Informacijski sustavi u kojima objekti za prijenos podataka pripadaju jednom poduzeću i koriste se samo za potrebe tog poduzeća obično se nazivaju mreže na razini poduzeća - korporativna računalna mreža (CN). CS je interna privatna mreža organizacije koja objedinjuje računalne, komunikacijske i informacijske resurse te organizacije i namijenjena je prijenosu elektroničkih podataka, koji mogu biti bilo koje informacije. Dakle, na temelju navedenog možemo reći da unutar CS je definirana posebna politika koja opisuje hardver i softver, pravila za dobivanje pristupa korisnika mrežnim resursima, pravila upravljanja mrežom, kontrolu korištenja resursa i daljnji razvoj mreže. Korporativna mreža je mreža pojedinačne organizacije.

Donekle slična definicija može se formulirati na temelju koncepta korporativne mreže danog u radu Olifera V.G. i Olifer N.D. “ Računalne mreže: principi, tehnologije, protokoli”: svaka organizacija je skup međusobno povezanih elemenata (dijelova), od kojih svaki može imati svoju strukturu. Elementi su međusobno funkcionalno povezani, tj. obavljaju određene vrste poslova u okviru jedinstvenog poslovnog procesa, kao i informacije, razmjenu dokumenata, faksova, pisanih i usmenih naloga i sl. Osim toga, ovi elementi međusobno djeluju vanjski sustavi, a njihova interakcija također može biti informacijska i funkcionalna. I ova situacija vrijedi za gotovo sve organizacije, bez obzira na vrstu djelatnosti kojom se bave - za državnu agenciju, banku, industrijsko poduzeće, trgovačku tvrtku itd.

Ovaj opći pogled na organizaciju omogućuje nam da formuliramo neke generalni principi građenje korporativnih informacijski sustavi, tj. informacijskih sustava u cijeloj organizaciji.

Korporativna mreža je sustav koji omogućuje prijenos informacija između različitih aplikacija koje se koriste u sustavu korporacije. Korporativna mreža je svaka mreža koja radi preko TCP/IP protokola i koristi internetske komunikacijske standarde, kao i servisne aplikacije, osiguravajući isporuku podataka korisnicima mreže. Na primjer, tvrtka može stvoriti web poslužitelj za objavljivanje najava, rasporeda proizvodnje i drugih službenih dokumenata. Pristup zaposlenika potrebne dokumente pomoću web preglednika.

Web poslužitelji na korporativnoj mreži mogu korisnicima pružiti usluge slične internetskim uslugama, na primjer, rad s hipertekstualnim stranicama (koje sadrže tekst, hiperveze, grafičke slike i zvučne snimke), pružajući potrebne resurse za zahtjeve web klijenata, kao i pristup bazama podataka. U ovom se vodiču sve izdavačke usluge nazivaju "internetske usluge", neovisno o tome gdje se koriste (na internetu ili na poslovnoj mreži).

Korporativna mreža je u pravilu geografski raspoređena, tj. ujedinjujući urede, odjele i druge strukture koje se nalaze na znatnoj udaljenosti jedna od druge. Načela po kojima se gradi korporativna mreža dosta su drugačija od onih koja se koriste za stvaranje lokalna mreža. Ovo je ograničenje temeljno, a pri projektiranju korporativne mreže treba poduzeti sve mjere kako bi se smanjila količina prenesenih podataka. Inače, poslovna mreža ne bi trebala nametati ograničenja na to koje aplikacije i kako obrađuju informacije koje se preko nje prenose. Karakteristična značajka takve mreže je da sadrži opremu različitih proizvođača i generacija, kao i heterogeni softver koji nije inicijalno orijentiran na zajedničku obradu podataka.

Za povezivanje udaljenih korisnika s korporativnom mrežom najjednostavnija je i najpovoljnija opcija korištenje telefonska komunikacija. ISDN mreže mogu se koristiti gdje je to moguće. Za povezivanje mrežnih čvorova u većini slučajeva koriste se globalne podatkovne mreže. Čak i tamo gdje je moguće postaviti namjenske linije (na primjer, unutar istog grada), korištenje tehnologija komutacije paketa omogućuje smanjenje broja potrebnih komunikacijskih kanala i, što je još važnije, osigurava kompatibilnost sustava s postojećim globalne mreže.

Povezivanje poslovne mreže s internetom opravdano je ako trebate pristup relevantnim uslugama. U mnogim radovima postoji mišljenje o povezivanju s Internetom: Internet se isplati koristiti kao medij za prijenos podataka samo kada druge metode nisu dostupne, a financijski razlozi prevladavaju nad zahtjevima pouzdanosti i sigurnosti. Ako ćete Internet koristiti samo kao izvor informacija, bolje je koristiti tehnologiju biranja na zahtjev, tj. ovaj način povezivanja, kada se veza s internetskim čvorom uspostavlja samo na vašu inicijativu i za vrijeme koje vam je potrebno. Ovo dramatično smanjuje rizik od neovlaštenog ulaska u vašu mrežu izvana.

Za prijenos podataka unutar korporativne mreže također vrijedi koristiti virtualne kanale mreža za komutaciju paketa. Glavne prednosti ovog pristupa su svestranost, fleksibilnost, sigurnost

Kao rezultat proučavanja strukture informacijske mreže(IP) i koncept tehnologije obrade podataka se razvija sigurnost informacija JE. Koncept odražava sljedeće glavne točke:

• 1) Organizacija mreže organizacije
• 2) postojeće prijetnje informacijskoj sigurnosti, mogućnost njihove implementacije i očekivane štete od te implementacije;
• 3) organizacija pohrane informacija u IS;
• 4) organizacija obrade informacija;
• 5) reguliranje pristupa osoblja ovim ili onim informacijama;
• 6) odgovornost osoblja za osiguranje sigurnosti.

Razvijajući ovu temu, na temelju gore navedenog koncepta informacijske sigurnosti IS-a, predlaže se sigurnosna shema čija struktura mora zadovoljavati sljedeće uvjete:

Zaštita od neovlaštenog prodora u korporativnu mrežu i mogućnosti curenja informacija putem komunikacijskih kanala.

Razgraničenje protoka informacija između mrežnih segmenata.

Zaštita kritičnih mrežnih resursa.

Kriptografska zaštita informacijskih izvora.

Za detaljno razmatranje gore navedenih sigurnosnih uvjeta preporučljivo je dati mišljenje: za zaštitu od neovlaštenog prodora i curenja informacija predlaže se korištenje vatrozida ili vatrozida. Zapravo, vatrozid je pristupnik koji obavlja funkcije zaštite mreže od neovlaštenog pristupa izvana (na primjer, iz druge mreže).

Postoje tri vrste vatrozida:

Pristupnik na razini aplikacije Pristupnik na razini aplikacije često se naziva proxy poslužitelj - djeluje kao relej podataka za ograničeni broj korisničkih aplikacija. To jest, ako gateway ne podržava određenu aplikaciju, tada se odgovarajuća usluga ne pruža, a podaci odgovarajuće vrste ne mogu proći kroz vatrozid.

Usmjerivač za filtriranje. Filter ruter. Točnije, radi se o routeru, in dodatne funkcije koji uključuje usmjerivač za filtriranje paketa. Koristi se na paketno komutiranim mrežama u datagram načinu rada. To jest, u onim tehnologijama prijenosa informacija na komunikacijskim mrežama u kojima signalna ravnina (preliminarna uspostava veze između UI i UE) nedostaje (primjerice, IP V 4). U ovom slučaju, odluka o prijenosu dolaznog paketa podataka preko mreže temelji se na vrijednostima polja zaglavlja njegovog transportnog sloja. Stoga se vatrozidi ove vrste obično implementiraju kao popis pravila primijenjenih na vrijednosti polja zaglavlja transportnog sloja.

