Комплексное управление безопасностью информационной системы в ЛВС ОАО “ХК Дальзавод”

Уязвимые  места:

• неправильные установки управления доступом,
• данные, которые считаются достаточно критичными, чтобы нужно было использовать шифрование, но хранятся в незашифрованной форме,
• исходные тексты приложений, хранимые в незашифрованной форме,
• мониторы, находящиеся в помещениях, где много посторонних людей
• станции печати, находящиеся в помещениях, где много посторонних людей
• резервные копии данных и программного обеспечения, хранимые в открытых помещениях.

4. Неавторизованная модификация данных и программ - происходит в результате модификации, удаления или разрушения человеком данных и программного обеспечения ЛВС неавторизованным или случайным образом.

Уязвимые  места:

• разрешение на запись, предоставленное пользователям, которым требуется только разрешение на доступ по чтению,
• необнаруженные изменения в программном обеспечении, включая добавление кода для создания программы троянского коня,
• отсутствие криптографической контрольной суммы критических данных,
• механизм привилегий, который позволяет избыточное разрешение записи,
• отсутствие средств выявления и защиты от вирусов,

5. Раскрытие трафика ЛВС - происходит в результате получения доступа к информации или ее чтения человеком и возможного ее разглашения случайным или неавторизованным намеренным образом тогда, когда информация передается через ЛВС.

Уязвимые  места:

• неадекватная физическая защита устройств ЛВС и среды передачи,
• передача открытых данных с использованием широковещательных протоколов передачи,
• передача открытых данных (незашифрованных) по среде ЛВС.

6. Подмена трафика ЛВС - происходит в результате появлений сообщений, которые имеют такой вид, как будто они посланы законным заявленным отправителем, а на самом деле сообщения посланы не им.

Уязвимые  места:

• передача трафика ЛВС в открытом виде,
• отсутствие отметки даты / времени (показывающей время посылки и время получения),
• отсутствие механизма кода  аутентификации сообщения или цифровой подписи,
• отсутствие механизма аутентификации  в реальном масштабе времени (для защиты от воспроизведения).

7. Неработоспособность  ЛВС - происходит в результате  реализации угроз, которые не позволяют ресурсам ЛВС быть своевременно доступными.

Уязвимые  места:

• неспособность обнаружить необычный характер трафика (то есть намеренное переполнение трафика),
• неспособность перенаправить трафик, выявить отказы аппаратных средств ЭВМ, и т.д.,
• конфигурация ЛВС, допускающая возможность выхода из строя из-за отказа в одном месте,
• неавторизованные изменения компонентов аппаратных средств ЭВМ (переконфигурирование адресов на автоматизированных рабочих местах, изменение конфигурации маршрутизаторов или хабов, и т.д.),
• неправильное обслуживание аппаратных средств ЛВС,
• недостаточная физическая защита аппаратных средств ЛВС.

6.2. Службы и механизмы защиты

  Служба  защиты - совокупность механизмов, процедур и других управляющих воздействий, реализованных для сокращения риска, связанного  с угрозой. Например, службы идентификации и аутентификации (опознания) помогают сократить риск угрозы неавторизованного пользователя. Некоторые службы обеспечивают защиту от угроз, в то время как другие службы обеспечивают обнаружение реализации угрозы. Примером последних могут служить  службы регистрации или наблюдения. Следующие службы будут обсуждены в этом разделе:

1. идентификация и установление подлинности - является службой безопасности, которая помогает гарантировать, что в ЛВС работают только авторизованные лица.

Механизмы защиты:

• механизм, основанный на паролях,
• механизм, основанный на интеллектуальных картах
• механизм, основанный на биометрии,
• генератор паролей,
• блокировка с помощью пароля,
• блокировка клавиатуры,
• блокировка ПК или автоматизированного рабочего места,
• завершение соединения после нескольких ошибок при регистрации,
• уведомление пользователя о "последней успешной регистрации" и "числе ошибок при регистрации",
• механизм аутентификации пользователя в реальном масштабе времени,
• криптография с уникальными ключами для каждого пользователя.

2. управление доступом - является службой безопасности, которая помогает гарантировать, что ресурсы ЛВС используются разрешенным способом.

Механизмы защиты:

• механизм управления доступом, использующий права доступа (определяющий права владельца, группы и всех остальных пользователей),
• механизм управления доступом, использующий списки управления доступом, профили пользователей и списки возможностей,
• управление доступом, использующее механизмы мандатного управления доступом,
• детальный механизм привилегий.

3. конфиденциальность данных и сообщений - является службой безопасности, которая помогает гарантировать, что данные ЛВС, программное обеспечение и сообщения не раскрыты неавторизованным лицам.

Механизмы защиты:

• технология шифрования файлов и сообщений,
• защита резервных копий на лентах, дискетах, и т.д.,
• физическая защита физической среды ЛВС и устройств,
• использование маршрутизаторов, которые обеспечивают фильтрацию для ограничения широковещательной передачи (или блокировкой, или маскированием содержания сообщения).

4. целостность данных и сообщений - является службой безопасности, которая помогает гарантировать, что данные ЛВС, программное обеспечение и сообщения не изменены неправомочными лицами.

