Защита сетевой инфраструктуры предприятия (Создание положения о коммерческой тайне предприятия)

Содержание:

ВВЕДЕНИЕ

Данная курсовая работа посвящена теме защиты сетевой инфраструктуры предприятия.

Цель данной курсовой работы рассмотреть защиту сетевой инфраструктуры как один из основных аспектов деятельности IT-специалиста предприятия.

Любой администратор сети или it-специалист, отвечающий за вопросы безопасности, рано или поздно сталкивается с организационными проблемами – разработкой нормативных документов, правил и запретов для пользователей. Многие специалисты не придают этой стороне вопроса должного внимания, сосредотачиваясь на технических аспектах защиты. однако грамотная подготовка необходимых внутрикорпоративных документов и положений в ряде случаев снимает массу конфликтных ситуаций и существенно облегчает деятельность администраторов и it-специалистов.

Статистика показывает, что количество инцидентов растет с каждым годом. И в них весьма значительной является роль пользователя - по статистике автора 41% всех инцидентов в явном виде связаны с умышленной или неумышленной деятельностью пользователя, причем в большинстве случаев проблема может быть решена за счет его обучения и создания правил и инструкций, регламентирующих его деятельность. [14]

Типовой алгоритм процесса разработки нормативных документов.

1. Введение IT-специалистов в штат службы безопасности.
2. Разработка и утверждение положения о коммерческой тайне.
3. Разработка и утверждение положения о защите информации.
4. Ознакомление всех пользователей под роспись.

Обычно подобная служба называется «служба экономической и информационной безопасности» и в ее штате соответственно предусмотрена должность «специалист по защите информации». В крупных фирмах подобные службы в большинстве случаев существуют, в небольших – нет. Но подобную службу всегда можно организовать (по крайне мере, на бумаге) и ввести в ее штат представителей IT-отдела – обычно, администраторов. В зависимости от ситуации это можно сделать несколькими способами:

• В штат существующей службы безопасности вводятся 1-2 сотрудника IT- подразделения в качестве совместителей. Это идеальное решение, реализованное, к примеру, в ОАО Майкопэнерго.

• Реально или формально создается служба и в нее включаются IT- специалисты, отвечающие за безопасность и защиту информации.

• Служба безопасности не создается, но издается приказ о том, что указанным IT-сотрудникам официально вменяется в обязанность обеспечение информационной безопасности.[11]

Возникает резонный вопрос – для чего нужна эта бюрократия, если определенные специалисты «де-факто» и так выполняют работы по защите сети и компьютеров? Ответ прост – специалист службы безопасности по должностной инструкции имеет право проводить инспекции и служебные расследования по фактам обнаруженных нарушений, проводить дознание, требовать написание объяснительных записок, осуществлять разработку нормативных документов в области безопасности и осуществлять контроль их исполнения. Обычно же, с точки зрения должностной инструкции администратор по штатному расписанию числится как «инженер-программист» и не имеет права выполнять большинство из перечисленных действий. Как следствие, он не имеет права давать поручения другим сотрудникам или требовать от них что-либо – он может только апеллировать к вышестоящему руководству, что существенно замедляет и усложняет многие мероприятия.

После создания службы безопасности и введения в ее штат IT-специалистов должен быть издан приказ, подписанный генеральным директором и доведенный до всех сотрудников. В этом приказе необходимо указать, что:

• С такого–то числа в фирме создана служба безопасности, и в частности сотрудники назначены специалистами по защите информации;

• Указанным специалистам вменяется в обязанность обеспечивать безопасность компьютерной сети, разрабатывать нормативные документы, проводить инспекции, учения и служебные расследования по факту нарушений;

• Сотрудники фирмы обязаны по первому требованию предоставлять средства вычислительной техники для инспекции, настройки или иных технических мероприятий, производимых указанными сотрудниками.[8]

Издание подобного приказа уже решает ряд проблем. Рассмотрим реальную ситуацию. Администратор сети обнаруживает распространение сетевого червя, идущее с компьютера бухгалтера К. Бухгалтер отказывается предоставить компьютер для лечения, мотивируя это подготовкой срочных отчетов. В данной ситуации обычный администратор сети не имеет права требовать что-либо – он может обратиться к своему руководству, оно, в свою очередь, обратится к руководству бухгалтерии, будет проведено обсуждение надобности и срочности выполнения данной операции, согласование и так далее. В результате работа по ремонту компьютера рано или поздно будет выполнена, но к этому времени эпидемия распространится по всей сети.[3]

Данная работа может быть успешно выполнена путем последовательного решения поставленных задач:

1. Рассмотреть особенности создания нормативно-правовой документации о защите сетевой инфраструктуры предприятия.
2. Изучить исследования Gartner в области защиты сетевой инфраструктуры.
3. Ознакомиться с такой разновидностью как, внедренная интегрированная защита.