Pristupnik sloja prebacivanja. Pristupnik sklopne razine - zaštita se provodi u upravljačkoj ravni (na signalnoj razini) dopuštanjem ili zabranom određenih veza.

Posebno mjesto zauzima kriptografska zaštita informacijskih resursa u korporativnim mrežama. Budući da je enkripcija jedan od najpouzdanijih načina zaštite podataka od neovlaštenog pristupa. Posebnost korištenja kriptografskih alata je stroga zakonska regulativa. Trenutno se u korporativnim mrežama instaliraju samo na onim radnim stanicama gdje se pohranjuju informacije vrlo visokog stupnja važnosti.

Dakle, prema klasifikaciji sredstava kriptografske zaštite informacijskih resursa u korporativnim mrežama, oni se dijele na:

Kriptosustavi s jednim ključem često se nazivaju tradicionalni, simetrični ili kriptosustavi s jednim ključem. Korisnik kreira otvorenu poruku čiji su elementi znakovi konačnog alfabeta. Za šifriranje otvorene poruke generira se ključ za šifriranje. Šifrirana poruka generira se pomoću algoritma za šifriranje

Gornji model predviđa da se ključ za šifriranje generira na istom mjestu kao i sama poruka. No, moguće je i drugo rješenje za izradu ključa - ključ za šifriranje kreira treća strana (centar za distribuciju ključeva), u koju oba korisnika vjeruju. U tom slučaju treća strana je odgovorna za isporuku ključa oba korisnika. Općenito govoreći, ovu odluku proturječi samoj biti kriptografije – osiguravanju tajnosti prenesenih korisničkih informacija.

Kriptosustavi s jednim ključem koriste načela supstitucije (zamjene), permutacije (transpozicije) i kompozicije. Zamjena zamjenjuje pojedinačne znakove u otvorenoj poruci drugim znakovima. Šifriranje pomoću načela permutacije uključuje promjenu redoslijeda znakova u jasnoj poruci. Kako bi se povećala pouzdanost enkripcije, šifrirana poruka primljena pomoću određene šifre može se ponovno šifrirati pomoću druge šifre. Kažu da je u ovom slučaju korišten kompozicijski pristup. Stoga se simetrični kriptosustavi (s jednim ključem) mogu klasificirati u sustave koji koriste šifre zamjene, permutacije i kompozicije.

Kriptosustav s javnim ključem. To se događa samo ako korisnici koriste različite ključeve KO i KZ prilikom šifriranja i dekriptiranja. Ovaj kriptosustav naziva se asimetričnim, s dva ključa ili javnim ključem.

Primatelj poruke (korisnik 2) generira povezani par ključeva:

KO je javni ključ koji je javno dostupan i samim time dostupan pošiljatelju poruke (korisniku 1);

KS je tajni, osobni ključ koji ostaje poznat samo primatelju poruke (korisniku 1).

Korisnik 1, koji ima ključ za šifriranje KO, koristi određeni algoritam za šifriranje za generiranje šifriranog teksta.

Korisnik 2, koji posjeduje tajni ključ Ks, ima priliku izvršiti suprotnu radnju.

U ovom slučaju korisnik 1 priprema poruku korisniku 2 i prije slanja šifrira ovu poruku privatnim ključem KS. Korisnik 2 može dešifrirati ovu poruku korištenjem javnog ključa KO. Budući da je poruka šifrirana osobnim ključem pošiljatelja, može djelovati kao digitalni potpis. Osim toga, u ovom slučaju poruku je nemoguće promijeniti bez pristupa osobnom ključu korisnika 1, pa poruka također rješava problem identifikacije pošiljatelja i integriteta podataka.

Na kraju, želio bih reći da instaliranjem kriptografskih sigurnosnih mjera možete pouzdano zaštititi radno mjesto zaposlenik organizacije koji neposredno radi s podacima koji su od posebne važnosti za postojanje te organizacije, od neovlaštenog pristupa.

Upravo takav rezultat dalo je istraživanje više od 1000 voditelja IT odjela velikih i srednjih europskih tvrtki, koje je naručila Intel Corporation. Svrha ankete bila je identificirati problem koji najviše zabrinjava stručnjake iz industrije. Odgovor je bio sasvim očekivan, više od polovice ispitanika navelo je problem sigurnosti mreže, problem koji zahtijeva hitno rješenje. Ostali rezultati istraživanja također su sasvim očekivani. Na primjer, faktor sigurnosti mreže prednjači među ostalim problemima na terenu informacijske tehnologije; njegova važnost je porasla za 15% u odnosu na stanje prije pet godina.
Prema rezultatima istraživanja, visokokvalificirani informatičari troše više od 30% svog vremena na rješavanje sigurnosnih problema. Situacija u velikim tvrtkama (s preko 500 zaposlenih) još je alarmantnija - oko četvrtina ispitanika pola svog vremena provodi rješavajući te probleme.

Ravnoteža prijetnji i zaštite

Nažalost, pitanje sigurnosti mreže neraskidivo je povezano s temeljnim tehnologijama koje se koriste u moderne telekomunikacije. Slučajno se dogodilo da je pri razvoju obitelji IP protokola prednost dana pouzdanosti mreže u cjelini. U vrijeme pojavljivanja ovih protokola, sigurnost mreže osiguravala se na potpuno drugačije načine, koji su jednostavno bili nerealni za korištenje u kontekstu Globalne mreže. Možete se glasno žaliti na kratkovidnost programera, ali gotovo je nemoguće radikalno promijeniti situaciju. Sada samo se trebate znati zaštititi od potencijalnih prijetnji.
Glavno načelo u ovoj vještini treba biti ravnotežu između potencijalnih prijetnji sigurnosti mreže i potrebne razine zaštite. Mora se osigurati razmjernost između sigurnosnih troškova i troškova moguće štete od realiziranih prijetnji.
Suvremenim velikim i srednjim poduzećima informacijsko-telekomunikacijske tehnologije postale su osnova poslovanja. Stoga su se oni pokazali najosjetljivijima na učinke prijetnji. Što je mreža veća i složenija, potrebno je više truda da se zaštiti. Štoviše, trošak stvaranja prijetnji je nekoliko redova veličine manji od troška njihovog neutraliziranja. Ovakvo stanje stvari prisiljava tvrtke da pažljivo odvagnu posljedice mogućih rizika od raznih prijetnji i odaberu odgovarajuće metode zaštite od onih najopasnijih.
Trenutno najveće prijetnje korporativnoj infrastrukturi dolaze od radnji povezanih s neovlaštenim pristupom internim resursima i blokiranjem normalnog rada mreže. Postoji prilično velik broj takvih prijetnji, ali svaka od njih temelji se na kombinaciji tehničkih i ljudski faktori. Na primjer, do prodora zlonamjernog programa u korporativnu mrežu može doći ne samo kao rezultat zanemarivanja sigurnosnih pravila od strane mrežnog administratora, već i zbog pretjerane znatiželje zaposlenika tvrtke koji odluči koristiti primamljivu vezu s neželjena pošta. Stoga se ne treba nadati da čak ni najbolje tehnička rješenja u području sigurnosti postat će lijek za sve bolesti.

