Подсистемы в составе СЗПД
11.1. Подсистемы в составе СЗПД
В соответствии с руководящими документами регуляторов, рассмотренных в предыдущих лекциях, СЗПД может содержать до 10 подсистем, среди которых подсистема антивирусной защиты, защиты от утечки по техническим каналам, подсистема обеспечения безопасности межсетевого взаимодействия, анализа защищенности и выявления уязвимостей, криптографической защиты информации, подсистема обнаружения вторжений. В таблице 11.1 приведена информация о подсистемах, которые должны быть внедрены в зависимости от класса ИСПД в соответствии с руководящими документами ФСТЭК.
Класс и тип ИСПД | Антивирус-ная защита | Подсистема управления доступом, регистрации и учета | Подсистема обеспечения целостности | Анализ защищенности | Подсистема обнаружения вторжений | Подсистема безопасности межсетевого взаимодействия | Подсистема криптогра-фической защиты информации |
---|---|---|---|---|---|---|---|
ИСПД 1кл. | распред. | + | + | + | + | + | + |
ИСПД 1 кл. | локальная | + | + | + | - | - | + |
ИСПД 2 кл. | распред. | + | + | + | + | + | - |
ИСПД 2 кл. | локальная | + | + | + | - | - | - |
ИСПД 3 кл. | распред. | + | + | + | + | + | - |
ИСПД 3 кл. | локальная | + | + | + | - | - | - |
Рассмотрим функции, которые должна выполнять каждая из перечисленных в таблице подсистем.
- подсистема управления доступом, регистрации и учета. Данная подсистема предназначена для защиты от несанкционированного доступа и реализуется с помощью средств блокирования НСД, регистрации попыток доступа и сигнализации. Средства данной группы могут быть программными или программно-аппаратными. Функция регистрации реализуется журналированием действий и операций в ИСПД, сигнализации - извещение в случае выявления нарушения нормального режима функционирования ИСПД или попыток НСД к ИСПД.
- подсистема обеспечения целостности. Данная подсистема может быть реализована с помощью средств операционной системы, СУБД или с помощью специальных программных средств. Функция контроля целостности основывается, как правило, на вычислении контрольных сумм, хэш-функциях или ЭЦП. В современных системах контроль целостности должен распространяться не только на отдельные компоненты системы, но и на распределенные конфигурации и потоки данных.
- подсистема антивирусной защиты предназначена для обеспечения безопасности обрабатываемых данных и программно-аппаратных средств системы. Реализуется с помощью антивирусных программ, основной функцией которых является выявление вредоносного программного кода (вируса) и удаление (по возможности) его из системы. Для современных антивирусных средств очень важным и необходимым качеством является способность обнаружения неизвестных ранее вирусов. В составе СЗПД антивирусные средства должны иметь систему централизованного управления и средства оповещения администратора или другого ответственного лица обо всех "нестандартных" событиях в ИСПД.
- подсистема обеспечения безопасности межсетевого взаимодействия ИСПД предназначена для разграничения доступа к компонентам ИСПД и обрабатываемым ПД при межсетевом взаимодействии. Функционал подсистемы реализуется с помощью программных и программно-аппаратных межсетевых экранов (МЭ). МЭ устанавливается на границе внутренней и внешней сети и предназначен для ограничения доступа пользователей во внешнюю сеть и фильтрации "подозрительных пакетов", поступающих из внешней сети во внутреннюю.
- подсистема анализа защищенности предназначена для контроля настроек операционных систем на рабочих станциях и серверах, средств защиты и сетевого оборудования. Функционал данной подсистемы реализуется с помощью специальных программ – сканеров. Сканеры обследуют сеть и ведут поиск "слабых" мест, таких как:
- слабые пароли и механизмы аутентификации в целом;
- "люки" в программах;
- неправильная настройка межсетевых экранов, операционных систем, баз данных и пр.;
- использование сетевых протоколов, имеющих уязвимости.
- открытые порты.
Сканеры находят только известные уязвимости, детальным образом описанные в их базе данных. В этом они похожи на антивирусы, работающие по сигнатурному методу обнаружения вирусов. Функционировать они могут на сетевом уровне, уровне операционной системы и уровне приложения. Помимо выявления уязвимостей средства анализа защищенности могут помочь построить топологию сети: выявить узлы корпоративной сети, протоколы и сервисы, приложения и пр. Как правило, эти средства также дают рекомендации и пошаговые инструкции для устранения выявленных уязвимостей.
- подсистема обнаружения вторжений предназначена для выявления попыток НСД к ИСПД. Реализуется с помощью систем обнаружения вторжений – IDS, строящихся на основе информации об этапах проведения атак, поведении злоумышленника и пр. Выделяют два класса систем – узловые (HIDS) и сетевые (NIDS). HIDS располагается на узле и отслеживает атаки только на этот узел, NIDS контролирует весь сетевой трафик на наличие признаков атак.