1 Защита сетевой инфраструктуры предприятия, нормативно-правовая документация

• 1. Создание положения о коммерческой тайне предприятия

После создания (пусть хотя бы на бумаге) службы безопасности, специалисты по защите информации должны выполнить следующий шаг – разработать, согласовать и утвердить положение о коммерческой тайне. Это важнейший документ, описывающий, какая информация конкретной организации является коммерческой тайной. Типовой вариант положения содержит несколько разделов:

• Общие положения. Это обязательный раздел, содержащий описание назначения документа, а также ссылки на законы РФ, на которых основано данное положение;

• Расшифровка терминов и понятий, используемых в документе. Этот раздел готовится в расчете на то, что изучать документ будут рядовые пользователи, не знакомые с терминологией. В данном разделе обязательно необходимо раскрыть смысл терминов «режим коммерческой тайны», «носитель коммерческой тайны», «информация, составляющая коммерческую тайну», «ноу-хау»;

• Перечень сведений, составляющих коммерческую тайну. В данном перечне обязательно прописывается порядок работы с персональными данными сотрудников, так как их разглашение запрещено законом. Кроме того, крайне желательно внести в перечень информацию о структуре сети, применяемых технологиях защиты, параметрах доступа к серверам и базам данных - для этой информации можно ввести гриф «строго конфиденциально»;

• Свод методик и мероприятий, направленных на защиту коммерческой тайны. В частности, в данном разделе может даваться ссылка на положение о защите информации, речь о котором пойдет далее;

• Порядок получения доступа к тайной информации;

• Специальные обязанности лиц, имеющих допуск к коммерческой тайне и отвечающих за защиту коммерческой тайны;

• Наказание за нарушение правил работы с информацией, составляющей коммерческую тайну.[21]

С практической точки зрения в перечень сведений, составляющих коммерческую тайну, желательно включить пункт «информация, хранящаяся на файловых и почтовых серверах, а так же на серверах без данных». За счет включения данного пункта в положение любое посягательство на серверы и базы данных со стороны сотрудников фирмы или атака извне может рассматриваться как атака с целью искажения и похищения конфиденциальной информации. Другой практический аспект – это обеспечение доступа к сведениям, составляющим коммерческую тайну. В идеале он должен обеспечиваться по унифицированным заявкам, которые подшиваются и хранятся достаточно длительное время. В Майкопэнерго, к примеру, это реализовано следующим образом – существуют унифицированные заявки, которые заполняются сотрудником или специалистом IT-отдела. Далее заявка подписывается составившим ее специалистом, директором филиала, начальником службы безопасности, директором IT-подразделения, и, наконец, выполнившим заявку администратором. Данные заявки хранятся в базе данных, и в случае утечки информации или несанкционированного доступа очень легко установить, какие права имеет указанный пользователь, когда и кем составлены заявки на доступ и когда этот доступ был предоставлен. Важность подобного подхода возрастает пропорционально количеству пользователей и администраторов.

После согласования и утверждения положения о коммерческой тайне оно вводится в действие приказом генерального директора фирмы.[9]

Рассмотрим несколько типовых примеров из практики, возникающих при отсутствии положения о коммерческой тайне:

• Сотрудник Х получает несанкционированный доступ к базе данных. Администраторы фиксируют этот факт, но в ходе служебного расследования сотрудник заявляет, что делал это из любопытства и не знал, что эти данные являются конфиденциальными. В данном случае официально наказать сотрудника невозможно, так как он не подписывал никаких документов о режиме коммерческой тайны. Кроме того, весьма спорным является вопрос о степени конфиденциальности той информации, к которой сотрудник успел получить доступ.

• Увольняется администратор фирмы Х. Пришедший ему на смену новый администратор сталкивается с проблемой – отсутствует информация о том, каким пользователям и на основании чего был предоставлен доступ к базам данных и серверам. Подобная проблема легко решается разве что в небольшой сети (10-20 пользователей).

• Администратор базы получает устную просьбу о подключении сотрудника К к базе данных от начальника одного из отделов. Через некоторое время происходит утечка информации по вине сотрудника К, и в ходе служебного расследования выясняется, что никаких документальных оснований (если не считать устную просьбу) на предоставление доступа к информации у администратора не было.[4]

1.2 Создание положение о защите информации на предприятии

Разработка данного документа должна производиться IТ-специалистами совместно со специалистами службы безопасности. Этот документ регламентирует порядок работы пользователей в корпоративной сети, устанавливает их права, обязанности и ответственность. Положение о защите информации обязательно должно опираться на положение о коммерческой тайне. Типовое положение о защите информации состоит из пяти частей:

• Общие положения. В нем описывается назначение документа, расшифровываются специальные термины;

• Требования программистам, выполняющим разработку и внедрение программного обеспечения. Данный пункт имеет смысл только в том случае, если фирма разрабатывает ПО для своих нужд, однако ввести его в положение стоит в любом случае. Данный раздел регламентирует взаимоотношения разработчиков ПО и администраторов, а также описывает требования к программному обеспечению с точки зрения политики информационной безопасности;

• Требования к ПО сторонних разработчиков. Данный раздел аналогичен предыдущему, но основной упор в нем делается на порядок экспертизы ПО, его тестирования и внедрения. В данном разделе должно указываться, кто именно проводит экспертизу (обычно ее выполняют специалисты по защите информации) и в какие сроки она производится;

• Свод правил и обязанностей пользователей по обеспечению режима информационной безопасности при эксплуатации средств вычислительной техники, средств сетевых коммуникаций и программного обеспечения. Это самый важный раздел положения, он, в свою очередь, может состоять из двух подразделов: [7]

- Обязанности пользователей;

- Запреты и правила. Этот подраздел следует проработать особо тщательно, перечислив в нем все действия и программы, которые запрещены для пользователя;

• Порядок и последовательность действий должностных лиц в случае обнаружения нарушения режима информационной безопасности. В идеале это пошаговый алгоритм с набором действий на случай возникновения нештатных ситуаций. В этом же разделе описывается порядок отключения пользователя от предоставленных ему ресурсов сети в случае нарушений, изъятия компьютера для анализа, ведения служебного расследования и наказания за нарушения. [2]

После разработки положение должно быть утверждено генеральным директором и доведено до всех пользователей под роспись.

