Защита сетевой инфраструктуры предприятия

Содержание:

ВВЕДЕНИЕ

Данная курсовая работа посвящена теме защиты сетевой инфраструктуры предприятия.

Цель данной курсовой работы рассмотреть защиту сетевой инфраструктуры как один из основных аспектов деятельности IT-специалиста предприятия.

Любому администратору сети или it-специалисту, отвечающему за вопросы безопасности, рано или поздно придется столкнутся с проблемами организационного характера – разработкой нормативной документации, правил и запретов для пользователей. Многими специалистами не придается должного внимания этому моменту. Они сосредотачивают свою деятельность на технической стороне вопроса о защите. Но нельзя забывать о том, что только при помощи грамотной подготовке необходимых организации внутренних документов и положений в большинстве случаев можно избежать конфликтной ситуации и существенно облегчить деятельность администраторов и it-специалистов.

Из статистики видно, что количество подобных инцидентов возрастает с каждым годом. Значительную роль в таких инцидентах можно отдать пользователям - по имеющейся у нас статистике 41% всех инцидентов в открытой форме связаны с деятельностью пользователя носящей умышленный или неумышленный характер. Здесь стоить отметить, что большинство случаев такая проблема могла быть решена его своевременным обучением и созданием правил и инструкций, регламентирующих его деятельность. [14]

Типовой алгоритм процесса разработки нормативных документов представлен следующими моментами:

1. Введением IT-специалистов в состав штата службы безопасности.
2. Разработкой и утверждением положения о коммерческой тайне.
3. Разработкой и утверждением положения о защите информации.
4. Ознакомлением каждого пользователя под роспись.

Зачастую подобной службой называется «служба экономической и информационной безопасности». В ее штате предусматривается должность «специалист по защите информации». Подобные службы в большинстве случаев создаются в крупных фирмах, реже - в мелких. Но всегда существует возможность в организации подобной службы (хотя бы формально в бумажном виде) и вводе в ее штат представителя IT-отдела – обычно, такую роль отдают администратору. Существует несколько способов как это сделать в зависимости от сложившейся ситуации:

• Штат уже организованной службы безопасности расширяют 1-2 сотрудниками IT- подразделения по совместительству. Это неплохое решение.

• Реальным или формальным способом необходимо создать службу и включить в нее IT- специалистов, отвечающих за безопасность и защиту информации.

• Служба безопасности не создается, но издается приказ о том, что указанным IT-сотрудникам официально вменяется в обязанность обеспечение информационной безопасности.[11]

Возникает резонный вопрос – для чего нужна эта бюрократия, если определенные специалисты «де-факто» и так выполняют работы по защите сети и компьютеров? Ответ прост – специалист службы безопасности по должностной инструкции имеет право проводить инспекции и служебные расследования по фактам обнаруженных нарушений, проводить дознание, требовать написание объяснительных записок, осуществлять разработку нормативных документов в области безопасности и осуществлять контроль их исполнения. Обычно же, с точки зрения должностной инструкции администратор по штатному расписанию числится как «инженер-программист» и не имеет права выполнять большинство из перечисленных действий. Как следствие, он не имеет права давать поручения другим сотрудникам или требовать от них что-либо – он может только апеллировать к вышестоящему руководству, что существенно замедляет и усложняет многие мероприятия.

После создания службы безопасности и введения в ее штат IT-специалистов должен быть издан приказ, подписанный генеральным директором и доведенный до всех сотрудников. В этом приказе необходимо указать, что:

• С такого–то числа в фирме создана служба безопасности, и в частности сотрудники назначены специалистами по защите информации;

• Указанным специалистам вменяется в обязанность обеспечивать безопасность компьютерной сети, разрабатывать нормативные документы, проводить инспекции, учения и служебные расследования по факту нарушений;

• Сотрудники фирмы обязаны по первому требованию предоставлять средства вычислительной техники для инспекции, настройки или иных технических мероприятий, производимых указанными сотрудниками.[8]

Издание подобного приказа уже решает ряд проблем. Рассмотрим реальную ситуацию. Администратор сети обнаруживает распространение сетевого червя, идущее с компьютера бухгалтера К. Бухгалтер отказывается предоставить компьютер для лечения, мотивируя это подготовкой срочных отчетов. В данной ситуации обычный администратор сети не имеет права требовать что-либо – он может обратиться к своему руководству, оно, в свою очередь, обратится к руководству бухгалтерии, будет проведено обсуждение надобности и срочности выполнения данной операции, согласование и так далее. В результате работа по ремонту компьютера рано или поздно будет выполнена, но к этому времени эпидемия распространится по всей сети.[3]

Данная работа может быть успешно выполнена путем последовательного решения поставленных задач:

1. Рассмотреть особенности создания нормативно-правовой документации о защите сетевой инфраструктуры предприятия.
2. Изучить исследования Gartner в области защиты сетевой инфраструктуры.
3. Ознакомиться с такой разновидностью как, внедренная интегрированная защита.

