Исследование возможностей потенциальных инициаторов утечки информации - Обеспечение защиты от несанкционированного доступа в организации
Источниками угроз НСД в информационной системе могут быть:
Нарушитель;
Носитель вредоносной программы;
Аппаратная закладка.
Для источников угроз - людей, должна быть разработана модель нарушителя информационной системы, включающая описание опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, и возможной мотивации их действий, а также возможных технических и специальных средств нарушения.
По наличию права постоянного или разового доступа в контролируемую зону (КЗ) информационной системы нарушители подразделяются на два типа:
Внешние нарушители (I тип) - нарушители, не имеющие доступа к информационной системы, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена;
Внутренние нарушители (II тип) - нарушители, имеющие доступ к информационной системе, включая пользователей организации, реализующие угрозы непосредственно в ЛВС.
Внешними нарушителями могут быть:
Криминальные структуры;
Конкуренты (конкурирующие организации);
Бывшие сотрудники;
Физические лица, пытающиеся получить доступ к ПДн в инициативном порядке;
Внешний нарушитель имеет следующие возможности:
Осуществлять несанкционированный доступ к каналам связи с использованием портативных, возимых, носимых, а также автономных автоматических средств разведки ПЭМИН(Побочные Электромагнитные Излучения и Наводки) серийной разработки;
Осуществлять несанкционированный доступ через автоматизированные рабочие места, подключенные к сетям связи общего пользования и (или) сетям международного информационного обмена;
Осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий посредством программных вирусов, вредоносных программ, алгоритмических или программных закладок;
Осуществлять несанкционированный доступ через элементы информационной инфраструктуры ЛВС, которые в процессе своего жизненного цикла (модернизации, сопровождения, ремонта, утилизации) оказываются за пределами контролируемой зоны;
Осуществлять несанкционированный доступ через информационные системы взаимодействующих ведомств, организаций и учреждений при их подключении к ЛВС.
Осуществление несанкционированного доступа через АРМ, подключенные к сетям связи, сетям международного информационного, необходимо рассматривать т. к. все АРМ, имеют связи с сетями международного информационного обмена и не защищены средством межсетевого экранирования.
Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны ограничительных факторов, из которых основным является реализация комплекса организационно-технических мер, в том числе по подбору, расстановке и обеспечению высокой профессиональной подготовки кадров, допуску физических лиц внутрь контролируемой зоны и контролю за порядком проведения работ, направленных на предотвращение и пресечение несанкционированных действий.
Исходя из особенностей функционирования информационной системы, допущенные к ней физические лица, имеют разные полномочия на доступ к информационным, программным, аппаратным и другим ресурсам в соответствии с принятой политикой информационной безопасности (правилами). К внутренним нарушителям могут относиться:
Категория I-администраторы ЛВС;
Категория II-пользователи (бухгалтера, работники отдела рекламы, отдела персонала, отдела брака, комплектации);
Категория III - сотрудники, имеющие санкционированный доступ в служебных целях в помещения, в которых размещаются ресурсы ЛВС, но не имеющие права доступа к ресурсам (работники склада);
Категория IV-обслуживающий персонал (уборщица);
Категория V - уполномоченный персонал разработчиков ЛВС, который на договорной основе имеет право на техническое обслуживание и модификацию компонентов информационной системы(специалист по обновлению ПО 1С).
За I полугодие 2015 года Аналитическим центром InfoWatch зарегистрировано 723случая утечки конфиденциальной информации (см. Рисунок 1). Это на 10% больше, чем за аналогичный период 2014 года (654 утечки). В пределах исследуемого периода рост утечек замедлился на 22 процентных пункта (п. п.) по сравнению с показателями I полугодия 2014 года (тогда рост к 2013 году составил 32%).

Рисунок 1Число зарегистрированных утечек информации, Ѕ 2006 - Ѕ 2015 гг.