В положении о защите информации в обязательном порядке следует оговорить правила работы с электронной почтой и Интернет. В идеале формулировка имеет вид «Интернет, электронная почта и иные ресурсы ЛВС предназначены исключительно для решения задач производственного характера». Наличие данного пункта позволяет администратору устанавливать фильтры на почту и Интернет, контролировать при необходимости трафик пользователя и официально наказывать за злоупотребления. Кроме того, в запретительной части рекомендуется отметить, что запрещается:

• Отключать антивирусные программы и иные средства защиты, препятствовать их работе или изменять настройки;

• Подключать к компьютеру постороннее оборудование (в частности модемы и сотовые телефоны), а так же запрещается подключать к локальной сети посторонние компьютеры;

• Устанавливать и использовать средства администрирования и мониторинга сети, в частности снифферы, сканеры, искатели уязвимостей, а также прокси-серверы, почтовые серверы и серверы баз данных, системы удаленного управления и администрирования.[15]

Практическая ценность данного документа очень велика. Без него администраторы в глазах пользователя часто выглядят самодурами и тиранами, которые по только им ведомым причинам закрывают сайты, блокируют почтовые рассылки и чаты, запрещают установку того или иного программного обеспечения или урезают права пользователя.

Рассмотрим несколько практических примеров

Пример 1. Один из недавно принятых на работу программистов загружает и запускает сканер сетевой безопасности XSpider и применяет его с максимальными настройками к корпоративному WEB-серверу. Реакция сервера на запросы замедляется, администраторы фиксируют факт атаки и принимают экстренные меры. После обнаружения источника проблемы программист объясняет, что решил сделать это для самообразования и не знал, что выполнять подобные операции в сети нельзя. Причина: отсутствие положения о защите информации – пользователь сети не знает о том, какие операции допустимы или недопустимы, и как следствие его невозможно наказать.

Пример 2. Администраторы отключают пользователя X от Интернет. В ответ пользователь подключает к компьютеру свой сотовый телефон и выходит в Интернет напрямую. В результате на его компьютер проникает вирус, и в сети начинается эпидемия. Причина возникновения подобного инцидента аналогична предыдущей – отсутствует документ, запрещающий подобные операции, и поэтому пользователя невозможно наказать за создание в сети эпидемии вируса. [11]

2 Исследование Gartner в области защиты сетевой инфраструктуры

2.1 Создание группы реагирования на компьютерные инциденты (cyberincident response team – CIRT)

В момент выпуска приложения SPECTRUM Security Manager президент компании Aprisma Management Technologies Майк Скьюбиц (Mike Skubisz) выступил по этому поводу с открытым письмом, которое было опубликовано в исследовании компания Gartner, и посвященном вопросам информационной защиты (http://www.gartner.com/webletter/aprisma /index.html). Президент компании Aprisma охарактеризовал этот новый продукт как новаторское решение, являющееся расширением архитектуры SPECTRUM Service Level Intelligence TM обеспечивающей интеллектуальное управление информационной инфраструктурой. [13]

Господин Скьюбиц отметил, что удовлетворение требований по созданию решения в области управления уровнем сервиса увеличивает конкурентоспособность и повышает эффективность функционирования предприятий и организаций. С точки зрения технологий для создания решений по управлению уровнем сервиса необходимо решить три основные проблемы: расширяемости, совместимости и управляемости. Господин Скьюбиц считает, что компания Aprisma предоставляет решение, которое превращает эти проблемы в преимущества. [14]

Далее президент компании Aprisma остановился на преимуществах использования Security Manager. Консолидируя события защиты, генерируя предупреждения об инцидентах, и анализируя состояние системы защиты инфраструктуры предприятия, Security Manager эффективно интегрирует управление защитными элементами с управлением сетью, системами и приложениями.

По мнению Майка Скьюбица компании Aprisma лидирует в области управления информационной инфраструктурой. От стратегического сотрудничества с разработчиками оборудования и программного обеспечения до собственных инвестиций в исследования и разработки, Aprisma концентрирует свои усилия на программных инновациях, в результате чего появляются решения, способствующих успеху сервис-провайдеров и других предприятий, остановившихся на применении SPECTRUM. [11]

Пример применения CIRT.

Одним из вопросов, освещавшихся в данном исследовании, был вопрос создания группы реагирования на компьютерные инциденты (cyberincident response team - CIRT), что является вторым после внедрения системы обнаружения вторжений шагом в создании законченной архитектуры защиты инфраструктуры.