Rješenja klase UTM

Sigurnost je uvijek relativan pojam. Ako ga ima previše, tada postaje osjetno teže koristiti sam sustav koji ćemo štititi. Stoga, razuman kompromis postaje prvi izbor u osiguravanju mrežne sigurnosti. Srednjim poduzećima prema ruskim standardima takav bi izbor mogao pomoći klasne odluke UTM (Ujedinjeno upravljanje prijetnjama ili Ujedinjeno upravljanje prijetnjama), pozicioniran kao multifunkcionalni uređaji mrežna i informacijska sigurnost. U svojoj srži, ova rješenja su softverski i hardverski sustavi koji kombiniraju funkcije različite uređaje: vatrozid, sustav za otkrivanje i sprječavanje upada u mrežu (IPS), kao i funkcije antivirusnog pristupnika (AV). Često su ovi kompleksi zaduženi za rješavanje dodatnih zadataka, kao što su usmjeravanje, prebacivanje ili podrška VPN mrežama.
Često pružatelji UTM rješenja nude rješenja za mala poduzeća. Možda je ovaj pristup djelomično opravdan. No ipak, malim je poduzetnicima u našoj zemlji i lakše i jeftinije koristiti sigurnosnu uslugu svog internetskog provajdera.
Kao i svako univerzalno rješenje, UTM oprema ima svoje prednosti i nedostatke. Prvi uključuju uštedu troškova i vremena za implementaciju u usporedbi s organiziranjem zaštite slične razine od zasebnih sigurnosnih uređaja. UTM je također unaprijed uravnoteženo i testirano rješenje koje može jednostavno riješiti širok raspon sigurnosnih problema. Konačno, rješenja ove klase nisu toliko zahtjevna za razinu kvalifikacija tehničkog osoblja. Svaki stručnjak može se nositi s njihovim postavljanjem, upravljanjem i održavanjem.
Glavni nedostatak UTM-a je činjenica da je svaka funkcionalnost univerzalnog rješenja često manje učinkovita od iste funkcionalnosti specijaliziranog rješenja. Zato, kada su potrebne visoke performanse ili visok stupanj sigurnosti, sigurnosni stručnjaci radije koriste rješenja koja se temelje na integraciji pojedinačnih proizvoda.
Međutim, unatoč ovom nedostatku, UTM rješenja postaju sve traženija od strane mnogih organizacija koje se uvelike razlikuju po veličini i vrsti aktivnosti. Prema Rainbow Technologies, takva su rješenja uspješno implementirana, na primjer, za zaštitu poslužitelja jedne od internetskih trgovina Kućanski aparati, koji je bio izložen redovitim DDoS napadima. UTM rješenje također je omogućilo značajno smanjenje količine spama u mail sustavu jednog od automobilskih holdinga. Osim rješavanja lokalnih problema, imamo iskustvo u izgradnji sigurnosnih sustava baziranih na UTM rješenjima za distribuiranu mrežu koja pokriva središnji ured pivarske tvrtke i njenih podružnica.

UTM proizvođači i njihovi proizvodi

Rusko tržište opreme klase UTM formirano je samo prijedlozima stranih proizvođača. Nažalost, ništa od domaći proizvođači Još nisam mogao ponuditi vlastita rješenja u ovoj klasi opreme. Iznimka je programsko rješenje Eset NOD32 Firewall, koji su prema tvrtki stvorili ruski programeri.
Kao što je već navedeno, na rusko tržište UTM rješenja mogu biti od interesa uglavnom za srednje tvrtke čija korporativna mreža ima do 100-150 radnih mjesta. Prilikom odabira UTM opreme koja će biti predstavljena u recenziji, glavni kriterij odabira bila je njezina izvedba u različitim načinima rada, što može osigurati ugodno korisničko iskustvo. Proizvođači često navode specifikacije performansi za načine rada Vatrozid, IPS Intrusion Prevention i AV Virus Protection.

Riješenje Kontrolna točka Zove se UTM-1 rub i objedinjeni je sigurnosni uređaj koji kombinira vatrozid, sustav za sprječavanje upada, antivirusni pristupnik, kao i VPN i alate za daljinski pristup. Vatrozid uključen u kontrole rada rješenja veliki broj aplikacija, protokola i servisa, a ima i mehanizam za blokiranje prometa koji očito ne spada u kategoriju poslovnih aplikacija. Na primjer, promet izravnih poruka (IM) i peer-to-peer (P2P). Antivirusni pristupnik omogućuje vam praćenje zlonamjernog koda u porukama E-mail, FTP i HTTP promet. U ovom slučaju nema ograničenja na veličinu datoteka i dekompresija arhivskih datoteka se provodi "u hodu".
Rješenje UTM-1 Edge ima napredne mogućnosti za rad u VPN mrežama. OSPF dinamičko usmjeravanje je podržano i VPN veza klijentima. Model UTM-1 Edge W dostupan je s ugrađenim WiFi hotspot IEEE 802.11b/g pristup.
Kada su potrebne velike implementacije, UTM-1 Edge se neprimjetno integrira s Check Point SMART kako bi se uvelike pojednostavilo upravljanje sigurnošću.

Tvrtka Cisco tradicionalno posvećuje povećanu pozornost pitanjima sigurnosti mreže i nudi široku paletu potrebne uređaje. Za pregled smo odlučili odabrati model Cisco ASA 5510, koji je usmjeren na osiguranje sigurnosti perimetra korporativne mreže. Ova oprema dio je serije ASA 5500 koja uključuje modularne sustave zaštite klase UTM. Ovaj vam pristup omogućuje prilagodbu sigurnosnog sustava osobitostima funkcioniranja mreže određenog poduzeća.
Cisco ASA 5510 dolazi u četiri glavna kompleta - vatrozid, VPN alati, sustav za sprječavanje upada, kao i antivirusni i antispam alati. Rješenje uključuje dodatne komponente, kao što je sustav Security Manager za stvaranje upravljačke infrastrukture za široku korporativnu mrežu i sustav Cisco MARS, dizajniran za nadzor mrežnog okruženja i odgovor na proboje sigurnosti u stvarnom vremenu.

slovački Tvrtka Eset isporučuje programski paket Vatrozid Eset NOD32 UTM klasa, koja uz funkcije korporativnog vatrozida uključuje antivirusni sustav Eset NOD32, alate za filtriranje pošte (anti-spam) i web prometa, sustave za detekciju i prevenciju mrežnih napada IDS i IPS. Rješenje podržava stvaranje VPN mreža. Ovaj kompleks izgrađen je na poslužiteljskoj platformi koja pokreće Linux. Softverski dio razvijeni uređaji domaća tvrtka Leta IT, pod kontrolom ruskog predstavništva tvrtke Eset.
Ovo rješenje vam omogućuje kontrolu mrežni promet u stvarnom vremenu, podržano je filtriranje sadržaja prema kategorijama web izvora. Pruža zaštitu od DDoS napada i blokira pokušaje skeniranja portova. Eset NOD32 Firewall rješenje uključuje podršku DNS poslužitelji DHCP i upravljanje promjenama propusnost kanal. Kontrolira se promet SMTP i POP3 protokola pošte.
Ovo rješenje također uključuje mogućnost stvaranja distribuiranih korporativne mreže koristeći VPN veze. Istodobno, podržani su različiti načini mrežne agregacije, autentifikacije i algoritama šifriranja.

Tvrtka Fortinet nudi cijelu obitelj uređaja FortiGate UTM klase, pozicionirajući svoja rješenja kao sposobna pružiti mrežnu zaštitu uz održavanje visoke razine performansi, kao i pouzdan i transparentan rad poslovnih informacijskih sustava u stvarnom vremenu. Za recenziju smo odabrali model FortiGate-224B, koji je usmjeren na zaštitu perimetra korporativne mreže sa 150 - 200 korisnika.
Oprema FortiGate-224B uključuje funkcionalnost vatrozida, VPN poslužitelja, filtriranje web prometa, sustave za sprječavanje upada, kao i antivirusnu i antispam zaštitu. Ovaj model ima ugrađen Layer 2 LAN switch i WAN sučelja, čime se eliminira potreba za vanjski uređaji usmjeravanje i komutiranje. U tu svrhu podržano je usmjeravanje pomoću RIP, OSPF i BGP protokola, kao i protokoli za autentifikaciju korisnika prije pružanja mrežnih usluga.

