Практические рекомендации при защите информации в интернете (А. Теренин, "Финансовая газета. Региональный выпуск", N 51, декабрь 2006 г.)

Практические рекомендации при защите информации в интернете

В литературе подробно рассматриваются основные мировые и отечественные стандарты шифрования, хеширования, криптографических протоколов, а также методы построения систем информационной защиты, анализируются информационные уязвимости и риски и т.п., но все это отражается чаще всего только теоретически. Что же и как надо применять на практике? Этой теме посвящена настоящая статья.

Концепция информационной безопасности

Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и инфраструктуре.

На практике важнейшими являются три аспекта информационной безопасности:

целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);

конфиденциальность (защита информации от несанкционированного ознакомления);

доступность (возможность за разумное время получить требуемую информационную услугу).

Формирование режима информационной безопасности - проблема комплексная. Меры по ее решению можно подразделить на пять уровней:

законодательный (законы, нормативные акты, стандарты и т.п.);

административный (действия общего характера, предпринимаемые руководством организации);

процедурный (конкретные меры безопасности, имеющие дело с людьми);

технологический;

программно-технический (конкретные технические меры).

Результатом выработки концепции информационной безопасности является формирование политики информационной безопасности компании.

Защита корпоративных сетей

Если в вычислительной сети производится обработка сведений, составляющих коммерческую или иную тайну, то для обеспечения безопасности этой информации должны быть предприняты определенные меры.

Приведем возможную последовательность действий при построении системы защиты распределенной вычислительной сети компании:

обследование автоматизированной системы и разработка организационно-распорядительных документов;

выбор, приобретение, установка, настройка и эксплуатация средств защиты;

обучение персонала работе с имеющимися средствами защиты;

информационное обслуживание по вопросам информационной безопасности;

периодический аудит системы информационной безопасности.

При построении систем обеспечения информационной безопасности важно учитывать такие характеристики современных корпоративных сетей, как глобальность и разнородность.

Корпоративные системы строятся как сети, использующие внешние сервисы на распространенных протоколах сетевого взаимодействия (TCP/IP) и предоставляющие различные сервисы во внешнюю информационную среду для доступа пользователей, клиентов и сотрудников компании к корпоративной информации разного уровня.

Внешние сегменты корпоративных систем могут быть распределены по разным странам. Чтобы построить системы защиты для подобных трансграничных вычислительных сетей, нужно использовать средства защиты, соответствующие современным международным стандартам. Данные средства защиты должны быть сертифицированы и лицензированы в соответствии с национальными законами и стандартами в каждой отдельной стране.

Корпоративные системы строятся и развиваются не одно десятилетие. В их состав могут входить машинные платформы и операционные системы не только различных производителей (что является обычным для гетерогенных информационных средств), но и принадлежащие разным поколениям быстро прогрессирующих информационных технологий. Кроме того, многочисленные внутренние вычислительные сети филиалов и отделений компании в разное время строились по различным методам для решения местных задач и обеспечения локальных бизнес-процессов.

Необходимо также отметить, что в разных частях корпоративных систем хранятся и обрабатываются данные разной степени важности и секретности. Следует использовать средства разделения сегментов различного уровня критичности в плане информационных рисков. Важно, чтобы наличие многочисленных сервисов не противоречило простоте и удобству использования информационной системы. В противном случае даже без попыток взлома извне или изнутри будет трудно добиться устойчивой работы системы.

В настоящее время для создания корпоративных порталов и однородной среды взаимодействия пользователей с информационными ресурсами корпоративной системы ключевым является web-сервис.

В связи с этим принципиально важен вопрос о защищенности web-серверов компании, которые должны поддерживать традиционные защитные средства, такие, как аутентификация, разграничение доступа, поддержка трансакций, регистрация событий и т.д.

Этапы построения системы безопасности

Первым этапом построения системы безопасности является обследование корпоративной сети. По его итогам разрабатывается комплект документов (концепция информационной безопасности и план защиты), на основе которых будут проводиться работы по защите информации.

С учетом размеров современных корпораций, количества филиалов и отделений вычислительные системы для подобных предприятий в основном строятся из территориально разнесенных сегментов. Как правило, такие концерны и компании используют для внутренних нужд глобальные сети общего пользования. Следовательно, необходимо обеспечить защиту потоков корпоративных данных, передаваемых по открытым сетям. Для защиты от проникновения в сеть и от утечки информации из нее применяются межсетевые экраны.

В зависимости от характера обрабатываемой в том или ином сегменте сети информации и от способа взаимодействия между сегментами реализуется один из вариантов разграничения потоков информации:

никакого разграничения;

разграничение программными средствами;

разграничение средствами коммуникационного оборудования;

разграничение на основе аппаратно-программных комплексов.

