Лекции по "Комплексной системе защиты информации"

   Контроль  за соблюдением соответствия реального  состояния АС требованиям положений  политики безопасности предполагает периодический  сбор информации о значениях контролируемых настроек сетевых сервисов, компьютеров, прав доступа пользователей и т.д. и их сравнение с настройками, указанными в организационно-распорядительных документах. При обнаружении несоответствия возможна корректировка как прав доступа пользователя, так и положений организационно-распорядительных документов.

   Без разработки детальной политики безопасности контроль за неизменностью тех или  иных настроек не имеет смысла, так  как в этом случае невозможно определить ни законность тех или иных настроек, ни возможность их изменения теми или иными должностными лицами АС.(10) 
 
 
 
 
 
 

15. Принципы и методы  планирования функционирования  КСЗИ 

Принципы  функционирования КСЗИ: 

• разделение  и минимизация  полномочий по доступу к обрабатываемой информации и процедурам обработки, т.е. предоставление пользователям минимума строго определенных полномочий, достаточных для успешного выполнения ими своих служебных обязанностей, с точки зрения автоматизированной обработки доступной им конфиденциальной информации;
• полнота контроля и регистрации попыток несанкционированного доступа, т.е.  необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации без ее предварительной регистрации;
• обеспечение надежности системы защиты, т.е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или преднамеренных ошибок пользователей и обслуживающего персонала;
• обеспечения контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты;
• «прозрачность» системы защиты информации для общего, прикладного программного обеспечения и пользователей АС;
• экономическая целесообразность использования системы защиты, выражающаяся в том, что стоимость разработки и функционирования системы защиты информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации АС без системы защиты.

Методы  функционирования КСЗИ. 

1. Препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).
2. Управление доступом – метод защиты информации регулированием использования всех ресурсов АС (баз данных, программных и технических средств). Управление доступом включает следующие функции защиты:

• идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);
• опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
• проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
• разрешение и создание условий работы в пределах установленного регламента;
• регистрацию (протоколирование) обращений к защищаемым ресурсам;
• реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.

3. Маскировка – метод защиты информации путем ее криптографического закрытия. При передачи информации по каналам связи большой протяженности этот метод является единственно надежным.

4. Регламентация – метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.
5. Принуждение – такой метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
6. Побуждение – такой метод защиты, который побуждает пользователя и персонал системы не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных).(59)

 

      Рассмотренные методы обеспечения безопасности реализуются  на практике за счет применения различных  средств  защиты:

• технические (аппаратные и физические);
• программные;
• организационные;
• законодательные;
• морально-этические.

 
 
 
 
 
 
 

16. Сущность и содержание контроля функционирования КСЗИ 
 

      Подсистема  генерации отчетов - немаловажный элемент  системы анализа защищенности. Без  нее трудно составить мнение о  том, каков уровень защищенности объектов АС. На основе созданных этой системой отчетов администратор безопасности строит всю свою дальнейшую деятельность - изменяет политику безопасности, устраняет обнаруженные уязвимости, реконфигурирует средства защиты, готовит отчеты руководству и т.д. При этом хорошая подсистема генерации отчетов должна обладать следующими свойствами:

      - наличие в отчетах как текстовой  информации, так и графических  данных, что позволяет удовлетворить  практически все требования по  созданию удобных в понимании  и содержательных отчетов;

      - наличие в отчетах не только  информации об обнаруженной уязвимости, но и об уязвимых операционных системах, вариантах ложного обнаружения, методах устранения, ссылках на сервера производителей, и дополнительной информации;.

      - возможность выборки из всей  собранной информации только  нужных данных по заданным критериям (интервал времени, название уязвимости, степень риска, операционная система, тип уязвимости и т.д.);

      - возможность сортировки данных  в создаваемых отчетах по различным  параметрам (по имени, дате, по  степени риска и т.д.);

• возможность создания отчетов для различных категорий специалистов;

  Как минимум, можно выделить три таких  категории: руководство компании, руководство  среднего звена и технические  специалисты. В отчетах первой категории  не содержится никакой технической  информации об обнаруженных уязвимостях или атаках. Они содержат описание общего состояния защищенности корпоративной сети. Отчеты второй категории могут содержать более подробную техническую информацию, например, описание обнаруженных уязвимостей или атак, но без указания мер по их устранению. К данной категории относятся и так называемые сравнительные отчеты (trend analysis), которые показывают тенденции в изменении уровня защищенности заданных узлов корпоративной сети. К последней категории отчетов можно отнести технические отчеты, содержащие не только подробное описание каждой из обнаруженных проблем, но и рекомендации по их устранению, а также ссылки на дополнительные источники информации. Такие категории отчетов приняты в Internet Scanner и Cisco Secure Scanner.