Tvrtka SonicWALL nudi širok izbor UTM uređaja, od kojih je rješenje uključeno u ovu recenziju NSA 240. Ova oprema je juniorski model u liniji namijenjenoj upotrebi kao sigurnosni sustav za korporativnu mrežu srednjih poduzeća i podružnica velikih tvrtki.
Ova se linija temelji na korištenju svih sredstava zaštite od potencijalnih prijetnji. To su vatrozid, sustav zaštite od upada, antivirusni i antispyware pristupnici. softver. Postoji filtriranje web prometa prema 56 kategorija stranica.
Kao jedan od vrhunaca svog rješenja SonicWALL ističe tehnologiju dubokog skeniranja i analize dolaznog prometa. Kako bi se izbjegla degradacija performansi ovu tehnologiju koristi paralelnu obradu podataka na višeprocesorskoj jezgri.
Ova oprema podržava VPN, ima napredne mogućnosti usmjeravanja i podržava razne mrežni protokoli. Također, rješenje iz SonicWALL-a sposobno je pružiti visoku razinu sigurnosti pri servisiranju VoIP prometa korištenjem SIP i H.323 protokola.

Iz linije proizvoda Tvrtka WatchGuard rješenje je odabrano za pregled Ložište X550e, koji je pozicioniran kao sustav s naprednom funkcionalnošću za osiguranje mrežne sigurnosti i namijenjen je uporabi u mrežama malih i srednjih poduzeća.
Rješenja UTM klase ovog proizvođača temelje se na principu zaštite od mješovitih mrežnih napada. Da bi se to postiglo, oprema podržava vatrozid, sustav za sprječavanje napada, pristupnike protiv virusa i neželjene pošte, filtriranje web resursa, kao i sustav protiv špijunskog softvera.
Ova oprema koristi princip zajedničke zaštite, prema kojem mrežni promet provjeren po određenom kriteriju na jednoj razini zaštite neće biti provjeren po istom kriteriju na drugoj razini. Ovaj pristup omogućuje visoku učinkovitost opreme.
Još jednu prednost svog rješenja proizvođač naziva podrškom za tehnologiju Zero Day, koja osigurava sigurnosnu neovisnost o prisutnosti potpisa. Ova značajka je važna kada se pojave nove vrste prijetnji kojima se još nije učinkovito suprotstavilo. Tipično, "prozor ranjivosti" traje od nekoliko sati do nekoliko dana. Kada koristite Zero Day tehnologiju, vjerojatnost negativnih posljedica iz prozora ranjivosti je značajno smanjena.

Tvrtka ZyXEL nudi svoje vatrozidno rješenje klase UTM, namijenjeno uporabi u korporativnim mrežama s do 500 korisnika. Ovaj Rješenje ZyWALL 1050 dizajniran za izgradnju mrežnog sigurnosnog sustava, uključujući potpunu zaštitu od virusa, sprječavanje upada i podršku za virtualne privatne mreže. Uređaj ima pet Gigabit Ethernet portova, koji se mogu konfigurirati za korištenje kao WAN, LAN, DMZ i WLAN sučelja, ovisno o konfiguraciji mreže.
Uređaj podržava prijenos VoIP aplikativnog prometa putem SIP i H.323 protokola na firewall i NAT razini, kao i prijenos prometa paketne telefonije u VPN tunelima. Istovremeno je osigurano funkcioniranje mehanizama za sprječavanje napada i prijetnji za sve vrste prometa, uključujući VoIP promet, rad antivirusnog sustava s punom bazom potpisa, filtriranje sadržaja za 60 kategorija web stranica i zaštitu od spama.
Rješenje ZyWALL 1050 podržava različite topologije privatnih mreža, rad u načinu VPN koncentratora i kombiniranje virtualnih mreža u zone s jedinstvenim sigurnosnim politikama.

Glavne karakteristike UTM-a

Mišljenje stručnjaka

Dmitry Kostrov, direktor projekta Uprave za tehnološku zaštitu korporativnog centra MTS OJSC

Opseg UTM rješenja uglavnom se odnosi na poduzeća klasificirana kao mala i srednja poduzeća. Sam koncept Unified Threat Management (UTM), kao zasebna klasa opreme za zaštitu mrežni resursi, predstavila je međunarodna agencija IDC prema kojoj su UTM rješenja multifunkcionalni softverski i hardverski sustavi koji objedinjuju funkcije različitih uređaja. Obično to uključuje vatrozid, VPN, sustave za otkrivanje i sprječavanje upada u mrežu, kao i protuvirusne i antispam pristupnike i funkcije filtriranja URL-ova.
Kako bi se postigla istinski učinkovita zaštita, uređaj mora biti višerazinski, aktivan i integriran. Istodobno, mnogi proizvođači sigurnosne opreme već imaju prilično široku paletu proizvoda vezanih uz UTM. Dovoljna jednostavnost postavljanja sustava, kao i sustav sve-u-jednom, čini tržište za ove uređaje prilično atraktivnim. Ukupni trošak vlasništva i povrat ulaganja pri implementaciji ovih uređaja čine se vrlo privlačnima.
Ali ovo UTM rješenje je poput "švicarskog noža" - postoji alat za svaku situaciju, ali za bušenje rupe u zidu potrebna vam je prava bušilica. Također postoji mogućnost da se pojavi zaštita od novih napada, ažuriranje potpisa i sl. neće biti tako brz, za razliku od podrške pojedinačnih uređaja u “klasičnoj” shemi zaštite korporativne mreže. Također ostaje problem jedne točke kvara.

Identifikacija/autentifikacija (IA) operatera mora se izvršiti u hardveru prije faze pokretanja OS-a. IA baze podataka moraju biti pohranjene u trajnoj memoriji informacijskih sigurnosnih sustava (IPS), organiziranoj na način da joj je pristup putem osobnog računala nemoguć, tj. Trajna memorija mora biti smještena izvan adresnog prostora računala.

Identifikacija/autentifikacija udaljenih korisnika, kao iu prethodnom slučaju, zahtijeva hardversku implementaciju. Moguća autentifikacija različiti putevi, uključujući elektronički digitalni potpis (EDS). Zahtjev "pojačane autentifikacije" postaje obavezan, tj. periodično ponavljanje postupka tijekom rada u vremenskim intervalima dovoljno malim da napadač u slučaju svladavanja zaštite ne može uzrokovati značajniju štetu.

2. Zaštita tehničke opreme od neovlaštenog pristupa

Sredstva za zaštitu računala od neovlaštenog pristupa mogu se podijeliti na elektroničke brave (EL) i hardverske pouzdane boot module (THM). Njihova glavna razlika je način na koji se provodi kontrola integriteta. Elektroničke brave izvode korisničke I/A postupke u hardveru i koriste vanjski softver za izvođenje postupaka kontrole integriteta. ASMD implementira u hardver i elektroničke sigurnosne funkcije i funkcije nadzora integriteta i administrativne funkcije.

Praćenje integriteta tehničkog sastava računala i LAN-ova. Nadzor integriteta tehničkog sastava PC-a mora izvršiti SZI kontroler prije učitavanja OS-a. Istodobno, svi resursi koji se (potencijalno) mogu dijeliti trebaju biti kontrolirani, uključujući CPU, BIOS sustava, diskete, tvrdi diskovi i CD-ROM.

Cjelovitost tehničkog sastava LAN-a mora biti osigurana postupkom za poboljšanu mrežnu autentifikaciju. Postupak se mora provesti u fazi povezivanja verificiranih računala s mrežom, a zatim u vremenskim intervalima koje unaprijed odredi sigurnosni administrator.

Praćenje integriteta OS-a, tj. nadzor integriteta područja sustava i datoteka OS-a mora izvršiti kontroler prije učitavanja OS-a kako bi se osiguralo čitanje stvarnih podataka. Budući da se u elektroničkom upravljanju dokumentima mogu koristiti različiti operativni sustavi, softver ugrađen u kontroler mora osigurati podršku za najpopularnije datotečne sustave.