Компьютерные инциденты (хакерство, ошибки пользователей, вирусные атаки или атаки типа"отказа в обслуживании") могут привести к отказу систем и приложений, и к утере важных данных. Первым шагом в предотвращении таких событий является разработка точного плана реагирования на компьютерные инциденты (cyber-incident response plan - CIRP), привязанного к сетевой системе обнаружения вторжений (network intrusion detection system - IDS). CIRP должен требовать, чтобы во всех элементах бизнеса- включая все компьютерные системы, сети и приложения- использовалось минимум защитных политик и практик, четко инструктировавших все руководство об уровне его ответственности за возникновение инцидента. [8]

Независимо от того, на сколько хороши планы, наиболее вероятно большинство предприятий будет атаковано посредством использования ошибок в операционных системах и в поддерживаемых ими приложениях. Когда возникает атака, она должна быть как можно быстрее обнаружена и на нее согласно соответствующему плану должна наступить реакция- обычно в пределах 30 минут. Ответ на инцидент должен координироваться специалистами CIRT, имеющими опыт в области технических аномалий и способных, если это необходимо, воссоздать схему совершения преступления.

Приводящийся ниже пример основан на анонимной финансовой компании, являющейся клиентом Gartner (Anonymous Financial Services Provider - AFSC). Это пример того, как CIRT обеспечивает наличие ресурсов, необходимых для борьбы с компьютерными преступлениями без необходимости осуществления дополнительных затрат или применения специализированных технических средств. [8]

Проблема не многим более трех лет назад высшее руководство AFSC пришло к пониманию того, что компьютерное оборудование компании хотя и было хорошо защищено, безопасность его распределенного сетевого окружения не контролировалась. Одной из причин этого было то, что у руководства AFSC отсутствовал опыт организации сетевой безопасности. Кроме того в AFSC отсутствовали централизованные средства защиты и штат или сотрудник, несущий ответственность за соблюдение принципов безопасности сети.

В результате специалистами было найдено следующее решение:

Первоначальная оценка системы защиты AFSC показала, что предприятие было не способно реагировать на компьютерные преступления, которые приводили к угрозе нанесения ущерба инфраструктуре.

Так как никто из штата обслуживания ЭВМ не обладал необходимыми навыками руководства безопасностью сетевой инфраструктуры, поддерживающей работу более80000 служащих, в AFSC решили создать вакансии ISO, и наняли профессионалов информационных безопасности, специализирующихся в защите операционных систем и сетей, ответственных за создание и функционирование CIRT. При этом значительного увеличения запланированных расходов не планировалось. [3]

AFSC также обратилась за помощью к одной из пяти крупнейших консалтинговых фирм для оценки состояния защиты своей инфраструктуры. В результате проведенной оценки AFSC получила обзор слабых мест защиты и шагов, которые необходимо предпринять для исправления ситуации. Фирма также помогла ISO в разработке политик и процедур для того, что обеспечивать AFSC прочную основу для построения своей архитектура безопасности.

Были получены следующие результаты:

Период от начала проекта до того, как CIRT стала функционировать как часть всей архитектуры безопасности был приблизительно один год.

Одной из основных причин задержки была необходимость определить для группы роли и обязанности, а также политики и процедуры.

Полномочия CIRT также должны были быть приняты и подтверждены всеми другими подразделениями предприятия.

При создании CIRT были рассмотрены несколько ее моделей- CERT, FIRST и SANS. Учитывалась также рекомендация RFC 2350. В результате рекомендация RFC 2350 и модель SANS были скомбинированы и объединены в модель, наиболее соответствующую целям AFSC. Когда модель CIRT была согласована и утверждена, пришло время начинать ее работу. Однако для руководства это было значительной проблемой, так как для таких временных групп бюджета не было, а ISO требовал около 60 основных и 60 вспомогательных сотрудников. [11]

2.2 Построение виртуальной команды, работа с CIRT, рекомендации для предприятий

Временные сотрудники были отобраны на основе важности их деловых ролей на предприятии и влияния на них брешей в защите.

Подразделения вместе с группами безопасности виделись первичными ресурсами, потому что их персонал обладал широким набором технических навыков, связанных с безопасностью.

Концепция виртуальной команды брала верх, потому что частично занятые служащие CIRT и их дублеры были расположены частично в американских городах. Виртуальная команда не была ограничена только сотрудниками, являющимися техническими экспертами, но была расширена для включения персонала для связей с юристами и общественностью. Для участия также были приглашены руководители, имеющие право принимать важные решения. [6]

Для оказания партнерам помощи в участии в этой виртуальной группе между группой, ответственной за координацию архитектуры защиты и остальными подразделения им были заключены соглашения. Эти соглашения определяли, что запросы от ISO для помощи во взаимодействии с CIRT будут иметь отклик на основе системы классификации по четырем уровням важности. Соглашения также установили согласованные гарантии и потребовали наличия резерва рабочего коллектива, который должен быть доступным в момент запроса на оказание помощи, когда CIRT присваивает тревоге статус in progress.

Дальнейшая работа CIRT.

Дважды в год AFSC проводит практические учения, в которых участвует весь CIRT. Целью этого обучения является обеспечение того, что команда будет способна отреагировать на инцидент не позже, чем через 30 минут.

Профессионалам безопасности AFSC не пришлось столкнуться с серьезными или даже со средней степени сложности атаками на своем предприятия. Они приписывают это результат усилиям, которое они предприняли за прошедшие три года.

В среднем инциденты на которые отреагировал CIRT, требовало задействования от шести до двенадцати сотрудников основных сил. Когда два основных члена CIRT не задействованы в реагировании на инцидент, они прежде всего тестируют на уязвимость сеть и операционные системы. Команда понимает, что в долгосрочной перспективе для того, чтобы в большей степени защититься от угроз, потребуются дополнительные ресурсы; тем не менее усилиями команды был создан приемлемый уровень безопасности без необходимости иметь большой выделенный штат. [13]

Почему проект CIRT имел успех?

