Комплексное управление безопасностью информационной системы в ЛВС ОАО ХК Дальзавод (стр. 5 из 8)
- отсутствие средств выявления и защиты от вирусов,
5.Раскрытие трафика ЛВС - происходит в результате получения доступа к информации или ее чтения человеком и возможного ее разглашения случайным или неавторизованным намеренным образом тогда, когда информация передается через ЛВС.
Уязвимые места:
- неадекватная физическая защита устройств ЛВС и среды передачи,
- передача открытых данных с использованием широковещательных протоколов передачи,
- передача открытых данных (незашифрованных) по среде ЛВС.
6.Подмена трафика ЛВС - происходит в результате появлений сообщений, которые имеют такой вид, как будто они посланы законным заявленным отправителем, а на самом деле сообщения посланы не им.
Уязвимые места:
- передача трафика ЛВС в открытом виде,
- отсутствие отметки даты / времени (показывающей время посылки и время получения),
- отсутствие механизма кода аутентификации сообщения или цифровой подписи,
- отсутствие механизма аутентификации в реальном масштабе времени (для защиты от воспроизведения).
7.Неработоспособность ЛВС - происходит в результате реализации угроз, которые не позволяют ресурсам ЛВС быть своевременно доступными.
Уязвимые места:
- неспособность обнаружить необычный характер трафика (то есть намеренное переполнение трафика),
- неспособность перенаправить трафик, выявить отказы аппаратных средств ЭВМ, и т.д.,
- конфигурация ЛВС, допускающая возможность выхода из строя из-за отказа в одном месте,
- неавторизованные изменения компонентов аппаратных средств ЭВМ (переконфигурирование адресов на автоматизированных рабочих местах, изменение конфигурации маршрутизаторов или хабов, и т.д.),
- неправильное обслуживание аппаратных средств ЛВС,
- недостаточная физическая защита аппаратных средств ЛВС.
6.2. Службы и механизмы защиты
Служба защиты - совокупность механизмов, процедур и других управляющих воздействий, реализованных для сокращения риска, связанного с угрозой. Например, службы идентификации и аутентификации (опознания) помогают сократить риск угрозы неавторизованного пользователя. Некоторые службы обеспечивают защиту от угроз, в то время как другие службы обеспечивают обнаружение реализации угрозы. Примером последних могут служить службы регистрации или наблюдения. Следующие службы будут обсуждены в этом разделе:
1. идентификация и установление подлинности - является службой безопасности, которая помогает гарантировать, что в ЛВС работают только авторизованные лица.
Механизмы защиты:
- механизм, основанный на паролях,
- механизм, основанный на интеллектуальных картах
- механизм, основанный на биометрии,
- генератор паролей,
- блокировка с помощью пароля,
- блокировка клавиатуры,
- блокировка ПК или автоматизированного рабочего места,
- завершение соединения после нескольких ошибок при регистрации,
- уведомление пользователя о "последней успешной регистрации" и "числе ошибок при регистрации",
- механизм аутентификации пользователя в реальном масштабе времени,
- криптография с уникальными ключами для каждого пользователя.
2. управление доступом - является службой безопасности, которая помогает гарантировать, что ресурсы ЛВС используются разрешенным способом.
Механизмы защиты:
- механизм управления доступом, использующий права доступа (определяющий права владельца, группы и всех остальных пользователей),
- механизм управления доступом, использующий списки управления доступом, профили пользователей и списки возможностей,
- управление доступом, использующее механизмы мандатного управления доступом,
- детальный механизм привилегий.
3. конфиденциальность данных и сообщений - является службой безопасности, которая помогает гарантировать, что данные ЛВС, программное обеспечение и сообщения не раскрыты неавторизованным лицам.
Механизмы защиты:
- технология шифрования файлов и сообщений,
- защита резервных копий на лентах, дискетах, и т.д.,
- физическая защита физической среды ЛВС и устройств,
- использование маршрутизаторов, которые обеспечивают фильтрацию для ограничения широковещательной передачи (или блокировкой, или маскированием содержания сообщения).
4. целостность данных и сообщений - является службой безопасности, которая помогает гарантировать, что данные ЛВС, программное обеспечение и сообщения не изменены неправомочными лицами.