Praćenje integriteta aplikacijskog softvera (ASW) i podataka mogu obavljati i hardverske i softverske komponente sustava informacijske sigurnosti.

3. Ograničavanje pristupa dokumentima, računalu i mrežnim resursima

Moderni operativni sustavi sve više sadrže ugrađene alate za kontrolu pristupa. Tipično, ovi alati koriste značajke određenog sustav datoteka(FS) i temelje se na atributima povezanim s jednom od API razina operativnog sustava. U ovom slučaju neizbježno se pojavljuju sljedeća dva problema.

Vezanje na značajke datotečnog sustava. Moderni operativni sustavi u pravilu ne koriste jedan, već nekoliko datotečnih sustava - i novih i zastarjelih. Obično na novom FS-u radi kontrola pristupa ugrađena u OS, ali na starom FS-u možda neće raditi jer koristi značajne razlike u novom FS-u.

Ova okolnost obično nije izravno navedena u potvrdi, što može dovesti korisnika u zabludu. U ovom slučaju stari datotečni sustavi uključeni su u novi OS radi osiguravanja kompatibilnosti.

Vezanje na API operacijskog sustava. U pravilu se sada operativni sustavi mijenjaju vrlo brzo - jednom u godinu i pol. Moguće je da će se mijenjati i češće. Ako atributi kontrole pristupa odražavaju sastav API-ja, s prijelazom na modernu verziju OS-a bit će potrebno ponoviti postavke sigurnosnog sustava, prekvalificirati osoblje itd.

Dakle, možemo formulirati opći zahtjev - podsustav kontrole pristupa mora biti superponiran operativnom sustavu i time biti neovisan o datotečnom sustavu. Naravno, sastav atributa bi trebao biti dovoljan za potrebe opisa sigurnosne politike, a opis bi trebao biti izveden ne u terminima OS API-ja, već u terminima na koje su administratori sigurnosti sustava navikli raditi.

4.Zaštita elektroničkih dokumenata

Zaštita elektroničke razmjene informacija uključuje dvije klase zadataka:

Osiguravanje istovjetnosti dokumenta tijekom njegovog životnog ciklusa sa standardom izvornog elektroničkog dokumenta;

Osiguravanje istovjetnosti primijenjenih elektroničkih tehnologija s referentnim.

Svrha svake zaštite je osigurati stabilnost navedenih svojstava štićenog objekta u svim točkama životnog ciklusa. Sigurnost objekta ostvaruje se usporedbom standarda (objekta u početnoj točki prostora i vremena) i rezultata (objekta u trenutku promatranja). Na primjer, ako na točki promatranja (primanje elektroničkog dokumenta) postoje samo vrlo ograničene kontekstualne informacije o standardu (sadržaj izvornog elektroničkog dokumenta), ali postoji pune informacije o rezultatu (promatranom dokumentu), to znači da elektronički dokument mora sadržavati atribute koji potvrđuju usklađenost s tehničkim i tehnološkim zahtjevima, odnosno nepromjenjivost poruke u svim fazama izrade i transporta dokumenta. Jedna od opcija atributa mogli bi biti sigurnosni kodovi za provjeru autentičnosti (SCA).

Zaštita dokumenta tijekom njegove izrade. Prilikom izrade dokumenta, on mora biti generiran hardverski sigurnosni kod ovjera. Snimanje kopije elektroničkog dokumenta na vanjski mediji prije razvoja ZKA treba isključiti. Ako elektronički dokument generira operater, tada ZKA mora biti povezan s operatorom. Ako EL generira AS softverska komponenta, tada se ZKA mora generirati u vezi s tom softverskom komponentom.

Zaštita dokumenta tijekom prijenosa. Zaštita dokumenta pri prijenosu vanjskim (otvorenim) komunikacijskim kanalima mora se provoditi korištenjem certificiranih kriptografskih sredstava, uključujući korištenje elektroničkog digitalnog potpisa (EDS) za svaki poslani dokument. Moguća je i druga opcija - hrpa dokumenata potpisuje se elektroničkim digitalnim potpisom, a svaki pojedinačni dokument ovjerava se drugim analogom vlastoručnog potpisa (HSA), na primjer ZKA.

Zaštita dokumenta tijekom njegove obrade, čuvanja i izrade. U tim se fazama zaštita dokumenata provodi pomoću dvije sigurnosne kontrole – ulazne i izlazne za svaku fazu. U tom slučaju, ZKA se mora generirati u hardveru sa ZKA povezanim s postupkom obrade (faza informacijske tehnologije). Za primljeni dokument (sa ZKA i digitalnim potpisom) generira se drugi ZKA i tek tada se skida digitalni potpis.

Zaštita dokumenta kada mu se pristupa iz vanjskog okruženja. Zaštita dokumenta prilikom pristupa iz vanjskog okruženja uključuje dva već opisana mehanizma - identifikaciju/autentifikaciju udaljenih korisnika i ograničenje pristupa dokumentima, resursima računala i mreži.

5. Zaštita podataka u komunikacijskim kanalima

Tradicionalno, za zaštitu podataka u komunikacijskom kanalu koriste se kriptori kanala i prenose se ne samo podaci, već i kontrolni signali.

6. Zaštita informacijske tehnologije

Unatoč određenim sličnostima, mehanizmi zaštite samog elektroničkog podatka kao objekta (broj, podatak) i zaštite digitalnog podatka kao procesa (funkcija, računalna okolina) radikalno se razlikuju. Kod zaštite informacijske tehnologije, za razliku od zaštite elektroničkih podataka, značajke potrebne standardne tehnologije su pouzdano poznate, ali su ograničene informacije o ispunjavanju tih zahtjeva od strane stvarno korištene tehnologije, tj. proizlaziti. Jedini objekt koji može nositi informaciju o stvarnoj tehnologiji (kao nizu operacija) je sam ED, odnosno atributi uključeni u njega. Kao i do sada, jedna od vrsta ovih atributa može biti ZKA. Ekvivalencija tehnologija može se utvrditi točnije što je veći broj funkcionalnih operacija povezanih s porukom kroz PCA. Mehanizmi se ne razlikuju od onih koji se koriste za zaštitu elektroničkih podataka. Štoviše, možemo pretpostaviti da prisutnost određene TKA karakterizira prisutnost odgovarajuće operacije u tehnološkom procesu, a vrijednost TKA karakterizira cjelovitost poruke na u ovoj fazi tehnološki proces.

7. Kontrola pristupa tokovima podataka

U svrhu ograničavanja pristupa tokovima podataka obično se koriste usmjerivači koji koriste kriptografske sigurnosne mjere. U takvim slučajevima posebna se pažnja posvećuje sustavu ključeva i pouzdanosti pohrane ključeva. Zahtjevi pristupa za razgraničenje tokova razlikuju se od onih za ograničavanje pristupa datotekama i direktorijima. Ovdje je to jedino moguće najjednostavniji mehanizam- pristup je dopušten ili odbijen.

Ispunjavanjem navedenih zahtjeva osigurava se dovoljna razina sigurnosti elektroničkih dokumenata kao najvažnije vrste poruka koje se obrađuju u informacijskim sustavima.

Kao tehničko sredstvo zaštite informacija trenutno je razvijen hardware trusted boot module (TLM) koji osigurava učitavanje OS-a, bez obzira na njegovu vrstu, za korisnika autentificiranog sigurnosnim mehanizmom. Rezultati razvoja sustava zaštite informacija NSD "Accord" (razvoj OKB SAPR) masovno se proizvode i danas su najpoznatije sredstvo zaštite računala od neovlaštenog pristupa u Rusiji. Tijekom razvoja korištene su specifičnosti aplikativnog područja koje se ogledaju u obitelji hardvera za informacijsku sigurnost u upravljanju elektroničkim dokumentima koji koriste autentifikacijske kodove (AC) na različitim razinama. Pogledajmo primjere korištenja hardvera.