Одной из причин успеха проекта CIRT было то, что исполнительное руководство одобрило проект до того, как он был одобрен другими подразделениями. Существенные усилия были приложены к организации взаимодействия между назначением, целями, политиками и процедурами CIRT.

У сотрудников предприятия не было большого опыта в области безопасности, необходимого для реализации проекта такого масштаба. Наем

дополнительного штата был критическим для успеха в проекте. ISO нанял служащего с большим опытом в технике реагирования в различных формах на инциденты и сделал его руководителем CIRT, ответственным за ежедневные действия. ISO взял этого менеджера (теперь он из двух основных членов команды) приблизительно на три месяца, чтобы ввести в действие CIRT и формализовать его создание.

В течение этого трехмесячного начального периода два консультанта от консалтинговой фирмы составляли оригинальный всеобъемлющий план архитектуры информационной безопасности для того, чтобы AFSC участвовал в развертывании CIRT.

Рекомендации для предприятий, решивших создать CIRT:

ISO имела две рекомендации для предприятий только начинающих проект CIRT:

Взаимодействие между исполнительными руководителями должно осуществляться через их высшее руководство. Это предотвращает ISO от непосредственного взаимодействия с подразделениями, что является основным препятствием к выполнению проекта. [13]

Документация по модели от SANS оказалась очень полезной в плане описания фокусирования проекта и влияния, которое он должен будет оказать на предприятие. На сегодня основная выгода, полученная благодаря усилиям CIRT - это реализация того, что эта группа смогла работать совместно с группой обеспечения качества и создать добавленную стоимость относительно управления риском.

Способность быть движущей силой, объединяющей безопасность с деловыми процессами, стала ключевым фактором в том, что уровень безопасности в AFSC оказался выше, чем в других компаний финансового рынка.

3. Внедренная интегрированная защита

3.1 Сетевая защита — внедренная в сеть, интегрированная в продукт

Сегодняшние сети становятся все более обширными и по географической распространенности и по количеству объединяемых ими внутренних и внешних сообществ. Они более сложны, они поддерживают широкий спектр разнообразных приложений и услуг, обрабатывают смешанные данные, голосовой и видео трафик, передавая его по проводным и беспроводным подключениям. Вместе с этим сети становятся все более открытыми — используются недоверенные сети общего пользования, подключаются партнеры и постепенно сети становятся деловым инструментом. Фактически, разделение на частные и общественные сети становится все более размытым.

Обширный, сложный и открытый характер сетевой среды увеличивает потребность в устойчивой и всесторонней защите, потому что все элементы сети должны быть защищенными, а так же защищены от воздействий на них.

В этом разделе обсуждается и описывается внедренная, интегрированная защита — один из самых эффективных методов защиты. Здесь указываются пути интеграции и рассматриваются некоторые существующие и недавно появившиеся решения пакета Cisco Integrated Network Security Solutions.

Для начала стоит ознакомиться, со следующими определениями:

Внедренная, интегрированная защита должна защищать сеть от внешних и внутренних угроз, поддерживая постоянное равновесие между необходимым доступом и необходимой защитой.[12]

Это означает, что функциональные возможности защиты должны быть внедрены и интегрированы всюду — от главной сети и до оконечных точек сети — но при этом защита должна быть прозрачна для пользователей и приложений.

Цель состоит в том, чтобы встроить в сеть набор таких защитных возможностей, которые бы создали «интеллектуальную самозащищенную сеть». Такая сеть сможет самостоятельно идентифицировать начало нападения и его ход, при необходимости выдать предупреждение, а затем отреагировать автоматически без участия пользователя.

«Интегрированная защита» описывает функциональные возможности защиты, которые обеспечиваются на сетевом устройстве, например на маршрутизаторе, коммутаторе или на точке беспроводного доступа. По мере прохождения трафика через сетевое устройство, он должен просматриваться и анализироваться, а затем либо отклоняться, либо разделяться, либо разрешаться. Для этого необходимо, чтобы устройство с интегрированной защитой обладало интеллектуальностью, производительностью и масшабируемостью.

«Внедренная защита» означает функциональные возможности защиты, которые распределены по важнейшим участкам сетевой инфраструктуры, и которые присвоены, например, рабочим станциям конечных пользователей, удаленным подразделениям, центру данных и проч.[22]

3.2 Факторы интеграции

В этом разделе рассматриваются факторы, от которых зависит потребность в интегрированной, внедренной защите сетей.

Сети все чаще становятся источниками или объектами атак.

