Исследование методов и средств защиты данных в компьютерных сетях. Исследование методов и средств защиты данных в компьютерных сетя. Исследование методов и средств защиты данных в компьютерных сетях по образовательной программе среднего профессионального образования
 Скачать 381.05 Kb.
|
|
2.2 Защита информации в корпоративной сети на уровне операционной системы Более подробно следует остановиться на программных методах защиты информации в сетях. Прежде всего, защита сети от угроз безопасности в этом смысле должна быть обеспечена на уровне операционной системы. В частности, это касается уже стандартных средств, которые встроены в операционную систему. Рассмотрим стандартные средства обеспечения безопасности ОС Windows, которые помогают нам обеспечить защиту: 2.2.1 Журнал событий безопасности. Windows Server позволяет определить, что войдет в ревизию и будет записано в журнал событий безопасности всякий раз, когда выполняются определенные действия или осуществляется доступ к файлам. Элемент ревизии показывает выполненное действие, пользователя, который выполнил его, а также дату и время действия. Такая функция позволяет контролировать как успешные, так и неудачные попытки каких-либо действий (попыток несанкционированного проникновения и прочее). Журнал событий безопасности для условий предприятия является обязательным, так как в случае попытки взлома сети можно будет отследить источник. Но само по себе протоколирование осуществляется только в отношении подозрительных пользователей и событий. Вполне понятно, что если фиксировать абсолютно все события, объем регистрационной информации будет расти катастрофически быстро, а ее эффективный анализ станет невозможным. Слежение важно в первую очередь как профилактическое средство, подобно тому, как охранник на пропускном пункте ведет журнал. Можно надеяться, что многие воздержатся от нарушений безопасности, зная, что их действия фиксируются. 2.2.2 Шифрованная файловая система (EFS). Данная шифрованная файловая система дает возможность существенно укрепить защиту информации с помощью непосредственного шифрования файлов и папок на томах NTFS. Система работает только с теми томами дисков, на которые есть права доступа. Принцип шифрования файловой системы EFS таков, что папки и файлы шифруются при помощи парных ключей. Поэтому, любой пользователь, который захочет обратиться к файлам и папкам должен обладать специальным личным ключом для расшифровки данных. Соответственно без этого ключа никак нельзя будет расшифровать необходимые данные. Следует сказать, несмотря на все преимущества данной системы шифрования, что на рассматриваемом нами предприятии она не используется вообще. Это связно как с самой политики безопасности, которая не предусматривает самый высокий уровень защиты ввиду отсутствия необходимости в этом. Кроме того, использование EFS снижает производительность любой системы, а для эффективной работы сети предприятия очень важна еще и скорость. 2.2.3 Ведение учетных карточек пользователей. На предприятии каждый клиент, использующий ресурсы локальной сети имеет специальную учетную карточку (Приложение Б). Как видно, она содержит информацию о пользователе - имя, пароль и ограничения по использованию сети, налагаемые на него. Такие карточки позволяют классифицировать (группировать) пользователей, которые имеют аналогичные ресурсы по группам. Как известно, группы облегчат администратору сети в предоставлении доступа к определенным ресурсам. Ведь достаточно сделать лишь одно действие, которое дает разрешения всей группе. 2.2.4 Контроль над деятельностью в сети. Операционная система Windows Server, предоставляет системному администратору достаточное количество средств для контроля над сетевой активностью, а именно: контролировать использование ресурсов сервером; проверять данные в журнале безопасности; проверять записи в журнале событий; предоставляет возможность в режиме «онлайн» видеть подключенных пользователей и открытые у них файлы на рабочих станциях; предупреждать об определенных ошибках администратора сети. 2.2.5 Права пользователя. На нашем предприятии права пользователя определяют разрешенные для него типы действий в сети. Регулируются правами типы действий, которые включают вход в систему на локальный компьютер, установку времени, выключение, копирование и восстановление файлов с сервера и выполнение иных задач. В домене Windows 2003 Server права предоставляются и ограничиваются на уровне домена; если группа находится непосредственно в домене, участники имеют права во всех первичных и резервных контроллерах домена. Для каждого пользователя предприятия обязательно устанавливаются свои права доступа к информации, разрешение на копирование и восстановление файлов. 