div.main {margin-left: 20pt; margin-right: 20pt}
Скрытые проблемы защиты СПД
Задачу построения защищенных сетей передачи данных (СПД) сегодня
вряд ли можно отнести к разряду теоретических. Примеров организации
таких сетей насчитывается уже не один десяток и даже не одна сотня.
По СПД предприятия транспортируют значимую для них информацию —
начиная со сведений, необходимых для работы систем АСУ ТП, и
заканчивая данными о финансово-хозяйственной деятельности. Понятно,
что вопросы защиты информации в таких сетях определены давно, и
сегодня набор решений, используемых для этих целей, в достаточной
степени стандартизован (рис. 1). В общих чертах необходимо
осуществить следующие действия:
|
Рис. 1. Классификация решений по защите
информации в СПД |
проанализировать структуру информационного обмена,
сформировать политику безопасности в СПД и требования к
техническим решениям;
внедрить средства межсетевого экранирования, контролирующие
процесс информационного обмена (для защиты узлов сети передачи
данных);
построить виртуальную защищенную сеть (VPN), обеспечивающую
конфиденциальность и целостность передаваемых данных;
организовать защиту прикладных протоколов внешнего
информационного обмена и подавление несанкционированной активности
в СПД с помощью средств активного аудита;
организовать защиту средств, реализующих внешний
информационный обмен (как минимум, это почтовые и Web-серверы);
решить нормативные вопросы безопасности данных путем
применения сертифицированных средств защиты или сертификации уже
установленных (в ряде случаев требуется провести аттестацию
СПД).
Приведенный план действий не претендует на оригинальность и в той
или иной мере реализуется при построении любых защищенных СПД.
Однако опыт работы компании «Инфосистемы Джет» (как проектировщика
таких систем и одновременно аттестационного центра Гостехкомиссии
России) показывает, что на всех этапах построения СПД возникают
факторы, которые критичны для успешности будущей системы защиты.
Поскольку не все они лежат на поверхности, именно на таких «скрытых»
вопросах организации защиты СПД и хотелось бы остановиться
поподробнее.
Анализ информационного обмена и политика безопасности
Этап формирования политики безопасности (хотя он и не
сопровождается затратами на покупку оборудования и программного
обеспечения) является чрезвычайно важным, если не определяющим, для
успешного построения системы защиты. Именно он определяет, какими
средствами, в какой мере и насколько полно будут защищены
информационные ресурсы СПД.
Во-первых, политика безопасности строится для данной конкретной
СПД и в полной мере должна учитывать всю «местную» специфику.
Необходим детальный анализ логики информационного обмена, требующий
в ряде случаев привлечения внешнего проектировщика защищенных сетей.
Худшим вариантом будет слепое доверие заказчика к поставщикам
программно-технических решений, которые обещают бесплатно
разработать политику безопасности в дополнение к приобретаемым
средствам. Это типичный «бесплатный сыр», который чреват потерей
конфиденциальности или целостности информации, передаваемой по
СПД.
Во-вторых, учет «местной» специфики сети передачи данных не
означает, что подсистему безопасности нужно строить «с нуля».
Напротив, чрезвычайно полезно использовать стандарты — как
отечественные, так и международные (скажем, BS7799, BSI и
COBIT).
В-третьих, хотелось бы сказать несколько слов по поводу анализа
рисков. Вряд ли кто-нибудь будет оспаривать целесообразность такой
меры, но лишь немногие представляют, как это можно сделать
практически. Часто за процедуру анализа рисков выдается сканирование
сети с помощью того или иного средства, хотя поставщики
соответствующих решений прекрасно понимают, что между данными и
процессами общего не больше, чем между профессиональным медицинским
обследованием и самолечением. Полномасштабный анализ рисков
рекомендуется для больших СПД со сложной структурой информационного
обмена; нужно отдавать себе отчет, что данное мероприятие займет
месяц или два, а его стоимость может превысить 10 тыс. долл. Если же
сеть заказчика невелика и обеспечивает простые информационные
сервисы, следует рассмотреть стандартизованные перечни рисков,
которые публикуются в рекомендациях таких организаций, как NIST,
ISCA и SANS.