Угрозы могут исходить из недр самого Предприятия или из пограничных областей сети. Суть в том, что защита должна охватывать все аспекты работы сети, а не только защиту периметра или подключений к недоверяемым доменам. Такую всеобъемлющую оборону способна обеспечить только внедренная и полностью интегрированная защита.[10]

Ответственность за политику безопасности, развертывание сети и закупку оборудования изменяется. Уже не так изолированно друг от друга работают Группы администраторов сети (NetOps) и администраторов защиты (SecOps). Традиционная модель развертывания сети заключалась в том, что «сетевики» (NetOps) закупали оборудование и запускали сетевую инфраструктуру, а «безопасники» (SecOps), располагая значительно меньшими бюджетом и ресурсами, работали как обособленная и узко специализированная группа. Эти две группы имели различные роли: «сетевики» обеспечивали доступ, а «безопасники» должны были этот доступ ограничивать, что создавало напряженность внутри Предприятия. Однако, возрастающая угроза и потребность в таких новых технология как IP телефония и беспроводная связь подвели «сетевиков» и «безопасников» к необходимости тесного сотрудничества. Кроме того, в стратегию и развертывание защиты теперь все более вовлекается уровень CxO, который стимулирует «сетевиков» и «безопасников» к еще более тесному сотрудничеству.[10]

Организационная интеграция обуславливает необходимость интегрированной и встроенной защиты. Если защиту строят совместно «сетевики» и «безопасники», то интегрированное решение весьма упрощает задачу.

Организация защиты является приоритетом на всех Предприятиях, однако, бюджеты требуют экономии уже сейчас, а не в перспективе. Интегрированная защита предлагает самую низкую общую стоимость эксплуатации:

• Ввод сервисов защиты в уже имеющееся сетевое устройство означает, что имеющийся модуль, блок питания, сетевые карты и другие компоненты можно использовать и для дополнительных задач. Если же сетевое устройство само по себе является составным и допускает наращивание производительности, то стоимость эксплуатации еще более снижается.
• Управлять новыми службами безопасности позволяют имеющиеся системы управления и контроля.
• Появляются возможности завершить или наоборот расширить текущие договора о поддержке пользователей, предложив им новые возможности защиты.
• Снижается необходимость подготовки кадров, поскольку в качестве платформы защиты используется уже знакомая им система.
• Когда сбалансированное распределение загрузки реализуется как часть интегрированного решения защиты, у Предприятия появляется возможность уменьшить количество серверов и систем защиты типа межсетевых экранов, экономя при этом на вложениях в это оборудование.

Перспективы расширения

Все более расширяющаяся природа сетей является одной из сторон проблемы масштабирования. В настоящее время сеть должна справляться с увеличением количества пользователей, сайтов и услуг. Сеть должна обрабатывать постоянно увеличивающиеся количества трафика — голосового, видео или данных. Теперь сеть поддерживает проводные и беспроводные подключения.[10]

Фактически управление этой средой является весьма проблемным и почти невозможным, если на Предприятии не применяется интегрированный подход. Проблема масштабирования значительно смягчается если, например, интегрированная система управления позволяет управлять сетью интегрированных устройств, имеющих структуру унифицированной идентификации.

Интеграция решений

Наконец, все компоненты сети должны взаимодействовать и функционировать как единое целое.

Рассмотрим центр обработки данных. Он состоит из множества серверов, связанных с внешним миром посредством коммутаторов и маршрутизаторов. Серверы необходимо защитить; маршрутизаторы и коммутаторы должны иметь собственные средства защиты. Кроме того, общая архитектура должна быть функциональной и масштабируемой, а так же иметь интегрированную подсистему управления ею. [22]

3.3 Стратегия интеграции от Cisco

Интеграция защиты во всю сеть — фундаментальный аспект стратегии Cisco в области развития и маркетинга. В планы интеграции входят следующие пункты:

• Обеспечить возрастающее количество функций защиты, интегрированных в Cisco IOS. Это программное входит во все платформы Cisco — от решений для удаленных работников и офисов и до решений для главной сети.
• Обеспечить защитные функции в отдельных устройствах защиты и в интегрированных сетевых устройствах, которые кроме этого поддерживают подключения локальных и территориальных сетей передачи данных.
• Предложить такую инфраструктуру управления и контроля, которая обеспечит простое создание интегрированной, внедренной защиты.
• Обеспечить масштабируемую и многофункциональную структуру защиты. В настоящее время сеть становится важным деловым инструментом, который не должен выходить из строя никогда.
• Наконец, обеспечить развертывание модели для клиентов и Предприятий, нуждающихся в интегрированной встроенной защите. Это является задачей архитектуры Cisco SAFE.

Степени интеграции Cisco IOS.

Cisco IOS Software — программное обеспечение, которое управляет всеми маршрутизаторами и коммутаторами Cisco. Большой набор его защитных функций расширяется с каждым новым выпуском. В Cisco IOS входят разнообразные функции от механизмов запрета/разрешения доступа, например, списки контроля доступа (списки ACL) и поддержка различных типов VPN, защита от вторжений, сервисы сложной идентификации и экранирования.

В настоящий момент Cisco IOS Software имеет три ряда функциональных возможностей:

• Устойчивые сервисы защиты
• Всеобъемлющие сервисы IP такие как маршрутизация, качество обслуживания (QoS), многоадресная рассылка, голос по IP (VoIP)
• Защищенное управление, защита управляющего трафика и возможность управления пакетом Cisco IOS Software на устройствах. Пакет Cisco IOS Software отличает именно интеграция этих трех рядов. Наглядный пример решения, которому весьма выгодна интеграция Cisco IOS Software — Cisco Voice and Video-Enabled IPSec VPN (V3PN). Это решение гарантирует соответствующее качество и устойчивость зашифрованного голосового и видео-трафика благодаря таким новым особенностям Cisco IOS Software как качества обслуживания для приложений, требующих малой задержки и динамическому резервированию протокола IPSec, позволяющему избежать разрыва соединений.[1]

Специализированные и сетевые устройства.