2.2.6 Слежение за сеансами на рабочих станциях. Когда пользователь, например, приходя утром на свое рабочее место, включает компьютер и начинает сеанс пользователя, запрашивается ему имя пользователя, пароль и домен, потом рабочая станция посылает имя пользователя и пароль в домен для идентификации. В свою очередь сервер проверяет имя пользователя и пароль в базе данных учетных карточек пользователей домена. Если имя пользователя и пароль идентичны данным в учетной карточке, сервер уведомляет рабочую станцию о начале сеанса. Сервер загружает и другую информацию при начале сеанса пользователя, как например установки пользователя, свой каталог и переменные среды. По умолчанию не все учетные карточки в домене позволяют входить в систему. Только карточкам групп администраторов, операторов сервера, операторов управления печатью, операторов управления учетными карточками и операторов управления резервным копированием разрешено это делать. 2.2.7 Пароли и политика учетных карточек. На предприятия определены все аспекты политики пароля: минимальная длина пароля (8 символов), минимальный и максимальный возраст пароля и исключительность пароля, который предохраняет пользователя от изменения его пароля на тот пароль, который пользователь использовал недавно. Дается возможность также определить и другие аспекты политики учетных карточек: должна ли происходить блокировка учетной карточки; должны ли пользователи насильно отключаться от сервера по истечении часов начала сеанса; должны ли пользователи иметь возможность входа в систему, чтобы изменить свой пароль. Когда разрешена блокировка учетной карточки, тогда учетная карточка блокируется в случае нескольких безуспешных попыток начала сеанса пользователя, и не более чем через определенный период времени между любыми двумя безуспешными попытками начала сеанса. Учетные карточки, которые заблокированы, не могут быть использованы для входа в систему. Если пользователи принудительно отключаются от серверов, когда время его сеанса истекло, то они получают предупреждение как раз перед концом установленного периода сеанса. Если пользователи не отключаются от сети, то сервер произведет отключение принудительно. Однако отключения пользователя от рабочей станции не произойдет. Часы сеанса на предприятии не установлены, так как в успешной деятельности заинтересованы все сотрудники и зачастую некоторые остаются работать сверхурочно или в выходные дни. В случае если от пользователя требуется изменить пароль, то, когда он этого не сделал при просроченном пароле, он не сможет изменить свой пароль. Когда пароль просрочен, то пользователь должен обратиться к администратору системы за помощью в изменении пароля, чтобы иметь возможность снова входить в сеть. Если же пользователь не входил в систему, а время изменения пароля подошло, то он будет предупрежден о необходимости изменения, как только он будет входить. Как мы выяснили, встроенные меры защиты информации со стороны операционной системы довольно неплохие и при должном обращении с ними могут внести большую лепту в обеспечение сохранности конфиденциальности информации и работоспособность сети. 2.3 Защита информации от несанкционированного доступа Выше уже были указаны организационно-правовые аспекты защиты информации от несанкционированного доступа и возможности Windows в этом плане. Теперь остановлюсь чуть подробнее на других аспектах. Информация, циркулирующая в корпоративной сети весьма разнообразна. Все информационные ресурсы разделены на три группы: Сетевые ресурсы общего доступа; Информационные ресурсы файлового сервера; Информационные ресурсы СУБД. Каждая группа содержит ряд наименований информационных ресурсов, которые в свою очередь имеют индивидуальный код, уровень доступа, расположение в сети, владельца и т.п. Эта информация важна для предприятия и его клиентов, поэтому она должна иметь хорошую защиту. 2.3.1 Электронные ключи Все компьютеры, работающие со сведениями, составляющими коммерческую тайну, оборудованы дополнительными программно-аппаратными комплексами. Такие комплексы представляют собой совокупность программных и аппаратных средств защиты информации от несанкционированного доступа. Аппаратная часть, подобных комплексов так называемый электронный замок представляет собой электронную плату, вставляемую в один из слотов компьютера и снабженную интерфейсом для подключения считывателя электронных ключей таких типов как: Smart Card, Touch Memory, Proximity Card, eToken. Типичным набором функций, предоставляемых такими электронными замками, является: - регистрации пользователей компьютера и назначения им персональных идентификаторов (имен и/или электронных ключей) и паролей для входа в систему; - запрос персонального идентификатора и пароля пользователя при загрузке компьютера. Запрос осуществляется аппаратной частью до загрузки ОС; - возможность блокирования входа в систему зарегистрированного пользователя; - ведение системного журнала, в котором регистрируются события, имеющие отношение к безопасности системы; - контроль целостности файлов на жестком диске; - контроль целостности физических секторов жесткого диска; - аппаратную защиту от несанкционированной загрузки операционной системы с внешних носителей; - возможность совместной работы с программными средствами защиты от несанкционированного доступа. 