В первую очередь требуется защита наиболее критичных ресурсов сети от вмешательства в нормальный процесс функционирования, а затем: защита главных рабочих мест и ресурсов от несанкционированного доступа, а также криптографическая защита наиболее важных информационных ресурсов.

На основе данных обследования можно перейти ко второму этапу плана - выбору, приобретению, установке, настройке и эксплуатации систем защиты в соответствии с разработанными рекомендациями.

Третий этап - обучение администраторов безопасности работе с приобретенными средствами защиты. В процессе обучения администратор приобретает базовые знания о технологии обеспечения информационной безопасности, а также знания об имеющихся в операционных системах подсистемах безопасности и возможностях изучаемых систем защиты, о технологических приемах, используемых при их настройке и эксплуатации.

Четвертый этап - информационное обслуживание по вопросам безопасности. Наличие своевременной информации об обнаруженных уязвимостях и способах защиты от них, безусловно, поможет предпринять некоторые меры заблаговременно. Источниками подобных сведений в настоящее время являются книги, журналы, web-серверы, списки рассылки и т.п.

Пятый этап - периодический аудит системы информационной безопасности - необходим потому, что корпоративная сеть является постоянно изменяющейся структурой.

Весьма эффективно создание корпорацией собственного доверенного центра. Как правило, это предполагает выработку и обнародование правил сертификации, установку серверов управления сертификатами и серверов каталогов.

Немаловажное значение имеют надежность и безопасность программного обеспечения, используемого в телекоммуникационных комплексах, особенно в случаях, когда передаваемая по ним информация составляет государственную тайну. Вместе с тем применяемые обычно методы тестирования программных продуктов не обеспечивают соблюдения этого требования в надлежащей степени.

Итак, для обеспечения информационной безопасности корпоративных систем необходимы следующие защитные сервисы и мероприятия:

разработка концепции информационной безопасности и политики безопасности;

обследование корпоративной системы и анализ информационных рисков;

разработка организационно-распорядительных документов;

организация защищенного подключения к Интернету вычислительных сетей филиалов организации;

создание безопасного канала передачи данных между объектами распределенной системы - постоянный канал передачи данных, обеспечивающий целостность, достоверность и конфиденциальность данных, передаваемых по нему, для этого применяются проверка качества канала связи, компрессия передаваемой информации, обнаружение и исправление ошибок при передаче данных по каналам связи, криптоалгоритмы с открытым ключом (например, в Интернете принят подобный стандартный защитный протокол передачи данных, называемый Secret Socket Layer - SSL), контроль за целостностью передаваемых данных, маршрутом передачи информации и уровнем защиты канала связи;

организация управления распределенными информационными ресурсами - защита корпоративных потоков данных, передаваемых по открытым сетям (безопасный обмен данными), разграничение доступа между сегментами корпоративной сети, разграничение доступа к различному уровню конфиденциальности и критичности информации;

обеспечение безопасности распределенной программной среды - контроль запуска несанкционированных приложений, в том числе вирусов и других вредоносных программ, использование сертифицированных средств защиты, надежного и безопасного программного обеспечения, безопасная инсталляция программного обеспечения на серверы вычислительной сети и рабочие места клиентов, контроль вызова сервисов и функций, предоставляемых системой, а также целостности данных, файлов и исполняемых программ, хранение критичных и ценных данных (ключи шифрования, коды доступа, одноразовые пароли и т.п.) в зашифрованном виде, их резервирование и архивирование, защита важнейших сервисов (в первую очередь web-сервиса);

организация безопасного сетевого взаимодействия - идентификация взаимодействующих объектов в распределенных системах, аутентификация пользователей в открытых сетях, поддержка трансакций, протоколирование и аудит в рамках сетевых конфигураций;

архитектура вычислительной системы - обеспечение простоты архитектуры информационной системы, защита подключений к внешним сетям, проведение регулярного тестирования аппаратной составляющей информационной системы, автоматическое восстановление работоспособности;

система информационной защиты - контроль за функционированием системы информационной защиты, поддержка средств реагирования и сигнализации администраторам о внештатных ситуациях, периодический аудит системы информационной безопасности, подсистема сетевого антивирусного контроля, обучение персонала работе с имеющимися средствами защиты, информационное обслуживание по вопросам информационной безопасности и сопровождение производителем установленных средств защиты.

В заключение хотелось бы отметить, что, конечно же, не существует стандартных решений, одинаково применимых в разных условиях. Но, реализуя комплекс перечисленных мероприятий с учетом дополнений, можно обеспечить достаточный уровень защищенности информации в корпоративной системе конкретной организации.

А. Теренин,

к.т.н, руководитель отдела тестирования GE Money Bank

"Финансовая газета. Региональный выпуск", N 51, декабрь 2006 г.

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.

Получить бесплатный доступ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.