- Подсистема криптографической защиты информации. Как правило, предназначена для защиты ПД при передаче по открытым каналам связи или в несегментированной сети. Криптографические средства также могут применяться при хранении, обработке ПД, при аутентификации пользователей. Данное требование выдвигается только к ИСПД 1 класса.
В ряде случаев необходима также подсистема защиты от утечки по техническим каналам. Данная подсистема предназначена для защиты акустической, видовой информации, а также от утечек информации через ПЭМИН. При этом выделяются пассивные и активные меры защиты. Пассивные меры защиты направлены на ослабление побочных информационных сигналов и наводок до уровня, когда их невозможно выделить средством съема на фоне естественных шумов. Пассивные меры защиты чаще всего реализуются на этапе строительства или реконструкции зданий и могут включать в себя: звукоизоляцию помещений, экранирование отдельных элементов ИСПД и заземление. К пассивным мерам защиты можно также отнести установку на объекте технических средств и систем ограничения и контроля доступа. Активные меры заключаются в создании маскирующих акустических и вибрационных помех. Для создания таких помех используются, как правило, генераторы шума или прицельных помех. Для уничтожения закладных устройств в телефонной линии могут использоваться специальные генераторы импульсов, которые фактически выжигают "жучков". Подсистема защиты от утечки по техническим каналам обязательна для ИСПД 1 класса или если в частной модели угроз имеются соответствующие угрозы утечки.
В качестве серверных и клиентских операционных систем можно использовать операционные системы Windows: Windows Server 2003 и 2008, Windows XP и Vista.
Далее в ходе лекции мы рассмотрим подробнее антивирусные программы, средства обнаружения вторжений и межсетевые экраны, так как именно эти средства нашли широкое применение в современных информационных системах и обязательны для всех классов ИСПД.
11.2. Подсистема антивирусной защиты
Подсистема антивирусной защиты предназначена для защиты информационной системы от вирусов (вредоносных программ) и реализуется с помощью антивирусных программ.
Для обнаружения вирусов антивирус использует 2 метода:
- сигнатурный
- аномальный.
Сигнатурный метод основан на сравнении подозрительного файла с образцами известных вирусов. Сигнатурой вируса называется совокупность характеристик, позволяющих идентифицировать данный вирус или присутствие вируса в файле. Сигнатуры известных вирусов хранятся в антивирусной базе. При этом одна сигнатура может соответствовать группе похожих вирусов. Преимуществом данного метода является гарантированность обнаружения вируса, сигнатура которого имеется в базе. Антивирусные базы регулярно обновляются производителем антивируса. При использовании антивирусов, которые используют сигнатурный метод, необходимо регулярно обновлять антивирусную базу. В противном случае антивирус не сможет находить новые вирусы, которые появляются в Интернете каждый день. Изначально все антивирусные программы работали с сигнатурным методом, но присутствие такого недостатка как невозможность обнаружения ранее неизвестных вирусов привело к появлению второго метода – эвристического анализа.
Эвристический метод представляет собой совокупность приблизительных методов обнаружения вирусов, основанных на тех или иных предположениях. Как правило, выделяют следующие эвристические методы:
поиск вирусов, похожих на известные. Данный эвристический метод основан на предположении о том, что новый вирус может иметь сходные черты с уже известными вирусами. В данном методе в системе ищутся файлы или части файлов, которые соответствуют сигнатуре не полностью (как в сигнатурном методе), а частично.
Поиск аномального поведения (аномальный метод)
Данный метод основан на предположении о том, что при заражении системы в ней начинают происходить события, не свойственные работе системы в нормальном режиме. Примером таких действий может быть удаление файла, запись в определенные области реестра, перехват данных с клавиатуры, рассылка писем и т.п.
Достоинством эвристического метода является способность находить новые вирусы, сигнатуры которых неизвестны. Недостатком же является большое количество ложных срабатываний, то есть отнесение нормальных файлов к вирусам.
В составе антивируса обязательно должны присутствовать следующие модули:
модуль обновления – доставляет обновленные базы сигнатур пользователю антивируса. Модуль обновления обращается к серверам производителя и скачивает обновленные антивирусные базы.
модуль планирования – предназначен для планирования действий, которые регулярно должен выполнять антивирус. Например, проверять компьютер на наличие вирусов и обновлять антивирусные базы. Пользователь может выбрать расписание выполнения данных действий.
модуль управления – предназначен для администраторов крупных сетей. Данные модули содержат интерфейс, позволяющий удаленно настраивать антивирусы на узлах сети, а также способы ограничения доступа локальных пользователей к настройкам антивируса.
модуль карантина – предназначен для изолирования подозрительных файлов в специальное место – карантин. Лечение или удаление подозрительного файла не всегда является возможным, особенно если учесть ложные срабатывания эвристического метода. В этих случаях файл помещается в карантин и не может выполнять какие-либо действия оттуда.