1. Защита сетевой инфраструктуры предприятия, нормативно-правовая документация

1.1 Создание положения о коммерческой тайне предприятия

После создания (пусть хотя бы на бумаге) службы безопасности, специалисты по защите информации должны выполнить следующий шаг – разработать, согласовать и утвердить положение о коммерческой тайне. Это важнейший документ, описывающий, какая информация конкретной организации является коммерческой тайной. Типовой вариант положения содержит несколько разделов:

• Общие положения. Это обязательный раздел, содержащий описание назначения документа, а также ссылки на законы РФ, на которых основано данное положение;

• Расшифровка терминов и понятий, используемых в документе. Этот раздел готовится в расчете на то, что изучать документ будут рядовые пользователи, не знакомые с терминологией. В данном разделе обязательно необходимо раскрыть смысл терминов «режим коммерческой тайны», «носитель коммерческой тайны», «информация, составляющая коммерческую тайну», «ноу-хау»;

• Перечень сведений, составляющих коммерческую тайну. В данном перечне обязательно прописывается порядок работы с персональными данными сотрудников, так как их разглашение запрещено законом. Кроме того, крайне желательно внести в перечень информацию о структуре сети, применяемых технологиях защиты, параметрах доступа к серверам и базам данных - для этой информации можно ввести гриф «строго конфиденциально»;

• Свод методик и мероприятий, направленных на защиту коммерческой тайны. В частности, в данном разделе может даваться ссылка на положение о защите информации, речь о котором пойдет далее;

• Порядок получения доступа к тайной информации;

• Специальные обязанности лиц, имеющих допуск к коммерческой тайне и отвечающих за защиту коммерческой тайны;

• Наказание за нарушение правил работы с информацией, составляющей коммерческую тайну.[21]

С практической точки зрения в перечень сведений, составляющих коммерческую тайну, желательно включить пункт «информация, хранящаяся на файловых и почтовых серверах, а так же на серверах без данных». За счет включения данного пункта в положение любое посягательство на серверы и базы данных со стороны сотрудников фирмы или атака извне может рассматриваться как атака с целью искажения и похищения конфиденциальной информации. Другой практический аспект – это обеспечение доступа к сведениям, составляющим коммерческую тайну. В идеале он должен обеспечиваться по унифицированным заявкам, которые подшиваются и хранятся достаточно длительное время. В Майкопэнерго, к примеру, это реализовано следующим образом – существуют унифицированные заявки, которые заполняются сотрудником или специалистом IT-отдела. Далее заявка подписывается составившим ее специалистом, директором филиала, начальником службы безопасности, директором IT-подразделения, и, наконец, выполнившим заявку администратором. Данные заявки хранятся в базе данных, и в случае утечки информации или несанкционированного доступа очень легко установить, какие права имеет указанный пользователь, когда и кем составлены заявки на доступ и когда этот доступ был предоставлен. Важность подобного подхода возрастает пропорционально количеству пользователей и администраторов.

После согласования и утверждения положения о коммерческой тайне оно вводится в действие приказом генерального директора фирмы.[9]

Рассмотрим несколько типовых примеров из практики, возникающих при отсутствии положения о коммерческой тайне:

• Сотрудник Х получает несанкционированный доступ к базе данных. Администраторы фиксируют этот факт, но в ходе служебного расследования сотрудник заявляет, что делал это из любопытства и не знал, что эти данные являются конфиденциальными. В данном случае официально наказать сотрудника невозможно, так как он не подписывал никаких документов о режиме коммерческой тайны. Кроме того, весьма спорным является вопрос о степени конфиденциальности той информации, к которой сотрудник успел получить доступ.

• Увольняется администратор фирмы Х. Пришедший ему на смену новый администратор сталкивается с проблемой – отсутствует информация о том, каким пользователям и на основании чего был предоставлен доступ к базам данных и серверам. Подобная проблема легко решается разве что в небольшой сети (10-20 пользователей).

• Администратор базы получает устную просьбу о подключении сотрудника К к базе данных от начальника одного из отделов. Через некоторое время происходит утечка информации по вине сотрудника К, и в ходе служебного расследования выясняется, что никаких документальных оснований (если не считать устную просьбу) на предоставление доступа к информации у администратора не было.[4]

1.2 Создание положение о защите информации на предприятии

Разработка данного документа должна производиться IТ-специалистами совместно со специалистами службы безопасности. Этот документ регламентирует порядок работы пользователей в корпоративной сети, устанавливает их права, обязанности и ответственность. Положение о защите информации обязательно должно опираться на положение о коммерческой тайне. Типовое положение о защите информации состоит из пяти частей:

• Общие положения. В нем описывается назначение документа, расшифровываются специальные термины;

• Требования программистам, выполняющим разработку и внедрение программного обеспечения. Данный пункт имеет смысл только в том случае, если фирма разрабатывает ПО для своих нужд, однако ввести его в положение стоит в любом случае. Данный раздел регламентирует взаимоотношения разработчиков ПО и администраторов, а также описывает требования к программному обеспечению с точки зрения политики информационной безопасности;

• Требования к ПО сторонних разработчиков. Данный раздел аналогичен предыдущему, но основной упор в нем делается на порядок экспертизы ПО, его тестирования и внедрения. В данном разделе должно указываться, кто именно проводит экспертизу (обычно ее выполняют специалисты по защите информации) и в какие сроки она производится;

• Свод правил и обязанностей пользователей по обеспечению режима информационной безопасности при эксплуатации средств вычислительной техники, средств сетевых коммуникаций и программного обеспечения. Это самый важный раздел положения, он, в свою очередь, может состоять из двух подразделов: [7]

- Обязанности пользователей;

- Запреты и правила. Этот подраздел следует проработать особо тщательно, перечислив в нем все действия и программы, которые запрещены для пользователя;

• Порядок и последовательность действий должностных лиц в случае обнаружения нарушения режима информационной безопасности. В идеале это пошаговый алгоритм с набором действий на случай возникновения нештатных ситуаций. В этом же разделе описывается порядок отключения пользователя от предоставленных ему ресурсов сети в случае нарушений, изъятия компьютера для анализа, ведения служебного расследования и наказания за нарушения. [2]

После разработки положение должно быть утверждено генеральным директором и доведено до всех пользователей под роспись.