Специализированные устройства — специализированные защитные системы, выполняющие одну или несколько защитных функций; например, межсетевой экран также поддерживает VPN или возможности защиты от вторжений. В Cisco PIX Firewall имеется встроенный модуль VPN, а так же программно реализованные VPN и система обнаружения вторжений (IDS).

Интегрированные сетевые устройства поддерживают подключения сетей (LAN, WAN по отдельности и совместно), сервисы IP и сервисы защиты; в качестве примера можно назвать маршрутизатор, который одновременно выполняет роль межсетевого экрана. Маршрутизаторы Cisco SOHO 90 и 831 — недавно появившиеся образцы решений для удаленного офиса, обеспечивают интегрированную защиту и подключения по Ethernet и ADSL. [1]

Другой пример интегрированных функциональных возможностей программного решения Cisco IOS — интеллектуальный коммутатор, который поддерживает коммутацию и защиту на Уровне 2 и Уровне 3. Коммутатор Catalyst Cisco 6500 теперь имеет такие функции как защита от вторжений, межсетевой экран, сети VPN, Secure Socket Layer (SSL) и другие модули защиты.

На сегодняшний день Предприятия могут выбирать между отдельным прибором и интегрированным сетевым устройством. Чтобы сделать правильный выбор, нужно рассмотреть следующие факторы:

• Бюджет. Реализация защиты на имеющемся сетевом оборудовании дает максимальную экономию средств как при внедрении так и при эксплуатации. Кроме того, для управления функциями защиты можно использовать имеющуюся инфраструктуру управления.
• Простота. Узкофункциональное или выделенное устройство защиты является наиболее простым в установке и в управлении. Многофункциональные устройства по определению состоят из различных элементов и это усложняет конфигурирование и повышает вероятность ошибок. В отличие от них, узкофункциональное устройство имеет ограниченный набор конфигураций.
• Модульность. Идеальным решением для сети филиала может стать интегрированное сетевое устройство, обеспечивающее на единой платформе защиту и связь. Однако, для главной сети или для обширного проекта может оказаться более предпочтительным модульный подход. Например, Catalyst Cisco 6500 имеет гибкую, настраиваемую и модульную архитектуру, что позволит в будущем защитить вложения в это оборудование.
• Организация контроля. «Безопасникам» может потребоватся платформа, контролировать и конфигурировать которую сумеет только группа специалистов; такое решение может подвести к выбору специализированных устройств, а не интегрированных сетевых устройств. Если же за защиту сети отвечают «сетевики», то, в отличии «безопасников», они они скорее выберут интегрированное сетевое устройство — по соображениям простоты. [21]

Масштабируемые, работоспособные сети

Масштабируемую инфраструктуру можно расширять по мере надобности. Работоспособность сети гарантирует то, что важнейшие приложения и сервисы доступны пользователям в любой момент и без перебоев. С точки зрения бизнеса сеть должна обладать гибкостью и расширяемостью. На сегодняшний день у предприятий есть несколько способов создать масштабируемую и надежную инфраструктуру:

• Сбалансированное распределение сетевого трафика и запросов на обслуживание между коммутаторами и серверами и даже между центрами обработки данных. Преимущества состоят в том, что решается проблема пиковых нагрузок трафика и сокращается количество сетевого оборудования, необходимого для поддержки рабочей загрузки. Примеры решений для распределения загрузки — модуль для коммутаторов Catalyst Cisco 6500, и коммутаторов контента Cisco CSS 11000 и 11500.
• Динамическое переключение способствует резервированию устройств на случай выхода из строя причем без каких-либо потерь связи конечных пользователей. Маршрутизаторы Cisco IOS и платформы концентраторов Cisco VPN 3000 являются примерами устройств, обеспечивающих динамическое переключение. Возможность динамического переключения обеспечивает возможность резервирования, но связь в точке отключения может потеряться.
• Избыточность. Избыточность это дублирование устройств таким образом, что в случае сбоя отдельного сетевого устройства (или нескольких сетевых устройств) их задачи принимает на себя избыточный модуль сетевого устройства.
• Послеаварийное восстановление. Послеаварийное восстановление множества узлов можно осуществить с помощью глобального сбалансированного распределения загрузки серверов (GSLB) — возможности, предлагаемой устройством Cisco GSS 4480 Global Site Selector. Непрерывное наблюдение за работой и состоянием распределителей загрузки серверов гарантирует быструю переадресацию пользователей на резервный центр данных в случае если первичный центр данных перегружен или вышел из строя. [21]

ЗАКЛЮЧЕНИЕ

Успех любого проекта CIRT зависит от понимания необходимости продолжения диалога между ISO и руководителями всех подразделений.

Очень важно, чтобы эти руководители никогда не теряли понимания того, что пытается делать CIRT и о том факте, что успех был достигнут общими усилиями. CIRT может достигнуть целей, если будут ясно сформулированы его роли и обязанности. Наконец, важно так позиционировать ожидания, чтобы каждое подразделение понимало, что должно ежедневно делаться для уменьшения рисков, связанных с кибер-угрозами всех видов.

Мы рассмотрели основные моменты, связанные с подготовкой необходимых документов и стандартов, регламентирующих работу пользователей. Описанный алгоритм действий, естественно, не является догмой, но он проверен практикой и показал неплохие результаты. Важно отметить, что разработка вышеописанных документов в идеале должна производиться до выполнения практических мероприятий, и их содержимое должно отражать особенности деятельности фирмы и специфику ее работы.

