацию на другой машине от чужого имени.

Чтобы контролировать сеть, необходим мониторинг сети. Он решает две задачи -- контроль действий администратора сети и аудит сети.

Для исключения подслушивания вместо концентраторов надо по возможности использовать коммутаторы. Коммутаторы частично решают задачу разграничения доступа в сети. Если успешно защититься от подслушивания и обращения от чужого имени, тогда концентрация на серверах информации для реализации дискреционной политики в сети позволяет поддерживать сетевое разграничение доступа.

Кроме того, большой проблемой для информационных систем российских компаний (в том числе и банков) являются не столько внешние атаки, сколько собственный персонал. Действия неквалифицированных специалистов часто становятся причиной тяжелых последствий.

По мнению заместителя начальника главного управления безопасности и защиты информации ЦБ РФ Андрея Курило, основным риском, которому подвержены кредитные организации, является заражение информационных систем компьютерными вирусами. Еще одной опасностью выступают атаки из Интернета.

«Но самые серьезные риски исходят, к сожалению, от собственного персонала. Вред могут нанести и неквалифицированные программисты, и люди, которые, даже не подозревая об этом, заносят в банк вирус, принеся зараженную дискету. Основная опасность заключается в том, что персонал знает технологию изнутри», -- считает представитель Банка России.

Очень часто внешняя атака становится результативной именно потому, что у злоумышленников есть сообщник внутри кредитной организации. «Все известные нам инциденты в области безопасности были связаны именно с этим», -- подчеркнул Андрей Курило (по материалам агентства «Интерфакс»).

Хотя основной задачей системы информационной безопасности является обеспечение постоянной доступности защищаемых ресурсов для легальных пользователей, и полная недоступность для нелегальных, также необходим и постоянный контроль действий легальных пользователей.

Любая политика информационной безопасности должна отвечать следующим требованиям:

·                    интегрированность (все «кирпичики», из которых она состоит, должны подходить и дополнять друг друга);

·                    комплексность (нельзя решать проблему информационной безопасности выборочно, например, установка антивирусной защиты не устранит возможность взлома почтового сервера);

·                    достаточность (не стоит чрезмерно усложнять защиту: во-первых, это удорожает ее, во-вторых, такая защита становится сложной в управлении и как следствие имеет низкую эффективность).

Исходя из вышесказанного, можно предложить схему практической реализации системы защиты распределенной компьютерной сети организации, на которой показаны следующие основные элементы системы (рис. 1).

1.                  Авторизация и разграничение доступа -- программно-аппаратный комплекс Мастер Паролей (компания «Рускард»).

2.                  Шифрование данных -- комплекс BestCrypt (компания Jetico).

3.                  Межсетевые экраны с поддержкой VPN -- программно-аппаратные комплексы WatchGuard FireBox (компания WatchGuard Technologies).

4.                  Система аудита и защиты от атак (Intrusion Detection System) и антивирусная защита -- программный комплекс eTrust IDS (компания Computer Associates).

5.                  Автоматизация делопроизводства -- автоматизированная система делопроизводства и документооборота (АСДД) «Дело» (компания ЭОС).

Выбор вышеперечисленных продуктов для практической реализации обусловлен и тем, что эти элементы, являясь самостоятельными законченными продуктами, превосходно интегрируются в единую систему. Обеспечивается не только их корректная совместная работа, но и необходимое взаимодействие (например, eTrust может, управляя межсетевым экраном WatchGuard FireBox, запретить отправку письма с определенной информацией).

При этом пользователь авторизуется во всех требуемых приложениях: получает доступ к документам системы «Дело», работает с почтой и Интернетом через WatchGuard FireBox, передает документы в филиал используя защищенные каналы VPN, получает доступ к зашифрованным дискам и т.д. используя единый носитель -- смарт-карточку или USB-ключ.

Рассмотрим более подробно отдельные элементы системы.

Программно-аппаратный комплекс «Мастер Паролей»

Комплекс предназначен для авторизации пользователей и разграничения прав доступа в среде Windows. Авторизационная информация пользователя хранится только на смарт-карточке (USB-ключе) и при необходимости вводится в требуемую программу. Обеспечивается работа практически с любыми программами в среде Windows -- от 95 до XP.

В комплекс «Мастер Паролей» заложены данные наиболее популярных и часто используемых программ, что позволяет работать с ними без дополнительной настройки. Исключается хранение паролей на жестком диске и ввод авторизационных данных с клавиатуры. Могут использоваться пароли любой сложности, длиной в десятки и сотни символов. Встроенный генератор паролей позволяет создавать длинные и сложные пароли. Доступ к смарт-карточке или отдельной записи на ней может закрываться ПИН-кодом. Комплекс работает практически с любыми приложениями, использующими парольную защиту -- базы данных, офисные приложения, почта и Интернет, бухгалтерские программы, программы шифрования и VPN, и т.д. Сайт компании «Рускард» -- www.ruscard.org.