В положении о защите информации в обязательном порядке следует оговорить правила работы с электронной почтой и Интернет. В идеале формулировка имеет вид «Интернет, электронная почта и иные ресурсы ЛВС предназначены исключительно для решения задач производственного характера». Наличие данного пункта позволяет администратору устанавливать фильтры на почту и Интернет, контролировать при необходимости трафик пользователя и официально наказывать за злоупотребления. Кроме того, в запретительной части рекомендуется отметить, что запрещается:

• Отключать антивирусные программы и иные средства защиты, препятствовать их работе или изменять настройки;

• Подключать к компьютеру постороннее оборудование (в частности модемы и сотовые телефоны), а так же запрещается подключать к локальной сети посторонние компьютеры;

• Устанавливать и использовать средства администрирования и мониторинга сети, в частности снифферы, сканеры, искатели уязвимостей, а также прокси-серверы, почтовые серверы и серверы баз данных, системы удаленного управления и администрирования.[15]

Практическая ценность данного документа очень велика. Без него администраторы в глазах пользователя часто выглядят самодурами и тиранами, которые по только им ведомым причинам закрывают сайты, блокируют почтовые рассылки и чаты, запрещают установку того или иного программного обеспечения или урезают права пользователя.

Рассмотрим несколько практических примеров

Пример 1. Один из недавно принятых на работу программистов загружает и запускает сканер сетевой безопасности XSpider и применяет его с максимальными настройками к корпоративному WEB-серверу. Реакция сервера на запросы замедляется, администраторы фиксируют факт атаки и принимают экстренные меры. После обнаружения источника проблемы программист объясняет, что решил сделать это для самообразования и не знал, что выполнять подобные операции в сети нельзя. Причина: отсутствие положения о защите информации – пользователь сети не знает о том, какие операции допустимы или недопустимы, и как следствие его невозможно наказать.

Пример 2. Администраторы отключают пользователя X от Интернет. В ответ пользователь подключает к компьютеру свой сотовый телефон и выходит в Интернет напрямую. В результате на его компьютер проникает вирус, и в сети начинается эпидемия. Причина возникновения подобного инцидента аналогична предыдущей – отсутствует документ, запрещающий подобные операции, и поэтому пользователя невозможно наказать за создание в сети эпидемии вируса. [11]

2. Исследование Gartner в области защиты сетевой инфраструктуры

2.1 Создание группы реагирования на компьютерные инциденты (cyberincident response team – CIRT)

В период соответствующий выпуску приложения SPECTRUM Security Manager президентом компании Aprisma Management Technologies Майком Скьюбицом (Mike Skubisz) было сделано заявление по этому поводу. В открытом письме, опубликованным при исследовании компании Gartner, и посвященным вопросам информационной безопасности. Президентом компании Aprisma была дана характеристика нового продукта как новаторского решения, являющегося расширением архитектуры SPECTRUM Service Level Intelligence TM обеспечивающим процесс интеллектуального управления информационной инфраструктурой. [13]

Господином Скьюбицом был отмечен тот факт, что процесс удовлетворения требований по решению в области управления путем увеличения уровня сервиса приводит к увеличению конкурентоспособности и повышению эффективности функционирования предприятия или организации. С технологической точки зрения, чтобы создать решения в области управления уровнем сервиса стоит прийти к решению трех основных проблем: расширяемость, совместимость и управляемость. Господин Скьюбиц считал, что компанией Aprisma предоставляется решение, превращающее эти проблемы в достоинства. [14]

Затем президентом компании Aprisma была сделана остановка в области преимуществ использований Security Manager. Дезинтегрировав событие защиты, генерировав предупреждения об инцидентах, и проанализировав состояния систем защиты инфраструктура предприятия, Security Manager может эффективно интегрировать управление защитными элементами в управление сетью, системой и приложением.

Майк Скьюбиц отмечает лидерство компании Aprisma в управлении информационной инфраструктурой. Стратегическое сотрудничество с разработчиками оборудования и программного обеспечения и собственные инвестиции в исследовании и разработке, позволяет Aprismе концентрировать свои усилия в области программных инноваций, результатом чего являются решения, способствующие успеху сервис-провайдеров и других организаций, выбравших для применения SPECTRUM. [11]

Примером применения CIRT является следующий момент.

Один из вопросов, освещавшихся в данном исследовании, являлся вопросом о создании групп реагирования на компьютерные инциденты (cyberincident response team - CIRT). Это представляет собой второй после внедрения системы обнаружения вторжений шаг создающий законченную архитектуру защиты инфраструктуры.

В результате компьютерных инцидентов (хакерства, ошибок пользователей, вирусных атак или атак типа"отказ в обслуживании") можно прийти к отказу системы и приложения, или к утрате значимой информации. Первый шаг предотвращающий такие события - это разработка точного алгоритма реагирования на кибер инциденты (cyber-incident response plan - CIRP), привязанный к сетевой системе обнаружения вторжений (network intrusion detection system - IDS). CIRP должен добиваться того, чтобы все элементы бизнеса, включающие всё многообразие компьютерных систем, сетей и приложений - пользовалось минимальным количеством защитных политик и практик, которые будут четко инструктировать все руководство об степени его ответственности при возникновении инцидента.