Для обеспечения антивирусной защиты персональных данных можно воспользоваться продуктами компании "Лаборатория Касперского", которые имеют сертификаты ФСТЭК. В частности, на рабочие станции можно установить Антивирус Касперского 6.0 для Windows Workstation, на рабочее место администратора – Kaspersky Administration Kit 6.0, на сервера - Антивирус Касперского 6.0 для Windows Servers. Если ИСПД подключена к Интернету, антивирусы должны быть установлены на всех узлах корпоративной сети.
11.3. Подсистема обнаружения вторжений
Подсистема обнаружения вторжений предназначена для обнаружения несанкционированных попыток доступа к системе. Системы обнаружения вторжений (IDS) работают наподобие сигнализации здания. Существует два типа IDS- узловые (HIDS) и сетевые (NIDS).
HIDS располагается на отдельном узле и отслеживает признаки атак на этот узел.Узловые IDS представляют собой систему датчиков, которые отслеживают различные события в системе на предмет аномальной активности. Существуют следующие типы датчиков:
- Анализаторы журналов – чаще всего контролируются записи системного журнала и журнала безопасности.
- Датчики признаков – сопоставляют между собой признаки определенных событий, связанных либо со входящим трафиком, либо с журналами.
- Анализаторы системных вызовов – анализируют вызовы между приложениями и операционной системой на предмет соответствия атаке. Данные датчики носят превентивный характер, то есть могут предотвратить атаку в отличие от предыдущих двух типов.
- Анализаторы поведения приложений- анализируют вызовы между приложениями и операционной системой на предмет того, разрешено ли приложению то или иное действие.
- Контролеры целостности файлов – отслеживают изменения в файлах с помощью контрольных сумм или ЭЦП.
NIDS располагается на отдельной системе и анализирует весь трафик сети на признаки атак. В данные системы встроена база данных признаков атак, на которые система анализирует сетевой трафик.
В случае обнаружения атаки IDs принимает пассивные действия. Пассивные действия заключаются в уведомлении соответствующего должностного лица, например, администратора безопасности, о факте атаки. Активная обработка событий заключается в попытке остановить атаку – завершить подозрительный процесс, прервать соединение или сеанс. Системы обнаружения вторжений также, как и антивирусы, используют сигнатурный и аномальный метод обнаружения атак. В контексте обеспечения безопасности персональных данных, ФСТЭК рекомендует использовать для ИСПД 3 и 4 класса – IDS с сигнатурным методом, для 1 и 2 класса – с сигнатурным и аномальным методом обнаружения вторжений. К таким продуктам можно отнести Cisco Intrusion Detection System/Intrusion Preventing System (IPS/IDS), который является основным компонентом решений Cisco Systems по обнаружению и отражению атак. Наряду с сигнатурым методом обнаружения в Cisco IDS/IPS используются и уникальные алгоритмы, отслеживающие аномалии в сетевом трафике и в поведении сетевых приложений. Это позволяет обнаруживать как известные, так и многие неизвестные атаки.
11.4. Межсетевые экраны
Межсетевой экран (МЭ) в СЗПД – это устройство обеспечения безопасного межсетевого взаимодействия, в частности, при подключении локальной сети организации к Интернету. МЭ контролирует доступ к сети, блокируя весь трафик, кроме разрешенного. Фильтрация производится на основе критериев, заданных администратором.
Существует два метода настройки МЭ:
- изначально "запретить всё", а затем определить то, что следует разрешить.
- изначально "разрешить всё", а затем определить то, что следует запретить.
Очевидно, что первый вариант является более безопасным, так как запрещает всё и, в отличие от второго, не может пропустить нежелательный трафик.
Процедура фильтрации представляет собой анализ заголовка каждого пакета, проходящего через МЭ, и передача его дальше по маршруту в том случае, если он удовлетворяет заданным правилам фильтрации. Таким образом удаляются пакеты, потенциально опасные для ИСПД.
Помимо функции фильтрации МЭ позволяет скрыть реальные адреса узлов в защищаемой сети с помощью трансляции сетевых адресов - NAT ( Network Address Translation ). При поступлении пакета в МЭ, он заменяет реальный адрес отправителя на виртуальный. При получении ответа МЭ выполняет обратную процедуру.
МЭ могут реализовываться как с помощью программного обеспечения, так и программно-аппаратного. МЭ устанавливается на границе защищаемой внутренней сети и внешней. Для обеспечения безопасности персональных данных ФСТЭК рекомендует использовать для ИСПД 3 и 4 классов - МЭ не ниже пятого уровня защищенности, в ИСПД 2 класса – МЭ не ниже четвертого уровня защищенности, в ИСПД
1 класса – МЭ не ниже третьего уровня защищенности.
В качестве МЭ можно использовать Microsoft ISA Server 2006 SE или Cisco PIX Firewall PIX-515E ver. 6.3, которые обладают соответствующими лицензиями ФСТЭК России.
При выборе конкретных средств для реализации обеспечения безопасности ПД необходимо использовать только сертифицированные средства защиты информации. Реестры сертифицированных средств публикуются на сайтах ФСТЭК и ФСБ России.