• возможность экспорта создаваемых отчетов;

  Помимо  печати отчетов на принтере и сохранения отчета в файле некоторые системы  обнаружения атак могут экспортировать свои отчеты в другие приложения, например, Lotus Notes или MS Exchange.

• поддержка различных форматов создаваемых отчетов.

    Как правило, системы обнаружения  атак могут создавать отчеты  в двух-трех форматах: HTML, CSV, и  в своем собственном формате.  Однако, в зависимости от операционной  системы, под управлением которой  работает система обнаружения  атак, установленных на узле приложений и других параметров, она может создавать отчеты и в других форматах. Например, в формате Microsoft Word, Excel, ODBC, ODBC, DIF (Data Interchange Format), текстовом и т.д.

• возможность создания своих шаблонов отчетов;

  Зачастую имеющихся шаблонов по разным причинам недостаточно. Например, если в организации принят свой собственный шаблон отчетов (с указанием логотипа компании, автора отчета, даты и времени создания, грифа и т.д.). В этом случае выбираемая система обнаружения атак должна иметь механизм подключения и создания своих собственных отчетов. Такими механизмами обладают системы Internet Scanner, Cisco Secure Scanner и другие.(36) 
 
 
 
 

Средства  расследования инцидентов 

      Средства  расследования инцидентов предназначены  для обнаружения отклонений от политики безопасности и обеспечения расследования в случае возникновения инцидентов безопасности.

      Можно выделить два класса таких средств.

      Первый - содержит системы, которые только собирают журналы регистрации с  удаленных компьютеров и хранят их в центральной базе данных. По мере наполнения этой базы, с помощью встроенных в эти средства механизмов администратором безопасности осуществляется выборка или фильтрация событий и их анализ с точки зрения безопасности.

        Второй класс средств является более интеллектуальным и предлагает администраторам свой взгляд на безопасность сети. Эти средства сами проводят первичный анализ и корреляцию событий от разнородных приложений и разных компьютеров и предлагают сотрудникам отделов защиты информации или внутреннего аудита подготовленные отчеты с выводами о произошедших за определенный период (или согласно другому критерию) инцидентах безопасности.

   В качестве примера указанных средств  можно назвать системы SecureLog Manager и SAFEsuite Decisions, каждая из которых позволяет решить свой круг задач. SecureLog Manager, разработанная компанией Internet Security Systems относится к первому классу средств расследования инцидентов и позволяет решить следующие задачи:

• Централизованный сбор и хранение системных журналов регистрации;
• Архивирование собранных журналов регистрации;
• Обработку журналов для дальнейшего анализа.

SLM поддерживает  следующие журналы регистрации  и операционные системы:

• Security EventLog, Application EventLog и System EventLog для Windows NT и Windows 2000;
• Syslog и sulog для Solaris и HP UX (в текущей версии).

   По  мере развития системы SecureLog Manager планируется  расширить число поддерживаемых операционных систем и типов журналов регистрации, а также интегрировать ее с системами анализа защищенности и обнаружения атак.

   Находясь  в низшей ценовой нише, система SecureLog Manager не может полностью решить задачи корреляции событий от разных компьютеров, а также пока не умеет анализировать не системные журналы регистрации, например, журналы регистрации маршрутизаторов, межсетевых экранов или других средств защиты. Зато это умеет делать система SAFEsuite Decisions также разработанная компанией Internet Security Systems. Система SAFEsuite Decisions позволяет собирать данные от систем анализа защищенности, систем обнаружения атак, межсетевых экранов и других средств защиты, расположенных в различных местах территориально-распределенной корпоративной сети, что позволяет "окинуть взглядом" безопасность всей сети в целом. При помощи данной системы персонал, отвечающий за обеспечение информационной безопасности, сможет концентрировать свое внимание на основных проблемах, связанных с уязвимостью наиболее критичных участков и узлов корпоративной сети.

   Система SAFEsuite Decisions использует технологию SAFElink, которая позволяет собирать данные от:

• Security EventLog, Application EventLog и System EventLog для Windows NT и Windows 2000;
• Системы анализа защищенности на уровне сети Internet Scanner;
• Системы анализа защищенности на уровне ОС System Scanner;
• Системы анализа защищенности на уровне СУБД Database Scanner;
• Системы обнаружения атак RealSecure;
• Межсетевого экрана Check Point VPN-1&Firewall-1;
• Межсетевого экрана NAI Gauntlet;
• Маршрутизаторов Cisco, Nortel и т.д.