Крайне маловажен тот факт, на сколько хорош план, однако скорее всего большинство предприятий будет подвержено атакам произошедшим из-за использования ошибок в операционной системе и в поддерживаемом ею приложении. При возникновении атаки, ее необходимо как можно быстрее обнаружить и согласно соответствующему плану дать реакцию не позднее чем за 30 минут. Ответ на инцидент координируют специалисты CIRT, имеющие опыт в работе с областью технических аномалий и умеющих, при необходимости, восстановить схему совершения преступления.

Приведенный далее пример основывается на анонимном характере информации финансовой компании, которая является клиентом Gartner (Anonymous Financial Services Provider - AFSC). Это пример того, как CIRT обеспечило достаточное количество ресурсов, которые нужны в борьбе с компьютерным преступлением не имея возможности использовать дополнительные затраты или применять специализированные технические средства. [8]

Проблема существовавшая не многим более трех лет назад привела высшее руководство AFSC к пониманию того, что не смотря на то, что компьютерное оборудование компании было очень хорошо защищено, за его безопасностью распределенного сетевого окружения не велся контроль. Причиной к этому послужило отсутствие у руководства AFSC опыта организации сетевой безопасности. Более того в AFSC не было централизованных средств защиты и штата или сотрудника, несущего ответственность за соблюдение принципов безопасности сети.

В результате специалисты предложили следующее решение:

Изначально оценка системы защиты AFSC показала, что у предприятия не достаточно ресурсов, что бы каественно реагировать на компьютерные инциденты, приводящие к угрозе нанести ущерб инфраструктуре.

По причине отсутствия в штате обслуживания ЭВМ сотрудника обладающего необходимым опытом руководства в области безопасности сетевой инфраструктуры, которая обеспечивает работу более 80000 служащих, в AFSC было принято решение о создании вакансии ISO, и найме профессионалов в информационной безопасности, специалистов в области защиты операционных систем и сетей, которые несли бы ответственность за создание и функционирование CIRT. Однако, значительно увеличивать запланированные расходы никто не планировал.

AFSC также обратилась с просьбой помочь к самой крупной консалтинговой фирме с просьбой оценить состояние защиты своей инфраструктуры. Результатом проведения такой оценки, стало получение AFSC обзора слабых мест защиты и шагов, которые нужно сделать, что бы исправить ситуацию. Фирмой также была оказана помощь ISO при разработке политики и процедуры по обеспечению AFSC прочной основой при построении своей архитектуры безопасности.

Результатом стало следующее:

Прошло около года с момента начала проекта до того, как CIRT стала функционировать в системе всей архитектуры безопасности.

Основной причиной задержки стала необходимость в определении для группы ролей и обязанностей, а также политик и процедур.

Полномочиями CIRT обуславливалось принятие и подтверждение всех правил всеми другими подразделениями предприятия.

Создавая CIRT, специалисты предприятия рассмотрели множество ее моделей - CERT, FIRST и SANS. Были учтены рекомендации RFC 2350. После чего рекомендацию RFC 2350 и модель SANS скомбинировали и объединили в модель, которая более всего соответствовала целям AFSC. После согласования и утверждения модель CIRT запустили в работу.

2.2 Построение виртуальной команды, работа с CIRT, рекомендации для предприятий

Временных сотрудников для работы в CIRT отбирали, учитывая значимость их деловых ролей в компании и влияние на них недостатков в защите.

Подразделения и вверенные им группы безопасности определяли первичные ресурсы, так как их коллектив имел широкий набор технических навыков, обеспечивающих безопасность.

Концепция виртуализации команды одержала победу, так как не полностью занятые служащие CIRT и их заместители были разбросаны по городам Америки. Виртуальную команду не ограничивали сотрудники, являющиеся техническими экспертами, но ее расширили чтобы включить персонал при работе со связями юристов и общественности. Для участия также пригласили руководителей, имеющих право принимать значимые решения.

Чтобы иметь возможность оказывать помощь партнерам участвующим в этих виртуальных группах, ответственные за координацию архитектуры защиты и остальные подразделения между ними заключили соглашения. Эти соглашения определяли запросы от ISO помогающие взаимодействовать с CIRT имеющие отклик в системе классификации четырех уровней важности. В соглашениях определили гарантии и требования о наличии резервов человеческих ресурсов, который должен реагировать на запрос и оказать помощь, в случае присвоения CIRT тревоге статус in progress.

Последующая работа CIRT.

Раз в полгода AFSC проводится практические занятия, в которых принимает участие весь коллектив CIRT. Цель этого обучения обеспечить то, чтобы команда была способна реагировать на инциденты не позднее 30 минут.

Профессионалы безопасности AFSC еще не сталкивались с серьезными или даже со средними по степени сложности, атаками на своей фирме. Они считают, что это результат усилий, которые они прикладывали предыдущие три года.

Среднестатистическое количество инцидентов на которые дал реакцию CIRT, задействовало от шести до двенадцати сотрудников основных сил. Когда двое из основных сотрудников CIRT не принимают участия в реагировании на инцидент, они скорее всего заняты тестированием на уязвимость сети и операционных систем. Командой понимается, наличие долгосрочной перспективы в процессе обеспечения высокой степени защиты от угроз, требующей дополнительных ресурсов; однако усилия команды привели к созданию приемлемого уровня безопасности не выделяя на это целого штата сотрудников.