2.3.2 Попечительская защита данных Попечитель — это пользователь, которому предоставлены привилегии или права доступа к файловым информационным ресурсам. Каждый сотрудник может иметь одну из восьми разновидностей прав: Read - право Чтения открытых файлов; Write - право Записи в открытые файлы; Open - право Открытия существующего файла; Create - право Создания (и одновременно открытия) новых файлов; Delete - право Удаления существующих файлов; Parental - Родительские права: - право Создания, Переименования, Стирания подкаталогов каталога; - право Установления попечителей и прав в каталоге; - право Установления попечителей и прав в подкаталоге; Search - право Поиска каталога; Modify - право Модификации файловых атрибутов. Для предотвращения случайных изменений или удаления отдельных файлов всеми работниками используется защита атрибутами файлов. Такая защита применяется в отношении информационных файлов общего пользования, которые обычно читаются многими пользователями. В защите данных используются четыре файловых атрибута: Запись-чтение, Только чтение, Разделяемый, Неразделяемый. Пароли 2.3.3 Защита с использованием BIOS При использовании Microsoft Windows и Windows Server используется защита паролем операционной системы, которая устанавливается администратором в BIOS, так как важнейшую роль в предотвращении несанкционированного доступа к данным компьютера играет именно защита BIOS. Модификация, уничтожение BIOS персонального компьютера возможно в результате несанкционированного сброса или работы вредоносных программ, вирусов. В зависимости от модели компьютера защита BIOS обеспечивается: - установкой переключателя, расположенного на материнской плате, в положение, исключающее модификацию BIOS (производится службой технической поддержки подразделения автоматизации); - установкой административного пароля в ПО SETUP. Защита BIOS от несанкционированного сброса обеспечивается опечатыванием корпуса компьютера защитной голографической наклейкой. Используются два типа паролей доступа: административные и пользовательские. При установке административного и пользовательского паролей следует руководствоваться следующими правилами: - пользовательский пароль пользователь компьютера выбирает и вводит единолично (не менее 6-ти символов). Администратору информационной безопасности запрещается узнавать пароль пользователя. - административный пароль (не менее 8-ми символов) вводится администратором информационной безопасности. Администратору информационной безопасности запрещается сообщать административный пароль пользователю. В том случае если компьютер оборудован аппаратно-программным средством защиты от НСД, которое запрещает загрузку ОС без предъявления пользовательского персонального идентификатора, пользовательский пароль допускается не устанавливать. При положительном результате проверки достоверности предъявленного пользователем пароля: - система управления доступом предоставляет пользователю закрепленные за ним права доступа; - пользователь регистрируется встроенными средствами регистрации (если они имеются). 2.3.4 Контроль доступа в Интернет Особое внимание следует уделять доступу к сети Интернет. Сейчас все компьютеры корпоративной сети имеют выход в Интернет. Рост спектра и объемов услуг, влекущие за собой потребность подразделений в информационном обмене с внешними организациями, а также необходимость предоставления удаленного доступа к информации через публичные каналы связи, значительно повышают риски несанкционированного доступа, вирусной атаки и т.п. 2.4 Антивирусная защита 2.4.1 Учитываемые факторы риска Вирусы могут проникать в машину различными путями (через глобальную сеть, через зараженную дискету или флешку). Последствия их проникновения весьма неприятны: от разрушения файла до нарушения работоспособности всего компьютера. Достаточно всего лишь одного зараженного файла, чтобы заразить всю имеющуюся на компьютере информацию, а далее заразить всю корпоративную сеть. При организации системы антивирусной защиты на предприятии учитывались следующие факторы риска: - ограниченные возможности антивирусных программ Возможность создания новых вирусов с ориентацией на противодействие конкретным антивирусным пакетам и механизмам защиты, использование уязвимостей системного и прикладного ПО приводят к тому, что даже тотальное применение антивирусных средств с актуальными антивирусными базами не дает гарантированной защиты от угрозы вирусного заражения, поскольку возможно появление