Опубликован: 10.03.2009 | Уровень: специалист | Доступ: свободно
Лекция 1:

Сетевая безопасность. План защиты

Лекция 1 || Лекция 2 >
Аннотация: В данной лекции основное внимание уделено проблемам безопасности и составлению плана защиты сети. Рассматриваются основные принципы, которые учитываются при обеспечении сетевой безопасности.

Независимо от объема компьютерной сети проблема защиты информации и общей сетевой безопасности никогда не потеряет своей актуальности по той причине, что термин сетевая безопасность включает в себя не только процедуры защиты информации от хищения или изменения, но и, главным образом, комплекс мероприятий по предотвращению в сети всевозможных сбоев. Таким образом, специалист по сетевой безопасности должен владеть не только инструментами по безопасному хранению и передаче информации, но и адекватно реагировать на системные сбои.

Как и в любом проекте, при разработке системы безопасности сетевой инфраструктуры необходимо руководствоваться известным принципом "цель оправдывает средства". При чем этот принцип необходимо учитывать со всех сторон. То есть при разработке системы сетевой безопасности необходимо четко определить цель – защитить автоматические бизнес-процессы, протекающие на предприятии и, во-вторых, выбрать для решения этой задачи адекватные средства. Для этого необходимо определить требования руководства предприятия к защите сети в форме единого документа. В дальнейшем единый документ, согласованный сторонами, должен быть дополнен планом выполнения поставленных задач. Анализ поставленных руководством требований к безопасности сети необходимо проводить, учитывая следующие факторы:

  1. сметная стоимость проекта (успешная реализация любого проекта, в т.ч. связанного с обеспечением сетевой инфраструктуры зависит от реальных финансовых возможностей предприятия);
  2. соответствие системы безопасности требованиям закона (зачастую данные определенного типа и методы работы с ними подчинены законодательному регулированию, например, личные данные работников; необходимо, чтобы проектируемая система безопасности отвечала государственным стандартам по работе с данными);
  3. принцип совместимости (проект должен реализовываться "малой кровью" с максимальным использованием возможностей уже имеющихся на предприятии систем);
  4. принцип масштабируемости (при разработке системы безопасности всегда необходимо учитывать возможный в будущем рост корпоративной сети);
  5. принцип удобства сопровождения (система документирования является одной из основных частей безопасности, поэтому возможность эффективной поддержки системы должна быть "поставлена во главу угла");
  6. удобство работы конечных пользователей (в случае если система безопасности сети внедряется на предприятии управленческим решением, то, как правило, это вызывает негативную реакцию со стороны конечных пользователей в силу того, что им приходится отказываться от выработанных привычек при работе с сетью; негативное отношение персонала может свести на нет всю проделанную работу, поэтому при разработке и внедрении систем защиты корпоративной сети с пользователями необходимо вести разъяснительную работу).

Таким образом, очевидна необходимость проведения аудита уже имеющихся на предприятии систем, опрос конечных пользователей системы и интервьюирование руководства предприятия для того, чтобы анализ адекватности системы безопасности корпоративной сети можно было успешно завершить. Результатом проведенного анализа должен стать комплект документов, содержащий описание аппаратных и программных средств, используемых в корпоративной сети, описание автоматизированных бизнес-процессов, которые необходимо защитить, классификацию информации, используемой организацией, характеристику рисков используемой системы и описание влияния сотрудников на автоматизированную систему. Необходимо выяснить для чего используются те или иные данные, каков будет ущерб от ошибок или нехватки данных, а также определить степень конфиденциальности той или иной информации, поскольку данные разных типов требуют разной степени защиты. В данном случае цена ошибки или угрозы определяет количество затрат на защиту данных от этих ошибок и угроз.

Не нужно забывать, что одним из самых уязвимых мест в автоматизированной системе является человек. При разработке системы безопасности для последующего разграничения прав доступа к ресурсам и полномочий на действия в корпоративной сети необходимо иметь структурную схему предприятия и связанную с ней схему прав и полномочий сотрудников с выделением границ безопасности.

План защиты сети должен состоять из следующих структурных элементов:

  1. описание способов профилактики и устранения последствий атак на корпоративную сеть ;
  2. применяемые базовые принципы защиты информации;
  3. методы моделирования угроз;
  4. описание ответных действий при атаке;
  5. описание процедуры аварийного восстановления;
  6. описание сетевых сегментов.