Механизмы защиты:

• коды аутентификации сообщения, используемые для программного обеспечения или файлов,
• использование электронной подписи, основанной на секретных ключах,
• использование электронной подписи, основанной на открытых ключах,
• детальный механизм привилегий,
• соответствующее назначение прав при управлении доступом (то есть отсутствие ненужных разрешений на запись),
• программное обеспечение для обнаружения вирусов,
• бездисковые автоматизированные рабочие места (для предотвращения локального хранения программного обеспечения и файлов),
• автоматизированные рабочие места без накопителей для дискет или лент для предотвращения появления подозрительного программного обеспечения,

5. контроль участников взаимодействия - является службой безопасности, посредством которой гарантируется, что объекты, участвующие во взаимодействии, не смогут отказаться от  участия в нем. В частности, отправитель не сможет отрицать посылку сообщения (контроль участников взаимодействия  с подтверждением отправителя) или получатель не сможет отрицать получение сообщения (контроль участников взаимодействия с подтверждением  получателя).

Механизмы защиты:

• использование электронных подписей с открытыми ключами.

6. регистрация и наблюдение - является службой безопасности, с помощью которой может быть прослежено использование всех  ресурсов  ЛВС. 
    
    
    
    
    
    
   

7. Обзор и анализ существующих программно-аппаратных средств пригодных для решения поставленной задачи.

     Реализация  системы защиты информации осуществляется, исходя из предпосылки, что невозможно обеспечить требуемый уровень защищенности информационной системы только с помощью одного отдельного средства

(мероприятия)  или с помощью их простой  совокупности. Необходимо их системное  согласование между собой (комплексное  применение). В этом случае реализация любой угрозы сможет воздействовать на защищаемый объект только в случае преодоления всех установленных уровней защиты. 

Структура КСЗИ 

     Проектирование проводится с учетом всех аспектов информационной безопасности, требований нормативных документов по защите информации РФ и конкретных условий применения, что позволяет получить целостную систему защиты информации, интегрированную в объект информатизации и подобрать оптимальный режим работы системы защиты.

7.1. Межсетевой экран

7.1.1. Cisco PIX

     Широкий спектр моделей Cisco Pix Firewall, ориентированных на защиту сетей предприятия разного масштаба, от предприятий малого бизнеса и заканчивая крупными корпорациями и операторами связи, обеспечивающих безопасность, производительность и надежность сетей любого масштаба. 

В отличие  от обычных proxy-серверов, выполняющих обработку каждого сетевого пакета в отдельности с существенной загрузкой центрального процессора, PIX Firewall использует специальную не UNIX-подобную операционную систему реального времени, обеспечивающую более высокую производительность. 

Основой высокой производительности межсетевого  экрана PIX Firewall является схема защиты, базирующаяся на применении алгоритма адаптивной безопасности (adaptive security algorithm – ASA), который эффективно скрывает адреса пользователей от хакеров. 

Благодаря применению технологии «сквозного посредника» (Cut-Through Proxy) межсетевой экран Cisco PIX Firewall также обеспечивает существенное преимущество в производительности по сравнению с экранами-«посредниками» на базе ОС UNIX. Такая технология позволяет межсетевому экрану PIX работать значительно быстрее, чем обычные proxy-экраны. 

Межсетевой  экран Cisco Secure PIX Firewall также позволяет избежать проблемы нехватки адресов при расширении и изменении IP сетей. Технология трансляции сетевых адресов Network Address Translation (NAT) делает возможным использование в частной сети как существующих адресов, так и резервных адресных пространств. Например, это позволяет использовать всего лишь один реальный внешний IP адрес для 64 тысяч узлов внутренней частной сети. PIX также может быть настроен для совместного использования транслируемых и нетранслируемых адресов, позволяя использовать как адресное пространство частной IP сети, так и зарегистрированные IP адреса. 

Для повышения  надежности межсетевой экран PIX Firewall предусматривает возможность установки в сдвоенной конфигурации в режиме «горячего» резервирования, за счет чего в сети исключается наличие единой точки возможного сбоя. Если два PIX-экрана будут работать в параллельном режиме и один из них выйдет из строя, то второй в прозрачном режиме подхватит исполнение всех функций обеспечения безопасности. 

Основные  возможности:

• Производительность до 1,67 Гбит/сек, поддержка интерфейсов Ethernet, Fast Ethernet и Gigabit Ethernet
• Строгая система защиты от НСД на уровне соединения
• Технология Cut Through Proxy – контроль входящих и исходящих соединений
• До 10 сетевых интерфейсов (до 100 виртуальных интерфейсов для Firewall Services Module для Catalyst 6500 и Cisco 7600) для применения расширенных правил защиты
• Поддержка протокола сетевого управления SNMP
• Учетная информация с использованием ведения журнала системных событий (syslog)
• Прозрачная поддержка всех основных сетевых услуг (WWW, FTP, Telnet, Archie, Gopher)
• Поддержка сигнализаций для передачи голоса по IP (VoIP)
• Поддержка мультимедиа-приложений, (Progressive Networks RealAudio & RealVideo, Xing StreamWorks, White Pines CU-SeeMe и др.)
• Поддержка видеоконференций по протоколу H. 323, включая Microsoft NetMeeting, Intel Aнтернет Video Phone и White Pine Meeting Point
• Поддержка взаимодействий клиент–сервер: Microsoft Networking, Oracle SQL*Net
• Безопасная встроенная операционная система реального времени
• Нет необходимости обновления ПО на рабочих станциях и маршрутизаторах
• Полный доступ к ресурсам сети Интернет для легальных пользователей внутренней сети
• Совместимость с маршрутизаторами, работающими под управлением ПО Cisco IOSTM
• Средства централизованного администрирования – CiscoWorks VMS
• Встроенное ПО PIX Device Manager (начиная с версии 6.0 PIX OS) для управления отдельным устройством из графического пользовательского интерфейса
• Оповещение о важных событиях на пейджер или по электронной почте
• Интеграция с другими решениями компании Cisco