вируса, процедуры защиты от которого еще не добавлены в новейшие антивирусные базы. - высокая интенсивность обнаружения критичных уязвимостей в системном ПО Наличие новых не устранённых критичных уязвимостей в системном ПО, создает каналы массового распространения новых вирусов по локальным и глобальным сетям. Включение в состав вирусов «троянских» модулей, обеспечивающих возможность удаленного управления компьютером с максимальными привилегиями, создает не только риски массового отказа в обслуживании, но и риски прямых хищений путем несанкционированного доступа в автоматизированные банковские системы. - необходимость предварительного тестирования обновлений системного и антивирусного ПО Установка обновлений без предварительного тестирования создает риски несовместимости системного, прикладного и антивирусного ПО и может приводить к нарушениям в работе. В то же время тестирование приводит к дополнительным задержкам в установке обновлений и соответственно увеличивает риски вирусного заражения. - разнообразие и многоплатформенность используемых в автоматизированных системах технических средств и программного обеспечения Возможность работы отдельных типов вирусов на различных платформах, способность вирусов к размножению с использованием корпоративных почтовых систем или вычислительных сетей, отсутствие антивирусных продуктов для некоторых конкретных платформ делают в ряде случаев невозможным или неэффективным применение антивирусного ПО. - широкая доступность современных мобильных средств связи, устройств хранения и носителей информации большой емкости Современные мобильные средства связи позволяют недобросовестным сотрудникам произвести несанкционированное подключение автоматизированного рабочего места к сети Интернет, создав тем самым брешь в периметре безопасности корпоративной сети и подвергнув ее информационные ресурсы риску массового заражения новым компьютерным вирусом. Наличие доступных компактных устройств хранения и переноса больших объемов информации создает условия для несанкционированного использования таких устройств и носителей в личных, не производственных целях. Несанкционированное копирование на компьютеры предприятия информации, полученной из непроверенных источников, существенно увеличивает риски вирусного заражения. - необходимость квалифицированных действий по отражению вирусной атаки Неквалифицированные действия по отражению вирусной атаки могут приводить к усугублению последствий заражения, частичной или полной утрате критичной информации, неполной ликвидации вирусного заражения или даже расширению очага заражения. - необходимость планирования мероприятий по выявлению последствий вирусной атаки и восстановлению пораженной информационной системы В случае непосредственного воздействия вируса на автоматизированную банковскую систему, либо при проведении неквалифицированных лечебных мероприятий может быть утрачена информация или искажено программное обеспечение. В условиях действия указанных факторов только принятие жестких комплексных мер безопасности по всем возможным видам угроз позволит контролировать постоянно растущие риски полной или частичной остановки бизнес-процессов в результате вирусных заражений. 2.4.2 Пакет Dr.Web Для антивирусной защиты рассмотрим пакет Dr.Web Enterprise Suite. Этот пакет обеспечивает централизованную защиту корпоративной сети любого масштаба. Современное решение на базе технологий Dr.Web для корпоративных сетей, представляет собой уникальный технический комплекс со встроенной системой централизованного управления антивирусной защитой в масштабе предприятия. Dr.Web Enterprise Suite позволяет администратору, работающему как внутри сети, так и на удаленном компьютере (через сеть Internet) осуществлять необходимые административные задачи по управлению антивирусной защитой организации. Основные возможности: Быстрое и эффективное распространение сервером Dr.Web Enterprise Suite обновлений вирусных баз и программных модулей на защищаемые рабочие станции. Минимальный, в сравнении с аналогичными решениями других производителей, сетевой трафик построенных на основе протоколов IP, IPX и NetBIOS с возможностью применения специальных алгоритмов сжатия. Возможность установки рабочего места администратора (консоли управления антивирусной защитой) практически на любом компьютере под управлением любой операционной системы. Ключевой файл клиентского ПО и сервера, по умолчанию, хранится на сервере. Сканер Dr.Web с графическим интерфейсом. Сканирует выбранные пользователем объекты на дисках по требованию, обнаруживает и нейтрализует вирусы в памяти, проверяет файлы автозагрузки и процессы. Резидентный сторож (монитор) SpIDer Guard. Контролирует в режиме реального времени все обращения к файлам, выявляет и блокирует подозрительные действия программ. Резидентный почтовый фильтр SpIDer