От чего зависела успешность проекта CIRT?

Главная причина успеха проекта CIRT это то, что исполнительным руководством был одобрен этот проект до того, как его одобрили другие подразделения. Большие усилия были приложены в организации взаимодействия между назначениями, целью, политикой и процедурой CIRT.

Коллектив организации не имел великого опыта в сфере безопасности, который так нужен при реализации проекта такой величины.

Набор дополнительных сотрудников был решающим для успешности проекта. ISO нанимал служащих с хорошим опытом в технологии реагирования различными формами на инциденты и выбрал из них руководителя CIRT, ответственного за ежедневные происшествия. ISO брал такого менеджера сроком на три месяца, с целью введения в действие CIRT и формализации его создания.

В течение этого трехмесячного начального периода два консультанта от консалтинговой фирмы составляли оригинальный всеобъемлющий план архитектуры информационной безопасности для того, чтобы AFSC участвовал в развертывании CIRT.

В результате проведенного исследования можно предложить следующие рекомендации предприятиям, решившим создать CIRT:

ISO предлагает пару рекомендаций для предприятий, которые только начинают проект CIRT:

1. Взаимодействовать исполнительным руководителям стоит посредством высшего руководства. Это поможет предотвратить ISO непосредственное взаимодействие с подразделениями, которое определяет основные препятствия в выполнение проекта.
2. Документы регламентирующие модель от SANS оказались очень полезными при описании дислокации проекта и оказании влияния, на предприятие. Сейчас основной выгодой, полученной благодаря усилиям CIRT - является реализация совместного проекта данной группы с группой обеспечивающей качество и создание добавленной стоимости для управления риском.

Основным фактором для того, что бы степень безопасности в AFSC оказалась выше, чем в других организациях финансового рынка стала объединение безопасности с деловыми процессами.

3. Внедренная интегрированная защита

3.1 Сетевая защита — внедренная в сеть, интегрированная в продукт

В наши дни сети становятся все более распространенными по географическому признаку и в соответствии с количеством охватываемых ими сообществ внутреннего и внешнего вида. Они имеют более сложный характер, могут поддерживать более широкий спектр разнообразия приложений и услуг, обрабатывающий смешанные данные, голосовые и видео трафики, которые он передает при помощи своих проводных и беспроводных подключениях. Несмотря ни на что, сеть становится все более открытой — можно использовать недоверенные виды сетей общего пользования, подключать партнеров. Неспешно сеть становится деловым инструментом. По сути, дробление сетей на частные и общественные становится понятие все более неопределенным.

Обширность, сложность и открытость сетевой среды может увеличивать потребности в постоянной и разносторонней защите, потому как все части сети необходимо защитить, и не подвергать вредному воздействию.

Здесь необходимо обсудить и рассмотреть описание внедренной, интегрированной защиты — как одного из самых действенных способов защиты. Можно указать пути интеграции и рассмотреть некоторые имеющиеся, но совсем недавно появившиеся решения пакета Cisco Integrated Network Security Solutions.

Для начала стоит ознакомиться, со следующими аспектами:

Внедренный, интегрированный способ защиты создан для того чтобы уберечь сети перед внешними и  внутренними угрозами, поддержав необходимое равновесие необходимого доступа и необходимой защиты.[12]

Это означает, что функциональные возможности защиты должны быть внедрены и интегрированы всюду — от главной сети и до оконечных точек сети — но при этом защита должна быть прозрачна для пользователей и приложений.

Цель состоит в том, чтобы встроить в сеть набор таких защитных возможностей, которые бы создали «интеллектуальную самозащищенную сеть». Такая сеть сможет самостоятельно идентифицировать начало нападения и его ход, при необходимости выдать предупреждение, а затем отреагировать автоматически без участия пользователя.

«Интегрированная защита» описывает функциональные возможности защиты, которые обеспечиваются на сетевом устройстве, например на маршрутизаторе, коммутаторе или на точке беспроводного доступа. По мере прохождения трафика через сетевое устройство, он должен просматриваться и анализироваться, а затем либо отклоняться, либо разделяться, либо разрешаться. Для этого необходимо, чтобы устройство с интегрированной защитой обладало интеллектуальностью, производительностью и масшабируемостью.

«Внедренная защита» означает функциональные возможности защиты, которые распределены по важнейшим участкам сетевой инфраструктуры, и которые присвоены, например, рабочим станциям конечных пользователей, удаленным подразделениям, центру данных и проч.[22]

3.2 Факторы интеграции

В этом разделе рассматриваются факторы, от которых зависит потребность в интегрированной, внедренной защите сетей.

Сети все чаще становятся источниками или объектами атак.