Межсетевые экраны
Межсетевые экраны (МЭ) уже много лет входят в обязательную
номенклатуру средств защиты СПД. Изобилие решений в этой области
(только коммерческих версий существует более 150) приводит к тому,
что вопрос о требованиях и критериях выбора стоит довольно остро.
Естественно, высокая конкуренция обусловливает стремление
производителей навязать потенциальному потребителю свою «систему
ценностей». В качестве важных полезных характеристик часто
фигурируют «удобный интерфейс пользователя» и «встроенная политика
безопасности». Однако ясно, что удобство пользовательского
интерфейса (хотя оно и желательно) может служить лишь вторичным
критерием — в конце концов, администратор тратит не очень много
времени на конфигурирование межсетевого экрана. Столь же мало
обоснованной выглядит рекомендация применять МЭ на базе ОС Windows,
поскольку вся компьютерная сеть построена на этой системе.
На мой взгляд, основными критериями выбора межсетевого экрана
являются три: глубина анализа трафика, собственная защищенность
экрана и соответствие требованиям производительности.
Глубина анализа определяется степенью осмысленной обработки
передаваемой информации. В простейшем случае это фильтрация данных
на сетевом уровне, в более сложных — фильтрация на уровне
виртуального соединения; самый детальный анализ проводят МЭ,
работающие на прикладном уровне. Именно последние обеспечивают
максимальную защищенность узлов СПД и могут быть рекомендованы для
установки почти во всех случаях. Экраны с меньшими возможностями
анализа информации оказываются эффективными при установке у
провайдера информационных услуг, который не может в полной мере
определять политику безопасности своих клиентов, но должен
гарантировать получение ими информационных сервисов.
Собственная защищенность означает принципиальную невозможность
перехода системы в открытое состояние. Полностью исключить такую
ситуацию можно опять-таки только с помощью шлюзов приложений, где
пакеты всякий раз переформировываются заново. Это, кстати, исключает
и попадание во внутренние узлы СПД пакетов, содержащих некорректные
поля или опасные опции.
Немаловажным моментом является соответствие МЭ требованиям к
производительности. Поскольку не существует общепризнанной методики
измерения производительности межсетевых экранов, стоит
порекомендовать провести испытания в условиях реальной среды
информационного обмена. Нужно обратить внимание и на устойчивость к
пиковым нагрузкам, которая традиционно высока для систем на
Unix-платформе.
На сегодня многие МЭ прошли сертификацию на соответствие
руководящим документам Гостехкомиссии России. Однако для реализации
заявленных в сертификате характеристик необходимо тщательно
соблюдать условия эксплуатации межсетевого экрана. К примеру, если
сертификат подтверждает соответствие МЭ третьему классу,
пользователь должен убедиться, что рабочие настройки экрана
функционируют на уровне приложений для всех типов задач,
поддерживаемых СПД.
Средства VPN
Средства VPN обеспечивают защиту информации, передаваемой по
общедоступным сетям передачи данных. В настоящий момент количество
решений, поддерживающих организацию VPN, также достаточно велико,
поэтому вопрос определения критериев выбора весьма актуален.
Одна из ключевых характеристик средств VPN — реализованный в них
протокол защищенного информационного обмена. Бесспорным стандартом в
этой области является IPSec, и поддержка именно этого протокола
должна быть обязательным требованием к устанавливаемым средствам
защиты. Нестандартные («фирменные») протоколы обычно характеризуются
недостаточно продуманной логикой (они редко подвергаются даже
функциональному тестированию, не говоря уже об использовании
формальных методов анализа); кроме того, возникает проблема
совместимости с сетевым оборудованием. Наконец, применение закрытых
решений приводит к «классической» зависимости потребителя от
одного-единственного поставщика.