Mail. Контролирует в режиме реального времени все почтовые сообщения, входящие по протоколу POP3 и исходящие по протоколу SMTP. Кроме того, обеспечивает безопасную работу по протоколам IMAP4 и NNTP. Консольный сканер Dr.Web. Сканирует выбранные пользователем объекты на дисках по требованию, обнаруживает и нейтрализует вирусы в памяти, проверяет файлы автозагрузки и процессы. Утилита автоматического обновления. Загружает обновления вирусных баз и программных модулей, а также осуществляет процедуру регистрации и доставки лицензионного или демонстрационного ключевого файла. Планировщик заданий. Позволяет планировать регулярные действия, необходимые для обеспечения антивирусной защиты, например, обновления вирусных баз, сканирование дисков компьютера, проверку файлов автозагрузки. Dr.Web для Windows 12.0 обеспечивает возможность лечения активного заражения, включает технологии обработки процессов в памяти и отличается вирусоустойчивостью. В частности, Dr.Web способен обезвреживать сложные вирусы, такие как MaosBoot, Rustock.C, Sector. Как отмечается, технологии, позволяющие Dr.Web эффективно бороться с активными вирусами, а не просто детектировать лабораторные коллекции, получили в новой версии свое дальнейшее развитие. В модуле самозащиты Dr.Web SelfProtect ведется полноценный контроль доступа и изменения файлов, процессов, окон и ключей реестра приложения. Сам модуль самозащиты устанавливается в систему в качестве драйвера, выгрузка и несанкционированная остановка работы которого невозможны до перезагрузки системы. В версии 12.0 реализована новая технология универсальной распаковки Fly-code, которая позволяет детектировать вирусы, скрытые под неизвестными Dr.Web упаковщиками, базируясь на специальных записях в вирусной базе Dr.Web и эвристических предположениях поискового модуля Dr.Web о возможно содержащемся в упакованном архиве вредоносном объекте. Противостоять неизвестным угрозам Dr.Web также помогает и технология несигнатурного поиска Origins Tracing, получившая в новой версии свое дальнейшее развитие. Как утверждают разработчики, Origins Tracing дополняет традиционные сигнатурный поиск и эвристический анализатор Dr.Web и повышает уровень детектирования ранее неизвестных вредоносных программ. Кроме того, по данным «Доктор Веб», Dr.Web для Windows способен не только детектировать, но и эффективно нейтрализовать вирусы, использующие руткит-технологии. В версии 12.0 реализована принципиально новая версия драйвера Dr.Web Shield, которая позволяет бороться даже с руткит-технологиями будущего поколения. В то же время, Dr.Web способен полностью проверять архивы любого уровня вложенности. Помимо работы с архивами, в Dr.Web для Windows версии 12.0 добавлена поддержка десятков новых упаковщиков и проведен ряд улучшений при работе с упакованными файлами, в том числе файлами, упакованными многократно и даже разными упаковщиками. За счет включения новых и оптимизации существующих технологий Dr.Web для Windows разработчикам удалось ускорить процесс сканирования. Благодаря возросшему быстродействию антивирусного ядра, сканер Dr.Web на 30% быстрее предыдущей версии проверяет оперативную память, загрузочные секторы, содержимое жестких дисков и сменных носителей, утверждают в компании. Среди новинок можно отметить HTTP-монитор SpIDer Gate. HTTP-монитор SpIDer Gate проверяет весь входящий и исходящий HTTP-трафик, при этом совместим со всеми известными браузерами, и его работа практически не сказывается на производительности ПК, скорости работы в интернете и количестве передаваемых данных. Фильтруются все данные, поступающие из интернета — файлы, аплеты, скрипты, что позволяет скачивать на компьютер только проверенный контент. Тестирование пакета Dr.Web Чтобы удостовериться, что выбранный в качестве корпоративного антивирусного пакета Dr.Web является действительно надежным средством, я изучил несколько обзоров антивирусных программ и ознакомился с несколькими результатами тестов. Результаты теста по вероятностной методике (сайт antivirus.ru) отдают Dr.Web первое место (Приложение Г). По результатам февральского тестирования антивирусных программ, проведенного журналом Virus Bulletin, отечественный полифаг Dr. Web занял 8-е место среди лучших антивирусов в мире. Программа Dr. Web показала абсолютный результат 100% в важной и престижной (технологической) категории - по степени обнаружения сложных полиморфных вирусов. Следует особо отметить, что в тестах журнала Virus Bulletin 100%-го результата по обнаружению полиморфных вирусов программа Dr. Web стабильно добивается (январь 2007, июль-август 2007 и январь 2008) уже третий раз подряд. Такой стабильностью по этой категории не может похвастаться ни один другой антивирусный сканер. Высочайший уровень в 100% достигнут программой Dr. Web также и в очень актуальной категории - по обнаружению макровирусов. |