1. U blagajnama (CCM), CA se koriste kao sredstvo provjere autentičnosti čekova kao jedne od vrsta elektroničkih dokumenata. Svaka fiskalna blagajna mora biti opremljena jedinicom inteligentne fiskalne memorije (FP), koja osim funkcije prikupljanja podataka o prodajnim rezultatima, obavlja niz funkcija:

Pruža zaštitu softvera blagajne i podataka od neovlaštenog pristupa;

Generira autentifikacijske kodove za blagajnu i svaki ček;

Podržava standardno sučelje za interakciju s modulom poreznog inspektora;

Omogućuje prikupljanje fiskalnih podataka za podnošenje poreznoj upravi istovremeno s bilancom.

Razvijeni FP blok “Accord-FP” izrađen je na temelju sustava zaštite informacija Accord. Karakteriziraju ga sljedeće značajke:

Funkcije sustava informacijske sigurnosti NSD-a integrirane su s funkcijama FP-a;

FP blok također uključuje nepromjenjive PFC registre;

Procedure modula poreznog inspektora također su integrirane kao sastavni dio bloka Accord-FP.

2. U sustavu za praćenje cjelovitosti i potvrđivanje pouzdanosti elektroničkih dokumenata (SKTSPD) u automatiziranom sustavu na federalnoj ili regionalnoj razini temeljna je razlika u mogućnosti zaštite svakog pojedinog dokumenta. Ovaj sustav je omogućio kontrolu bez značajnog povećanja prometa. Osnova za izradu ovakvog sustava bio je Accord-S B/KA kontroler - visokoučinkoviti sigurnosni koprocesor koji implementira funkcije generiranja/provjere autentifikacijskih kodova.

Regionalni informacijsko-računski centar (RICC) osigurava upravljanje aktivnostima SCCPD-a u cjelini, u interakciji sa svim automatiziranim radnim stanicama svemirske letjelice - automatiziranim radnim stanicama sudjelujućih operatera opremljenih softverskim i hardverskim sustavima "Accord-SB/KA" ( A-SB/KA) i softver SKTSPD. RIVC bi trebao uključivati ​​dvije automatizirane radne stanice - AWP-K za izradu ključeva, AWP-R za pripremu širenja verifikacijskih podataka.

3. Primjena autentifikacijskih kodova u podsustavima tehnološke informacijske zaštite elektroničkih podataka. Osnova za implementaciju hardverske informacijske sigurnosti može biti “Accord SB” i “Accord AMDZ” (u smislu sredstava zaštite od neovlaštenog pristupa). Kodovi za provjeru autentičnosti koriste se za zaštitu tehnologija. Autentifikacijski kodovi za elektroničke dokumente u podsustavu tehnološke informacijske sigurnosti generiraju se i verificiraju na poslužiteljima autentifikacijskih kodova (ACA) pomoću tablica ključeva (tablica pouzdanosti) pohranjenih u internoj memoriji Accord-SB koprocesora instaliranih u ACA. Tablice pouzdanosti, zatvorene na ključeve isporuke, isporučuju se SKA i učitavaju u Unutarnja memorija koprocesore, gdje dolazi do njihovog otkrivanja. Ključevi za isporuku generiraju se i registriraju na specijaliziranoj automatiziranoj radnoj stanici ARM-K i učitavaju u koprocesore u početnoj fazi procesa njihove personalizacije.

Iskustvo široke praktične primjene više od 100.000 hardverskih sigurnosnih modula tipa Accord u računalnim sustavima raznih organizacija u Rusiji i susjednim zemljama pokazuje da je fokus na hardversko-softverskom rješenju odabran ispravno, budući da ima veliki potencijal za daljnji razvoj i poboljšanje.

zaključke

Podcjenjivanje problema vezanih uz informacijsku sigurnost može dovesti do goleme štete.

Rast računalnog kriminala tjera nas da brinemo o informacijskoj sigurnosti.

Korištenje u ruskoj praksi iste vrste masovnog softvera i hardvera (na primjer, IBM-kompatibilna osobna računala; operativni sustavi - Window, Unix, MS DOS, Netware itd.) stvara, u određenoj mjeri, uvjete za napadače.

Strategija izgradnje sustava informacijske sigurnosti treba se temeljiti na sveobuhvatnim rješenjima, na integraciji informacijskih tehnologija i sigurnosnih sustava, na korištenju naprednih tehnika i alata te na univerzalnim industrijskim tehnologijama informacijske sigurnosti.

Pitanja za samokontrolu

1. Navedite vrste prijetnji informacijama, definirajte prijetnju.

2. Koje metode zaštite informacija postoje?

3. Opišite kontrolu pristupa kao način zaštite informacija. Koja je njegova uloga i značaj?

4. Koja je svrha kriptografskih metoda za zaštitu informacija? Navedite ih.

5. Dati pojam autentifikacije i digitalnog potpisa. Koja je njihova bit?

6. Raspraviti probleme informacijske sigurnosti u mrežama i mogućnostima njihova rješavanja.

7. Otkriti značajke strategije zaštite informacija sustavnim pristupom, integriranim rješenjima i principom integracije u informacijskoj tehnologiji.

8. Navedite faze izrade sustava informacijske sigurnosti.

9. Koje mjere su potrebne za provedbu tehničke zaštite tehnologija za upravljanje elektroničkim dokumentima?

10. Što je bit multiplikativnog pristupa?

11. Koje postupke je potrebno slijediti kako bi se zaštitio sustav za upravljanje elektroničkim dokumentima?

12. Koje funkcije obavlja vatrozid?

Testovi za Ch. 5

Upiši pojmove i izraze koji nedostaju.

1. Događaji ili radnje koje bi mogle dovesti do neovlaštene uporabe, kvarenja ili uništavanja informacija nazivaju se...

2. Među prijetnjama informacijskoj sigurnosti treba razlikovati dvije vrste: ...

3. Navedene vrste suprotstavljanja prijetnjama informacijskoj sigurnosti: ometanje, kontrola pristupa, enkripcija, regulacija, prisila i poticanje odnose se na... osiguranje informacijske sigurnosti.

4. Sljedeći načini suprotstavljanja sigurnosnim prijetnjama: fizički, hardverski, softverski, organizacijski, zakonodavni, moralno-etički, fizički odnose se na... osiguranje informacijske sigurnosti.

5. Kriptografske metode zaštite informacija temelje se na...

6. Dodjeljivanje jedinstvene oznake korisniku radi potvrde njegove usklađenosti naziva se...

7. Provjera autentičnosti korisnika radi provjere njihove usklađenosti naziva se...

8. Najveća prijetnja korporativnim mrežama povezana je s:

a) s heterogenošću informacijskih izvora i tehnologija;

b) sa softverom i hardverom;

c) s kvarovima opreme. Izaberite ispravne odgovore.

9. Racionalna razina informacijske sigurnosti u korporativnim mrežama prvenstveno se odabire na temelju sljedećih razmatranja:

a) specifikacija metoda zaštite;

b) ekonomska izvedivost;

c) strategije obrane.

10. Rezidentni program koji se trajno nalazi u memoriji računala i upravlja operacijama vezanim uz promjenu podataka na magnetskim diskovima naziva se:

a) detektor;

c) stražar;

d) revizor.

11. Antivirusni proizvodi namijenjeni su:

a) testirati sustav;

b) za zaštitu programa od virusa;

c) provjeriti programe na prisutnost virusa i njihovo liječenje;

d) za nadzor sustava.