Угрозы могут исходить из недр самого Предприятия или из пограничных областей сети. Суть в том, что защита должна охватывать все аспекты работы сети, а не только защиту периметра или подключений к недоверяемым доменам. Такую всеобъемлющую оборону способна обеспечить только внедренная и полностью интегрированная защита.[10]

Ответственность за политику безопасности, развертывание сети и закупку оборудования изменяется. Уже не так изолированно друг от друга работают Группы администраторов сети (NetOps) и администраторов защиты (SecOps). Традиционная модель развертывания сети заключалась в том, что «сетевики» (NetOps) закупали оборудование и запускали сетевую инфраструктуру, а «безопасники» (SecOps), располагая значительно меньшими бюджетом и ресурсами, работали как обособленная и узко специализированная группа. Эти две группы имели различные роли: «сетевики» обеспечивали доступ, а «безопасники» должны были этот доступ ограничивать, что создавало напряженность внутри Предприятия. Однако, возрастающая угроза и потребность в таких новых технология как IP телефония и беспроводная связь подвели «сетевиков» и «безопасников» к необходимости тесного сотрудничества. Кроме того, в стратегию и развертывание защиты теперь все более вовлекается уровень CxO, который стимулирует «сетевиков» и «безопасников» к еще более тесному сотрудничеству.[10]

Организационная интеграция обуславливает необходимость интегрированной и встроенной защиты. Если защиту строят совместно «сетевики» и «безопасники», то интегрированное решение весьма упрощает задачу.

Организация защиты является приоритетом на всех Предприятиях, однако, бюджеты требуют экономии уже сейчас, а не в перспективе. Интегрированная защита предлагает самую низкую общую стоимость эксплуатации:

• Ввод сервисов защиты в уже имеющееся сетевое устройство означает, что имеющийся модуль, блок питания, сетевые карты и другие компоненты можно использовать и для дополнительных задач. Если же сетевое устройство само по себе является составным и допускает наращивание производительности, то стоимость эксплуатации еще более снижается.
• Управлять новыми службами безопасности позволяют имеющиеся системы управления и контроля.
• Появляются возможности завершить или наоборот расширить текущие договора о поддержке пользователей, предложив им новые возможности защиты.
• Снижается необходимость подготовки кадров, поскольку в качестве платформы защиты используется уже знакомая им система.
• Когда сбалансированное распределение загрузки реализуется как часть интегрированного решения защиты, у Предприятия появляется возможность уменьшить количество серверов и систем защиты типа межсетевых экранов, экономя при этом на вложениях в это оборудование.

Перспективы расширения

Все более расширяющаяся природа сетей является одной из сторон проблемы масштабирования. В настоящее время сеть должна справляться с увеличением количества пользователей, сайтов и услуг. Сеть должна обрабатывать постоянно увеличивающиеся количества трафика — голосового, видео или данных. Теперь сеть поддерживает проводные и беспроводные подключения.[10]

Фактически управление этой средой является весьма проблемным и почти невозможным, если на Предприятии не применяется интегрированный подход. Проблема масштабирования значительно смягчается если, например, интегрированная система управления позволяет управлять сетью интегрированных устройств, имеющих структуру унифицированной идентификации.

Интеграция решений

Наконец, все компоненты сети должны взаимодействовать и функционировать как единое целое.

Рассмотрим центр обработки данных. Он состоит из множества серверов, связанных с внешним миром посредством коммутаторов и маршрутизаторов. Серверы необходимо защитить; маршрутизаторы и коммутаторы должны иметь собственные средства защиты. Кроме того, общая архитектура должна быть функциональной и масштабируемой, а так же иметь интегрированную подсистему управления ею. [22]

3.3 Стратегия интеграции от Cisco

Интеграция защиты во всю сеть — фундаментальный аспект стратегии Cisco в области развития и маркетинга. В планы интеграции входят следующие пункты:

• Обеспечить возрастающее количество функций защиты, интегрированных в Cisco IOS. Это программное входит во все платформы Cisco — от решений для удаленных работников и офисов и до решений для главной сети.
• Обеспечить защитные функции в отдельных устройствах защиты и в интегрированных сетевых устройствах, которые кроме этого поддерживают подключения локальных и территориальных сетей передачи данных.
• Предложить такую инфраструктуру управления и контроля, которая обеспечит простое создание интегрированной, внедренной защиты.
• Обеспечить масштабируемую и многофункциональную структуру защиты. В настоящее время сеть становится важным деловым инструментом, который не должен выходить из строя никогда.
• Наконец, обеспечить развертывание модели для клиентов и Предприятий, нуждающихся в интегрированной встроенной защите. Это является задачей архитектуры Cisco SAFE.

Степени интеграции Cisco IOS.

Cisco IOS Software — программное обеспечение, которое управляет всеми маршрутизаторами и коммутаторами Cisco. Большой набор его защитных функций расширяется с каждым новым выпуском. В Cisco IOS входят разнообразные функции от механизмов запрета/разрешения доступа, например, списки контроля доступа (списки ACL) и поддержка различных типов VPN, защита от вторжений, сервисы сложной идентификации и экранирования.

В настоящий момент Cisco IOS Software имеет три ряда функциональных возможностей:

• Устойчивые сервисы защиты
• Всеобъемлющие сервисы IP такие как маршрутизация, качество обслуживания (QoS), многоадресная рассылка, голос по IP (VoIP)
• Защищенное управление, защита управляющего трафика и возможность управления пакетом Cisco IOS Software на устройствах. Пакет Cisco IOS Software отличает именно интеграция этих трех рядов. Наглядный пример решения, которому весьма выгодна интеграция Cisco IOS Software — Cisco Voice and Video-Enabled IPSec VPN (V3PN). Это решение гарантирует соответствующее качество и устойчивость зашифрованного голосового и видео-трафика благодаря таким новым особенностям Cisco IOS Software как качества обслуживания для приложений, требующих малой задержки и динамическому резервированию протокола IPSec, позволяющему избежать разрыва соединений.[1]

Специализированные и сетевые устройства.