В настоящее время сетевые устройства типа маршрутизаторов и коммутаторов предлагают расширенные сетевые сервисы и услуги связи плюс сложные сервисы защиты.

Параллельно с этим узкофункциональные устройства защиты, например, межсетевые экраны и концентраторы VPN, получили дополнительные защитные сервисы типа обнаружения вторжений. Обобщая, можно утверждать, что возможности продуктов с интегрированными функциями соответствуют или как минимум удовлетворяют рыночным требованиям интеграции.

Совершенствование информационной безопасности критически важно для поддержания производственной деятельности, репутации и экономической стабильности любой организации. Новые законы требуют обеспечения все большей защиты информации, и ежедневно появляются все новые угрозы компьютерной и сетевой безопасности. Проект SAFE по обеспечению безопасности электронного бизнеса от фирмы Cisco Systems предлагает лучшую практическую информацию для тех, кто заинтересован в проектировании и развертывании безопасных сетей, с учетом возможных угроз и методов их нейтрализации. Для совершенствования защиты своих сетей руководители организаций должны предпринять следующие шаги:

• необходимо закрепить за отдельными специалистами или рабочей группой деятельность по защите информационных систем;
• должна быть разработана и оформлена документально политика безопасности информационных систем;
• необходимо определить уровень информационных потребностей и слабые места информационных систем;
• необходимо разъяснять политику информационной безопасности путем проведения учебных занятий с сотрудниками;
• эффективность защитных мер должна непрерывно проверяться и оцениваться.

Особенно важно, чтобы руководители высшего звена обеспечивали поддержку инициатив по совершенствованию информационной защиты.

В результате поделанной работы в рамках данной курсовой работы нам удалось:

1. Рассмотреть особенности создания нормативно-правовой документации о защите сетевой инфраструктуры предприятия.
2. Изучить исследования Gartner в области защиты сетевой инфраструктуры.
3. Ознакомиться с такой разновидностью как, внедренная интегрированная защита.

БИБЛИОГРАФИЯ

1. Андреев В., Здирук К. «ИВК Юпитер»: реализация корпоративной политики безопасности// Открытые системы, 2003, №4, с.43-46.
2. Баутов A.Н. Эффективность защиты информации // Открытые системы. 2003, №4, с. 56-60.
3. Белов М. Информация — новый вид финансовых активов // Банковские технологии. [Электронный ресурс]: http:/www.bizcom.ru/rus/b1/1997/nr2
4. Березин А.С., Петренко С.А. Построение корпоративных защищенных виртуальных частных сетей // Конфидент: Защита информации, 2001, № 1, с. 54-61.
5. Бетелина В.Б., Галатенко. В. Основы информационной безопасности. Курс лекций (3-е издание). М.: Изд-во «Интернет-университет информационных технологий», 2006, 208 с.
6. В.Г. Олифер, Н.А. Олифер Компьютерные сети. Принципы, технологии, протоколы. – СПб: Питер, 2001. – 672с.
7. Дж. С. Макин, Йен Маклин Внедрение, управление и поддержка сетевой инфраструктуры Microsoft Windows Server 2003. Учебный курс MCSA/MCSE/Пер. с англ. - М., 2004.
8. Еникеева Л.А., Стельмашонок Е.В. Инфраструктурная составляющая нематериальных активов как объект оценки и защиты // Экономика и промышленная политика России: Труды Ш Международной научно-практической конференции. 14-19 июня 2004 г. СПб.: Изд-во Политехнического университета, 2004, с. 528.
9. Еникеева Л.А., Стельмашонок Е.В. Методологические подходы к оценке информационных активов как инфраструктурной составляющей нематериальных активов//Актуальные проблемы экономики и новые технологии преподавания (Смирновские чтения): Материалы IV международной научно-практической конференции (15-16 марта 2005 г, Санкт-Петербург), Т.2, СПб.: Изд-во Политехнического университета, 2005, с. 181-183.
10. Козачок В.И., Гребенев С., Семкин С., Беляков Э. Основы организационного обеспечения информационной безопасности объектов информатизации. М.: Изд-во «Гелиос АРВ», 2005, 192 с.
11. Партыка Т.Л., Попов И.И. Информационная безопасность(2-е издание). Изд-во«Форум», 2007, 368 с.
12. Петраков А., Мельников В., Клейменов С. Информационная безопасность и защита информации(3-е издание). М.: Изд-во«Academia, 2008, 336 с.
13. Петраков А., Мельников В., Клейменов С. Информационная безопасность (2-е издание). М.: Изд-во«Academia», 2007, 336 с.
14. Северин В.А. Комплексная защита информации на предприятии. Учебник. М.: Изд-во«Городец», 2008, 224 с.
15. Степанов Е., Корнеев И. Защита информации в офисе. М.: Изд-во «ТК Велби», 2007, 336 с.
16. Федеральный закон от 4 июля1996 г. №85-ФЗ «Об участии в международном информационном обмене».
17. Шелупанов А.А., Шумский А.А. Системный анализ в защите информации. М.: Изд-во«Гелиос АРВ», 2005, 224 с.
18. Э. А. Якубайтис. Информатика, электроника, сети. - М.: Финансы и статистика, 1989.
19. http://www.hostmake.ru/

ПРИЛОЖЕНИЕ