В этой связи под базовыми принципами защиты информации необходимо понимать следующее:

  1. принцип открытости системы (использование общепринятых стандартизированных алгоритмов зачастую гораздо лучше и эффективнее, чем использование малоизвестных или самостоятельно разработанных защитных алгоритмов);
  2. принцип простоты (при взаимодействии с конечным пользователем система защиты должна быть простой, чтобы не создать путаницу; сложные механизмы должны быть отделены от пользователя);
  3. принцип минимальной уязвимости (в случае если нужно защитить информацию от копирования, нужно просто снять с системных блоков пишущие устройства, а не применять сложных прав доступа к ним);
  4. принцип наименьших привилегий (по умолчанию все порты и доступ к файлам для пользователей закрыты, сами пользователи разделены на группы и получают минимальных набор прав, необходимый для выполнения их производственных функций);
  5. принцип контроля (всегда необходимо контролировать состояние системы, поддерживая ее техническое состояние на актуальном уровне, при этом также необходимо контролировать поведение администратора системы с помощью аудита, не забывая, что человек является слабым звеном в системе).

При разработке плана защиты около 30 процентов времени необходимо выделять моделированию угроз. В конечном итоге это снизит риск уязвимости системы. Процесс моделирования угроз необходимо проводить следующим образом:

  1. сформировать команду по моделированию (в нее должны входить специалисты, имеющие опыт работы с внедряемым оборудованием и программным обеспечением);
  2. использовать данные анализа, проведенного на предыдущих этапах построения концептуального плана защиты (на этой стадии выявляются недостатки собранной и разработанной к данному моменту документации);
  3. поиск угроз (обсуждаются и прорабатываются все высказанные варианты атак с указанием степени их опасности и разработкой плана реакции на каждую из угроз);
  4. выбор механизмов и методов предотвращения смоделированных угроз (при выборе технических средств необходимо учитывать их совместимость с уже имеющимися в корпоративной сети устройствами и программами. После проведения аудита имеющихся систем необходимо иметь список их технических ограничений для того, чтобы можно было в полной мере использовать возможности нового оборудования и программ и во избежание конфликтов новых систем с уже имеющимися).

После выбора технических средств реализации системы безопасности необходимо позаботиться о трех важных аспектах, два из которых являются техническими ( спланировать процедуры восстановления и обсудить возможность сегментирования сети ), а третий – психологический (это публичная реакция на атаку корпоративной сети ).

Разделение сети на обособленные сегменты должно обеспечивать соответствие ее физической и логической инфраструктур. Компьютеры, выполняющие сходные задачи должны объединяться в группы. Разным группам компьютеров в зависимости от их задач требуется разная степень защиты, реализуемая разными механизмами. Сегментированная сеть понятнее в администрировании, т.к. разные администраторы четко знают пределы своей ответственности.

Процедуры экстренного восстановления нельзя сбрасывать со счетов, поскольку часто от скорости восстановления системы после сбоя зависит количество убытков организации. Поэтому при разработке плана защиты сети необходимо утвердить стратегию архивации, создать специальную группу администраторов, занимающихся восстановлением.

Что касается психологического аспекта, необходимо учесть, что активное внедрение в сознание пользователей информации о защите системы почти столь же эффективно, как и непосредственное наличие этой системы защиты. В случае обнаружения атаки на корпоративную сеть и ее успешного отражения, необходимо доводить информацию об этом до сведения сотрудников. Подобная информация остановит большинство внутренних атак на сеть, которые могли быть предприняты сотрудниками предприятия.

Лекция 1 || Лекция 2 >
Евгений Виноградов
Евгений Виноградов

Прошел экстерном экзамен по курсу перепордготовки "Информационная безопасность". Хочу получить диплом, но не вижу где оплатить? Ну и соответственно , как с получением бумажного документа?

Илья Сидоркин
Илья Сидоркин

Добрый день! Подскажите пожалуйста как и когда получить диплом, после сдичи и оплаты?????

Равиль Латыпов
Равиль Латыпов
Россия, Казань, Казанский Национальный Исследовательский Технический Университет