Специализированные устройства — специализированные защитные системы, выполняющие одну или несколько защитных функций; например, межсетевой экран также поддерживает VPN или возможности защиты от вторжений. В Cisco PIX Firewall имеется встроенный модуль VPN, а так же программно реализованные VPN и система обнаружения вторжений (IDS).

Интегрированные сетевые устройства поддерживают подключения сетей (LAN, WAN по отдельности и совместно), сервисы IP и сервисы защиты; в качестве примера можно назвать маршрутизатор, который одновременно выполняет роль межсетевого экрана. Маршрутизаторы Cisco SOHO 90 и 831 — недавно появившиеся образцы решений для удаленного офиса, обеспечивают интегрированную защиту и подключения по Ethernet и ADSL. [1]

Другой пример интегрированных функциональных возможностей программного решения Cisco IOS — интеллектуальный коммутатор, который поддерживает коммутацию и защиту на Уровне 2 и Уровне 3. Коммутатор Catalyst Cisco 6500 теперь имеет такие функции как защита от вторжений, межсетевой экран, сети VPN, Secure Socket Layer (SSL) и другие модули защиты.

На сегодняшний день Предприятия могут выбирать между отдельным прибором и интегрированным сетевым устройством. Чтобы сделать правильный выбор, нужно рассмотреть следующие факторы:

• Бюджет. Реализация защиты на имеющемся сетевом оборудовании дает максимальную экономию средств как при внедрении так и при эксплуатации. Кроме того, для управления функциями защиты можно использовать имеющуюся инфраструктуру управления.
• Простота. Узкофункциональное или выделенное устройство защиты является наиболее простым в установке и в управлении. Многофункциональные устройства по определению состоят из различных элементов и это усложняет конфигурирование и повышает вероятность ошибок. В отличие от них, узкофункциональное устройство имеет ограниченный набор конфигураций.
• Модульность. Идеальным решением для сети филиала может стать интегрированное сетевое устройство, обеспечивающее на единой платформе защиту и связь. Однако, для главной сети или для обширного проекта может оказаться более предпочтительным модульный подход. Например, Catalyst Cisco 6500 имеет гибкую, настраиваемую и модульную архитектуру, что позволит в будущем защитить вложения в это оборудование.
• Организация контроля. «Безопасникам» может потребоватся платформа, контролировать и конфигурировать которую сумеет только группа специалистов; такое решение может подвести к выбору специализированных устройств, а не интегрированных сетевых устройств. Если же за защиту сети отвечают «сетевики», то, в отличии «безопасников», они они скорее выберут интегрированное сетевое устройство — по соображениям простоты. [21]

Масштабируемые, работоспособные сети

Масштабируемую инфраструктуру можно расширять по мере надобности. Работоспособность сети гарантирует то, что важнейшие приложения и сервисы доступны пользователям в любой момент и без перебоев. С точки зрения бизнеса сеть должна обладать гибкостью и расширяемостью. На сегодняшний день у предприятий есть несколько способов создать масштабируемую и надежную инфраструктуру:

• Сбалансированное распределение сетевого трафика и запросов на обслуживание между коммутаторами и серверами и даже между центрами обработки данных. Преимущества состоят в том, что решается проблема пиковых нагрузок трафика и сокращается количество сетевого оборудования, необходимого для поддержки рабочей загрузки. Примеры решений для распределения загрузки — модуль для коммутаторов Catalyst Cisco 6500, и коммутаторов контента Cisco CSS 11000 и 11500.
• Динамическое переключение способствует резервированию устройств на случай выхода из строя причем без каких-либо потерь связи конечных пользователей. Маршрутизаторы Cisco IOS и платформы концентраторов Cisco VPN 3000 являются примерами устройств, обеспечивающих динамическое переключение. Возможность динамического переключения обеспечивает возможность резервирования, но связь в точке отключения может потеряться.
• Избыточность. Избыточность это дублирование устройств таким образом, что в случае сбоя отдельного сетевого устройства (или нескольких сетевых устройств) их задачи принимает на себя избыточный модуль сетевого устройства.
• Послеаварийное восстановление. Послеаварийное восстановление множества узлов можно осуществить с помощью глобального сбалансированного распределения загрузки серверов (GSLB) — возможности, предлагаемой устройством Cisco GSS 4480 Global Site Selector. Непрерывное наблюдение за работой и состоянием распределителей загрузки серверов гарантирует быструю переадресацию пользователей на резервный центр данных в случае если первичный центр данных перегружен или вышел из строя. [21]

ЗАКЛЮЧЕНИЕ

Успех любого проекта CIRT зависит от понимания необходимости продолжения диалога между ISO и руководителями всех подразделений.

Очень важно, чтобы эти руководители никогда не теряли понимания того, что пытается делать CIRT и о том факте, что успех был достигнут общими усилиями. CIRT может достигнуть целей, если будут ясно сформулированы его роли и обязанности. Наконец, важно так позиционировать ожидания, чтобы каждое подразделение понимало, что должно ежедневно делаться для уменьшения рисков, связанных с кибер-угрозами всех видов.

Мы рассмотрели основные моменты, связанные с подготовкой необходимых документов и стандартов, регламентирующих работу пользователей. Описанный алгоритм действий, естественно, не является догмой, но он проверен практикой и показал неплохие результаты. Важно отметить, что разработка вышеописанных документов в идеале должна производиться до выполнения практических мероприятий, и их содержимое должно отражать особенности деятельности фирмы и специфику ее работы.