Второй определяющий фактор при выборе средств VPN — метод
организации работы с ключевой информацией. Обязательным условием
должно быть наличие динамического распределения ключей и
централизованного администрирования. К решению этой же проблемы
примыкают вопросы динамического изменения конфигурации СПД,
обеспечения возможности введения в систему новых узлов и отключения
старых. Если добавление нового узла требует переконфигурирования
всех остальных, то, как показывает практика, системы, имеющие свыше
пяти узлов, оказываются неработоспособными.
Вопросы производительности представляют собой достаточно
деликатную область оценки VPN-решения. Пользователю не стоит
забывать, что целью внедрения VPN является обеспечение определенного
качества сервисов. Он должен с осторожностью относиться к
«изобретаемым» некоторыми производителями количественным
характеристикам, которые якобы позволяют адекватно оценить
эффективность применения этой технологии. Единственный показатель,
заслуживающий доверия, — результаты сравнительных испытаний
различных продуктов.
Сегодня VPN не только используется в классических СПД, но служит
и для защиты мультимедийных сервисов, основанных на той же сетевой
инфраструктуре (например, IP-телефонии или видеоконференций). Чтобы
применение VPN не приводило к потере качества обслуживания (QoS),
решения должны обеспечивать приоритизацию разнородного трафика в
потоке передаваемой информации.
Примечательно, что многие средства VPN сертифицированы в России
как межсетевые экраны, что препятствует легальному использованию
заложенных в них возможностей (таких как сквозное шифрование
данных). Это еще раз свидетельствует: необходимо внимательно изучать
представляемые производителем сертификаты.
Контекстный анализ данных
|
Рис. 2. Уровни защиты узлов СПД
|
Средства контекстного анализа представляют собой относительно
новую группу продуктов, предназначенных для защиты информации. Они
обеспечивают наиболее глубокий анализ данных, передаваемых через
узлы СПД (вплоть до уровня их контекстной обработки). Это позволяет,
с одной стороны, предотвратить утечку конфиденциальной информации с
доступных ресурсов, а с другой — исключить поступление потенциально
опасных сообщений и перегрузку систем передачи данных. Контекстный
анализ, таким образом, является самым верхним уровнем контроля за
информационными потоками (рис. 2 ).
Из имеющихся средств контекстного анализа можно указать — в
качестве примера — антивирусные решения AVP или Norton Antivirus,
программу контроля за использованием электронной почты СМАП
«Дозор-Джет» и средство контроля запросов по HTTP-протоколу I-Gear
производства Symantec.
Эффективность применения средств контекстного анализа информации
в значительной степени определяется правильностью представлений о
том, какие параметры передаваемой информации должны контролироваться
этими средствами. А это, в свою очередь, является результатом
анализа информационных потоков в СПД, проводимого на начальной
стадии построения системы защиты.
выводы
Как следует из вышеизложенного, организация защищенной СПД —
задача хоть и сложная, но вполне выполнимая. Причем есть два пути ее
решения: выбрать продукты из довольно внушительного перечня
предложений и внедрить их собственными силами либо привлечь внешних
специалистов-проектировщиков. Возможно, второй вариант
представляется более затратным с точки зрения единовременных
вложений, зато он более эффективен и надежен, поскольку редкая
организация может себе позволить держать штат квалифицированных
проектировщиков для разовых работ. Опыт компаний, занимающихся
построением систем информационной безопасности, показывает: чем в
более тесном контакте работают специалисты фирмы-заказчика и
фирмы-проектировщика, тем лучшим будет конечный результат
проекта.
Для подтверждения правильности выбранных решений рекомендуется
провести аттестацию СПД на соответствие требованиям информационной
безопасности. Аттестация предусматривает комплексную проверку в
реальных условиях эксплуатации и производится специально
уполномоченными органами, аккредитованными Гостехкомиссией России.
Если защита сети передачи данных организована на основе принятых
стандартов и проверена в процессе аттестации, пользователь имеет
весомые основания полагать, что его информационные ресурсы и сервисы
находятся под надежной защитой.
ОБ АВТОРЕ
Илья Трифаленков (galaxy@jet.msk.su) — начальник
отдела средств и методов защиты информации компании «Инфосистемы
Джет»
|