U početnoj fazi razvoja mrežnih tehnologija štete od virusa i drugih vrsta računalnih napada bile su male, budući da je ovisnost svjetskog gospodarstva o informacijskoj tehnologiji bila mala. Trenutno, u kontekstu značajne ovisnosti poslovanja o elektroničkim načinima pristupa i razmjene informacija te sve većeg broja napada, štete od najsitnijih napada koji dovode do gubitka računalnog vremena procjenjuju se u milijunima dolara, a ukupna godišnja šteta za globalno gospodarstvo iznosi desetke milijardi dolara.

Informacije koje se obrađuju na korporativnim mrežama posebno su ranjive, čemu doprinose:

• povećanje količine informacija koje se obrađuju, prenose i pohranjuju na računalima;
• koncentracija informacija različitih razina važnosti i povjerljivosti u bazama podataka;
• proširenje pristupa kruga korisnika informacijama pohranjenim u bazama podataka i resursima računalna mreža;
• povećanje broja poslova na daljinu;
• široka uporaba globalnih internetske mreže i razni komunikacijski kanali;
• automatizacija razmjene informacija između korisničkih računala.

Analiza najčešćih prijetnji kojima su izložene suvremene ožičene korporativne mreže pokazuje da izvori prijetnji mogu varirati od neovlaštenih upada napadača do računalni virusi, dok su ljudske pogreške vrlo značajna prijetnja sigurnosti. Potrebno je uzeti u obzir da se izvori sigurnosnih prijetnji mogu nalaziti kako unutar CIS-a - unutarnji izvori, tako i izvan njega - vanjski izvori. Ova podjela je potpuno opravdana jer su za istu prijetnju (primjerice krađa) protumjere za vanjske i unutarnje izvore različite. Poznavanje mogućih prijetnji, kao i ranjivosti CIS-a, neophodno je za odabir najučinkovitijih sigurnosnih mjera.

Najčešće i najopasnije (po visini štete) su nenamjerne pogreške korisnika, operatera i administratori sustava servisiranje CIS-a. Nekada takve greške dovode do izravne štete (pogrešno uneseni podaci, greška u programu koja je uzrokovala zastoj ili kolaps sustava), a nekada stvaraju slabosti koje napadači mogu iskoristiti (najčešće se radi o administrativnim greškama).

Prema američkom Nacionalnom institutu za standarde i tehnologiju (NIST), 55% povreda IP sigurnosti rezultat je nenamjernih pogrešaka. Rad u globalnom informacijskom sustavu čini ovaj faktor vrlo relevantnim, a izvor štete mogu biti kako radnje korisnika organizacije tako i korisnika globalne mreže, što je posebno opasno. Na sl. Slika 2.4 prikazuje kružni dijagram koji prikazuje statističke podatke o izvorima kršenja sigurnosti u CIS-u.

Na drugom mjestu po oštećenjima su krađe i krivotvorenje. U većini istraženih slučajeva pokazalo se da su počinitelji bili zaposlenici organizacija s punim radnim vremenom koji su bili dobro upoznati s rasporedom rada i mjerama zaštite. Prisutnost moćnog informacijskog komunikacijskog kanala s globalnim mrežama u nedostatku odgovarajuće kontrole nad njegovim radom može dodatno olakšati takve aktivnosti.

Nepošten

Napadi izvana

Uvrijeđen

Pogreške korisnika i osoblja

4% virusa

Riža. 2.4. Izvori kršenja sigurnosti

zaposlenici

Problemi

fizički

sigurnosti

Uvrijeđeni zaposlenici, čak i oni bivši, upoznati su s procedurama u organizaciji i sposobni su vrlo učinkovito naštetiti. Stoga, kada zaposlenik dobije otkaz, mora mu se oduzeti pravo pristupa informacijskim resursima.

Namjerni pokušaji dobivanja NSD putem vanjske komunikacije zauzimaju oko 10% svih mogućih kršenja. Iako se ovaj broj možda ne čini značajnim, internetsko iskustvo pokazuje da je gotovo svaki internetski poslužitelj podložan pokušajima upada nekoliko puta dnevno. Testovi Agencije za zaštitu informacijskih sustava (SAD) pokazali su da 88% računala ima slabosti u pogledu informacijske sigurnosti koje se mogu aktivno koristiti za dobivanje neovlaštenog pristupa. Zasebno treba razmotriti slučajeve udaljenog pristupa informacijskim strukturama organizacije.

Prije izgradnje sigurnosne politike potrebno je procijeniti rizike kojima je računalno okruženje organizacije izloženo i poduzeti odgovarajuće radnje. Očito je da troškovi organizacije za praćenje i sprječavanje sigurnosnih prijetnji ne bi trebali premašiti očekivane gubitke.

Navedena statistika može reći administraciji i osoblju organizacije gdje treba usmjeriti napore za učinkovito smanjenje sigurnosnih prijetnji korporativnoj mreži i sustavu. Naravno, potrebno je pozabaviti se pitanjima fizičke sigurnosti i mjerama za smanjenje negativnog utjecaja ljudskih pogrešaka na sigurnost, no istovremeno je najozbiljniju pozornost potrebno posvetiti rješavanju problema sigurnosti mreže kako bi se spriječili napadi na korporativne mrežu i sustav, izvana i unutar sustava.

U nastojanju da osiguraju održivost tvrtke, sigurnosni timovi usmjeravaju svoju pozornost na zaštitu mrežnog perimetra - usluga dostupnih s Interneta. Slika mračnog napadača koji je spreman napasti objavljene usluge tvrtke s bilo kojeg mjesta u svijetu ozbiljno plaši vlasnike tvrtki. Ali koliko je to pravedno, s obzirom da se najvrjednije informacije ne nalaze na perimetru organizacije, već u dubini njezinih korporativnih mreža? Kako procijeniti proporcionalnost sigurnosti infrastrukture od vanjskih i unutarnjih napada?

“Brod u luci je siguran, ali to nije ono za što se brodovi grade”

Osjećaj sigurnosti je varljiv

U uvjetima totalne informatizacije i globalizacije, poslovanje postavlja nove zahtjeve pred korporativne mreže; fleksibilnost i neovisnost korporativnih resursa u odnosu na krajnje korisnike: zaposlenici i partneri dolaze u prvi plan. Iz tog su razloga današnje poslovne mreže vrlo daleko od tradicionalnog koncepta izolacije (unatoč činjenici da su izvorno tako okarakterizirane).

Zamislite ured: zidovi štite od vanjskog svijeta, pregrade i zidovi dijele ukupnu površinu na manje specijalizirane zone: kuhinju, knjižnicu, servisne prostorije, radna mjesta itd. Prijelaz iz zone u zonu događa se na određenim mjestima - u vratima, i, ako je potrebno, kontrolirati tamo dodatna sredstva: video kamere, sustavi kontrole pristupa, nasmijani čuvari... Ulaskom u takvu prostoriju osjećamo se sigurno, osjeća se povjerenje i dobra volja. Međutim, valja prepoznati da je taj osjećaj samo psihološki učinak temeljen na “teatru sigurnosti”, kada se svrha aktivnosti navodi kao povećanje sigurnosti, ali se zapravo samo formira mišljenje o njegovom postojanju. Uostalom, ako napadač stvarno želi nešto učiniti, tada boravak u uredu neće postati nepremostiva poteškoća, a možda čak i naprotiv, pojavit će se dodatne mogućnosti.