В настоящее время сетевые устройства типа маршрутизаторов и коммутаторов предлагают расширенные сетевые сервисы и услуги связи плюс сложные сервисы защиты.

Параллельно с этим узкофункциональные устройства защиты, например, межсетевые экраны и концентраторы VPN, получили дополнительные защитные сервисы типа обнаружения вторжений. Обобщая, можно утверждать, что возможности продуктов с интегрированными функциями соответствуют или как минимум удовлетворяют рыночным требованиям интеграции.

Совершенствование информационной безопасности критически важно для поддержания производственной деятельности, репутации и экономической стабильности любой организации. Новые законы требуют обеспечения все большей защиты информации, и ежедневно появляются все новые угрозы компьютерной и сетевой безопасности. Проект SAFE по обеспечению безопасности электронного бизнеса от фирмы Cisco Systems предлагает лучшую практическую информацию для тех, кто заинтересован в проектировании и развертывании безопасных сетей, с учетом возможных угроз и методов их нейтрализации. Для совершенствования защиты своих сетей руководители организаций должны предпринять следующие шаги:

• необходимо закрепить за отдельными специалистами или рабочей группой деятельность по защите информационных систем;
• должна быть разработана и оформлена документально политика безопасности информационных систем;
• необходимо определить уровень информационных потребностей и слабые места информационных систем;
• необходимо разъяснять политику информационной безопасности путем проведения учебных занятий с сотрудниками;
• эффективность защитных мер должна непрерывно проверяться и оцениваться.

Особенно важно, чтобы руководители высшего звена обеспечивали поддержку инициатив по совершенствованию информационной защиты.

В результате поделанной работы в рамках данной курсовой работы нам удалось:

1. Рассмотреть особенности создания нормативно-правовой документации о защите сетевой инфраструктуры предприятия.
2. Изучить исследования Gartner в области защиты сетевой инфраструктуры.
3. Ознакомиться с такой разновидностью как, внедренная интегрированная защита.

БИБЛИОГРАФИЯ

1. Андреев В., Здирук К. «ИВК Юпитер»: реализация корпоративной политики безопасности// Открытые системы, 2003, №4, с.43-46.
2. Баутов A.Н. Эффективность защиты информации // Открытые системы. 2003, №4, с. 56-60.
3. Белов М. Информация — новый вид финансовых активов // Банковские технологии. [Электронный ресурс]: http:/www.bizcom.ru/rus/b1/1997/nr2
4. Березин А.С., Петренко С.А. Построение корпоративных защищенных виртуальных частных сетей // Конфидент: Защита информации, 2001, № 1, с. 54-61.
5. Бетелина В.Б., Галатенко. В. Основы информационной безопасности. Курс лекций (3-е издание). М.: Изд-во «Интернет-университет информационных технологий», 2006, 208 с.
6. В.Г. Олифер, Н.А. Олифер Компьютерные сети. Принципы, технологии, протоколы. – СПб: Питер, 2001. – 672с.
7. Дж. С. Макин, Йен Маклин Внедрение, управление и поддержка сетевой инфраструктуры Microsoft Windows Server 2003. Учебный курс MCSA/MCSE/Пер. с англ. - М., 2004.
8. Еникеева Л.А., Стельмашонок Е.В. Инфраструктурная составляющая нематериальных активов как объект оценки и защиты // Экономика и промышленная политика России: Труды Ш Международной научно-практической конференции. 14-19 июня 2004 г. СПб.: Изд-во Политехнического университета, 2004, с. 528.
9. Еникеева Л.А., Стельмашонок Е.В. Методологические подходы к оценке информационных активов как инфраструктурной составляющей нематериальных активов//Актуальные проблемы экономики и новые технологии преподавания (Смирновские чтения): Материалы IV международной научно-практической конференции (15-16 марта 2005 г, Санкт-Петербург), Т.2, СПб.: Изд-во Политехнического университета, 2005, с. 181-183.
10. Козачок В.И., Гребенев С., Семкин С., Беляков Э. Основы организационного обеспечения информационной безопасности объектов информатизации. М.: Изд-во «Гелиос АРВ», 2005, 192 с.
11. Партыка Т.Л., Попов И.И. Информационная безопасность(2-е издание). Изд-во«Форум», 2007, 368 с.
12. Петраков А., Мельников В., Клейменов С. Информационная безопасность и защита информации(3-е издание). М.: Изд-во«Academia, 2008, 336 с.
13. Петраков А., Мельников В., Клейменов С. Информационная безопасность (2-е издание). М.: Изд-во«Academia», 2007, 336 с.
14. Северин В.А. Комплексная защита информации на предприятии. Учебник. М.: Изд-во«Городец», 2008, 224 с.
15. Степанов Е., Корнеев И. Защита информации в офисе. М.: Изд-во «ТК Велби», 2007, 336 с.
16. Федеральный закон от 4 июля1996 г. №85-ФЗ «Об участии в международном информационном обмене».
17. Шелупанов А.А., Шумский А.А. Системный анализ в защите информации. М.: Изд-во«Гелиос АРВ», 2005, 224 с.
18. Э. А. Якубайтис. Информатика, электроника, сети. - М.: Финансы и статистика, 1989.
19. http://www.hostmake.ru/

ПРИЛОЖЕНИЕ