Программа шифрования данных BestCrypt

BestCrypt создает и обеспечивает работу с шифрованными виртуальными дисками, делая их видимыми пользователю и операционной системе как обычные жесткие или сменные диски. Для доступа к контейнеру требуется пройти авторизацию -- указать пароль доступа к ключам шифрования (задаваемый при создании контейнера). Пароль может содержать сотни символов. После открытия контейнера становится доступным виртуальный диск, с которым можно работать как с обычным жестким или сменным диском.

Работа BestCrypt в связке с комплексом «Мастер Паролей» позволяет использовать длинные и сложные пароли (не поддающиеся вскрытию методом перебора), и при этом вводить их быстро и просто. Шифрование происходит «на лету», даже на больших объемах перемещаемых данных падение в скорости практически незаметно. Возможно использование различных стойких криптоалгоритмов (в том числе и российского ГОСТа). Сайт компании Jetico -- www.jetico.com.

Межсетевые экраны WatchGuard FireBox

Интегрированный комплекс защиты периметра корпоративной сети любого масштаба. Это высокоэффективный фильтр, поддерживающий пакетную фильтрацию и контекстный анализ на уровне фильтров -- посредников приложений.

Комплекс оснащен системой автоматического блокирования нападающих хостов; системой защиты от сканирования, блокирования манипуляций с IP-пакетом, а также обнаружения атак типа IP spoofing (подмена обратного адреса пакета). Стандартно в поставку межсетевого экрана входят средства построения виртуальных частных сетей. WatchGuard FireBox System имеет систему мониторинга и предупреждения о нападении в режиме реального времени.

Встроенные средства мониторинга позволяют отображать как технические параметры межсетевого экрана (загрузка портов, процессора, объем трафика и т. п.), так и логические (количество, направление и прочие данные, характеризующие установленные через межсетевой экран соединения). Система предупреждения о нападении способна оповещать администратора о попытках нарушения установленной политики безопасности при помощи электронной почты, пейджера или любого другого SMS-совместимого устройства. Возможно представление графических отчетов по заранее заданным шаблонам. Сайт компании WatchGuard Technologies -- www.watchguard.com.

Система аудита и защиты от атак eTrust IDS

Обеспечивает изощренную защиту сетей с интегрированной антивирусной функцией. Позволяет в полной мере реализовать концепцию «обнаружение, оповещение, нейтрализация» при защите компьютерной сети, предоставляя механизмы обнаружения угроз в реальном времени, систему оповещений на основе политик и автоматические средства нейтрализации вторжений.

Консоль Intrusion Detection обеспечивает детальный мониторинг и непрерывный контроль над безопасностью всех составляющих вычислительной инфраструктуры, позволяя одновременно просматривать сообщения, относящиеся как к отдельным узлам, так и к компьютерным сетям. В состав eTrust IDS входят мощные механизмы контекстного контроля, позволяющие предотвратить несанкционированное перемещение критичной информации. Сайт компании Computer Associates -- www.ca.com.

АСДД «Дело»

Эта хорошо известная и конкурентоспособная АСДД на отечественном рынке поддерживает промышленную технологию управления электронными и бумажными документами, обеспечивающую эффективный контроль за их прохождением и исполнением. Основные особенности системы -- полный учет реальной управленческой практики, масштабируемость и эффективность.

АСДД «Дело» обеспечивает контроль как за самими документами, так и за работой персонала с ними. Средства системы позволяют осуществлять оперативный контроль за деятельностью предприятия и аналитическую обработку накапливаемых данных о документах и работе с ними персонала. Сайт компании «Электронные офисные системы» (ЭОС) -- www.eos.ru.

В заключение хочется отметить, что все больше компаний переходят от разовых мероприятий к построению комплексной системы безопасности. Это касается как сравнительно небольших компаний, где ранее таким вопросам не уделялось достаточно внимания, так и гигантов индустрии. Глава Microsoft Билл Гейтс, выступая на конференции RSA Security 25 февраля 2004 г., сказал: ”Недавно Microsoft перешла на систему смарт-карточек”, и добавил: “Нет сомнения в том, что со временем опираться на пароли будут все меньше и меньше. Люди пользуются одними и теми же паролями в разных системах, записывают их, а те просто не обеспечивают той защиты, на которую вы рассчитываете”.

Сегодня на рынке присутствует достаточное количество проверенных продуктов и решений для обеспечения информационной безопасности. Выбор за вами!

Александр Грушо, Алексей Васильев
журнал "Банковские Технологии " март 2004 года

Об авторах:

Грушо Александр Александрович -- профессор, докт. физ.-мат. наук, член-корреспондент Академии криптографии РФ, академик Международной академии информатизации.

Васильев Алексей Леонидович -- начальник отдела по аттестации объектов информатизации ФГП «АЦ Желдоринформзащита МПС РФ».