Ista se stvar događa u korporativnim mrežama. U uvjetima kada je moguće biti unutar korporativne mreže, klasični pristupi osiguravanju sigurnosti su nedostatni. Činjenica je da se metode zaštite temelje na internom modelu prijetnji i usmjerene su na suzbijanje zaposlenika koji bi slučajno ili namjerno, ali bez odgovarajućih kvalifikacija, prekršili sigurnosnu politiku. Ali što ako je unutra vješti haker? Cijena prevladavanja mrežnog perimetra organizacije na podzemnom tržištu ima gotovo fiksnu cijenu za svaku organizaciju iu prosjeku ne prelazi 500 USD. Na primjer, Dell crno tržište usluga hakiranja prikazuje sljedeći cjenik za travanj 2016.:

Kao rezultat toga, možete kupiti korporativno hakiranje poštanski sandučić, račun s kojeg će najvjerojatnije biti prikladan za sve ostale korporativne usluge tvrtke zbog raširenog principa Single Sign-on autorizacije. Ili kupite polimorfne viruse koje antivirusi ne mogu pratiti i koristite phishing e-poštu za zarazu neopreznih korisnika, preuzimajući tako kontrolu nad računalom unutar korporativne mreže. Za dobro zaštićene mrežne perimetre koriste se nedostaci ljudske svijesti, primjerice, kupnjom novih identifikacijskih dokumenata i dobivanjem podataka o radu i osobnom životu zaposlenika organizacije putem naloga cyber špijunaže, može se koristiti društveni inženjering i dobiti povjerljive informacije.

Naše iskustvo u provođenju testova penetracije pokazuje da se vanjski perimetar probija u 83% slučajeva, au 54% to ne zahtijeva visokokvalificiranu obuku. Istodobno, prema statistici, otprilike svaki peti zaposlenik tvrtke spreman je svjesno prodati svoje vjerodajnice, uključujući i one za daljinski pristup, čime se uvelike pojednostavljuje prodiranje mrežnog perimetra. U takvim uvjetima unutarnji i vanjski napadači postaju nerazlučivi, što stvara novi izazov za sigurnost korporativnih mreža.

Uzimanje kritičnih podataka i njihovo nezaštićivanje

Unutar korporativne mreže prijava na sve sustave je kontrolirana i dostupna samo već verificiranim korisnicima. No upravo se ova provjera pokazuje kao već spomenuto uobičajeno “sigurnosno kazalište”, jer stvarno stanje stvari izgleda vrlo sumorno, a to potvrđuju i statistike o ranjivostima korporativnih informacijskih sustava. Evo nekih od glavnih nedostataka korporativnih mreža.

• Lozinke iz rječnika

Začudo, korištenje slabih lozinki tipično je ne samo za obično osoblje tvrtke, već i za same IT administratore. Na primjer, usluge i oprema često zadržavaju zadane lozinke koje je postavio proizvođač ili se za sve uređaje koristi ista osnovna kombinacija. Na primjer, jedna od najpopularnijih kombinacija je Račun admin s lozinkom admin ili lozinka. Također su popularne kratke lozinke koje se sastoje od malih slova latinične abecede i jednostavnih numeričkih lozinki kao što je 123456. Na taj način možete brzo nametnuti lozinku, pronaći ispravnu kombinaciju i dobiti pristup korporativnim resursima.

• Pohranjivanje kritičnih informacija unutar mreže u otvorena forma

Zamislimo situaciju: napadač je dobio pristup internoj mreži; moguća su dva scenarija razvoja događaja. U prvom slučaju, informacije se pohranjuju u otvorenom obliku, a tvrtka se odmah izlaže ozbiljnim rizicima. U drugom slučaju, podaci na mreži su šifrirani, ključ je pohranjen na drugom mjestu - a tvrtka ima priliku i vremena oduprijeti se napadaču i spasiti važne dokumente od krađe.

• Korištenje naslijeđenih verzija operativni sustavi i njihove komponente

Svaki put kada se izda ažuriranje, istovremeno se izdaje i bijela knjiga s detaljima koji su problemi i greške ispravljeni u ažuriranju. nova verzija. Ako se otkrije sigurnosni problem, napadači počinju aktivno istraživati ​​ovu temu, pronalaze povezane pogreške i na temelju toga razvijaju alate za hakiranje.

Do 50% tvrtki ili ne ažurira svoj softver ili to učini prekasno. Početkom 2016. bolnica Royal Melbourne bolovala je od rada računala Windows kontrola XP. Prvobitno sletivši na računalo odjela patologije, virus se vrlo brzo proširio mrežom i na neko vrijeme blokirao automatizirani rad cijele bolnice.

• Korištenje vlastitih poslovnih aplikacija bez sigurnosnih kontrola

Glavna zadaća vlastitog razvoja je funkcionalna izvedba. Takve aplikacije imaju nizak sigurnosni prag i često se izdaju u uvjetima nedostatka resursa i odgovarajuće podrške proizvođača. Proizvod zapravo radi, obavlja zadatke, ali ga je istovremeno vrlo lako hakirati i dobiti pristup potrebnim podacima.

• Nedostatak učinkovite antivirusne zaštite i drugih sigurnosnih mjera

Vjeruje se da je zaštićeno ono što je vanjskom oku skriveno, odnosno unutarnja mreža je takoreći sigurna. Zaštitari pomno nadziru vanjski perimetar, a ako je tako dobro čuvan, haker neće ući u unutarnji. No zapravo, u 88% slučajeva tvrtke ne provode procese otkrivanja ranjivosti, ne postoje sustavi za sprječavanje upada niti centralizirana pohrana sigurnosnih događaja. Sve zajedno, to ne osigurava učinkovito sigurnost korporativne mreže.

Istovremeno, informacije koje se pohranjuju unutar korporativne mreže imaju visok stupanj značaja za poslovanje poduzeća: klijentske baze podataka u CRM sustavima i naplati, kritični poslovni pokazatelji u ERP-u, poslovna komunikacija u pošti, tijek dokumenata sadržan u portali i izvori datoteka itd. P.

Granica između korporativne i javne mreže postala je toliko nejasna da je postalo vrlo teško i skupo u potpunosti kontrolirati njezinu sigurnost. Uostalom, gotovo nikada ne koriste protumjere protiv krađe ili trgovanja računima, nemara mrežnog administratora, prijetnji implementiranih kroz društveni inženjering itd. Što tjera napadače da koriste upravo te tehnike kako bi nadvladali vanjsku zaštitu i približili se ranjivoj infrastrukturi s više vrijednosti informacija.

Rješenje može biti koncept informacijske sigurnosti, u kojem se sigurnost unutarnje i vanjske mreže osigurava na temelju jedinstvenog modela prijetnji, te s vjerojatnošću transformacije jedne vrste napadača u drugu.

Napadači protiv braniča - tko će pobijediti?

Informacijska sigurnost kao stanje moguća je samo u slučaju neuhvatljivog Joea – zbog njegove beskorisnosti. Sukob između napadača i branitelja odvija se na bitno različitim planovima. Napadači imaju koristi od kršenja povjerljivosti, dostupnosti ili integriteta informacija, a što je njihov rad učinkovitiji i djelotvorniji, to više mogu imati koristi. Branitelji nemaju nikakve koristi od sigurnosnog procesa; bilo koji korak je nepovratna investicija. Zbog toga je raširen sigurnosni menadžment temeljen na rizicima, u kojem se pažnja branitelja usmjerava na najskuplje (sa stajališta procjene štete) rizike s najnižim troškom njihovog pokrivanja. Rizici čiji je trošak pokrića veći od troška zaštićenog dobra svjesno su prihvaćeni ili osigurani. Cilj ovakvog pristupa je povećati troškove prevladavanja najslabije sigurnosne točke organizacije što je više moguće, stoga kritične usluge moraju biti dobro zaštićene bez obzira na to gdje se resurs nalazi - unutar mreže ili na perimetru mreže.

Pristup temeljen na riziku samo je nužna mjera koja omogućuje postojanje koncepta informacijske sigurnosti u stvarnom svijetu. Zapravo, braniče stavlja u težak položaj: igraju svoju igru ​​kao crni, samo odgovarajući na stvarne prijetnje koje se pojavljuju.