Механизмы защиты:
- коды аутентификации сообщения, используемые для программного обеспечения или файлов,
- использование электронной подписи, основанной на секретных ключах,
- использование электронной подписи, основанной на открытых ключах,
- детальный механизм привилегий,
- соответствующее назначение прав при управлении доступом (то есть отсутствие ненужных разрешений на запись),
- программное обеспечение для обнаружения вирусов,
- бездисковые автоматизированные рабочие места (для предотвращения локального хранения программного обеспечения и файлов),
- автоматизированные рабочие места без накопителей для дискет или лент для предотвращения появления подозрительного программного обеспечения,
5. контроль участников взаимодействия - является службой безопасности, посредством которой гарантируется, что объекты, участвующие во взаимодействии, не смогут отказаться от участия в нем. В частности, отправитель не сможет отрицать посылку сообщения (контроль участников взаимодействия с подтверждением отправителя) или получатель не сможет отрицать получение сообщения (контроль участников взаимодействия с подтверждением получателя).
Механизмы защиты:
- использование электронных подписей с открытыми ключами.
6. регистрация и наблюдение - является службой безопасности, с помощью которой может быть прослежено использование всех ресурсов ЛВС.
Реализация системы защиты информации осуществляется, исходя из предпосылки, что невозможно обеспечить требуемый уровень защищенности информационной системы только с помощью одного отдельного средства
(мероприятия) или с помощью их простой совокупности. Необходимо их системное согласование между собой (комплексное применение). В этом случае реализация любой угрозы сможет воздействовать на защищаемый объект только в случае преодоления всех установленных уровней защиты.
Структура КСЗИ
Проектирование проводится с учетом всех аспектов информационной безопасности, требований нормативных документов по защите информации РФ и конкретных условий применения, что позволяет получить целостную систему защиты информации, интегрированную в объект информатизации и подобрать оптимальный режим работы системы защиты.
7.1.1. Cisco PIX
Широкий спектр моделей Cisco Pix Firewall, ориентированных на защиту сетей предприятия разного масштаба, от предприятий малого бизнеса и заканчивая крупными корпорациями и операторами связи, обеспечивающих безопасность, производительность и надежность сетей любого масштаба.
В отличие от обычных proxy-серверов, выполняющих обработку каждого сетевого пакета в отдельности с существенной загрузкой центрального процессора, PIX Firewall использует специальную не UNIX-подобную операционную систему реального времени, обеспечивающую более высокую производительность.
Основой высокой производительности межсетевого экрана PIX Firewall является схема защиты, базирующаяся на применении алгоритма адаптивной безопасности (adaptive security algorithm – ASA), который эффективно скрывает адреса пользователей от хакеров.
Благодаря применению технологии «сквозного посредника» (Cut-Through Proxy) межсетевой экран Cisco PIX Firewall также обеспечивает существенное преимущество в производительности по сравнению с экранами-«посредниками» на базе ОС UNIX. Такая технология позволяет межсетевому экрану PIX работать значительно быстрее, чем обычные proxy-экраны.
Межсетевой экран Cisco Secure PIX Firewall также позволяет избежать проблемы нехватки адресов при расширении и изменении IP сетей. Технология трансляции сетевых адресов Network Address Translation (NAT) делает возможным использование в частной сети как существующих адресов, так и резервных адресных пространств. Например, это позволяет использовать всего лишь один реальный внешний IP адрес для 64 тысяч узлов внутренней частной сети. PIX также может быть настроен для совместного использования транслируемых и нетранслируемых адресов, позволяя использовать как адресное пространство частной IP сети, так и зарегистрированные IP адреса.
Для повышения надежности межсетевой экран PIX Firewall предусматривает возможность установки в сдвоенной конфигурации в режиме «горячего» резервирования, за счет чего в сети исключается наличие единой точки возможного сбоя. Если два PIX-экрана будут работать в параллельном режиме и один из них выйдет из строя, то второй в прозрачном режиме подхватит исполнение всех функций обеспечения безопасности.
Основные возможности:
- Производительность до 1,67 Гбит/сек, поддержка интерфейсов Ethernet, Fast Ethernet и Gigabit Ethernet
- Строгая система защиты от НСД на уровне соединения
- Технология Cut Through Proxy – контроль входящих и исходящих соединений
- До 10 сетевых интерфейсов (до 100 виртуальных интерфейсов для Firewall Services Module для Catalyst 6500 и Cisco 7600) для применения расширенных правил защиты
- Поддержка протокола сетевого управления SNMP
- Учетная информация с использованием ведения журнала системных событий (syslog)
- Прозрачная поддержка всех основных сетевых услуг (WWW, FTP, Telnet, Archie, Gopher)