Зарегистрирована 471 (65%) утечка информации, причиной которой стал внутренний нарушитель. В 233 (32%) случаях утечка информации произошла из-за внешнего воздействия. Для некоторых случаев (2,6%) установить вектор воздействия(направление атаки) оказалось невозможно

Рисунок 2 Распределение утечек по вектору воздействия
Вопрос защиты персональных данных от утечек для среднего бизнеса сегодня даже более актуален, чем для крупного. В организациях среднего размера зафиксировано в разы больше утечек, чем в крупных компаниях. Совокупный объем скомпрометированных записей в средних компаниях впервые за годы наблюдения превысил объем скомпрометированных записей в крупных компаниях. Исходя из результатов исследования, наиболее уязвимыми следует считать сегмент высоких технологий, торговые и транспортные компании. Наибольший объем скомпрометированных данных (без учета "мега-утечек") пришелся на интернет-сервисы
Нормативно-техническая документация
Техническая документация на систему должна соответствовать требованиям комплекса стандартов и руководящих документов на автоматизированные системы, в том числе:
ГОСТ 34.201-89 "Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем";
ГОСТ 34.601-90 "Комплекс стандартов на автоматизированные системы. Стадии создания";
ГОСТ 34.602-89 "Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы";
ГОСТ 34.603-92 "Информационная технология. Виды испытаний автоматизированных систем";
РД 50-34.698-90 "Комплекс стандартов и руководящих документов на автоматизированные системы. Методические указания. Автоматизированные системы. Требования к содержанию документов".
Также необходимо использовать рекомендации и положения следующих стандартов:
ISO13335-5:2001 Information technology. Guidelines for the management of IT security. Managementguidanceofnetworksecurity (Информационные технологии. Руководство по управлению ИТ безопасностью. Руководство по управлению сетевой безопасностью);
ISO/IEC 18028-1:2006. Information technology. Security techniques. IT networksecurity. Part 1 - Networksecuritymanagement (Безопасность сети - Часть 1:Управление безопасностью сети);
ISO/IEC 18028-2:2006. Information technology. Security techniques. IT networksecurity. Part 2 - Networksecurityarchitecture (Безопасность сети - Часть 2:Архитектура безопасности сети);
ISO/IEC 18028-3:2005. Information technology. Security techniques. IT network security. Part 3 - Securing communications between networks using security gateways (Безопасностьсети - Часть 3: Обеспечениебезопасностикоммуникациймеждусетямисиспользованиемшлюзов);
ISO/IEC 18028-4:2005. Information technology. Security techniques. IT networksecurity. Part 4 - Securingremoteaccess (Безопасность сети - Часть 4:Обеспечение безопасности удаленного доступа);
ISO/IEC 18028-5:2006. Information technology. Security techniques. IT network security. Part 5 - Securing communications across networks using virtual private networks (Безопасностьсети - Часть 5: Обеспечение безопасности коммуникаций между сетями с использованием VPN).
Решения по структуре системы
Система представляет собой ЛВС, состоящую из следующих компонентов:
Подсистемы межсетевого экранирования;
Подсистемы обнаружения и предотвращения вторжений.
Каждый из компонентов системы имеет свое назначение и обеспечивает возложенный на него функционал. Решения, применяемые при проектировании, выбирались с позиции обеспечения отказоустойчивости, производительности, высокой доступности сетевой инфраструктуры.
Решения по численности, квалификации и функциям персонала системы
Численность и квалификация персонала системы, а также режим его работы определяются штатным расписанием и должностными инструкциями соответствующих подразделений организации Заказчика.
Подразделения, выполняющие эксплуатацию подсистем, должны включать инженерно-технический персонал, обеспечивающий постоянную работоспособность системы за счет выполнения регламентного обслуживания и надлежащей эксплуатации ее компонентов в соответствии с рекомендациями производителей оборудования.
Допускается проводить эксплуатацию подсистем по договору на техническое обслуживание со специализированной организацией.
Подсистема межсетевого экранирования. Назначение
Подсистема межсетевого экранирования обеспечивает:
Информационное взаимодействие пользователей Заказчика;
Информационное взаимодействие серверных сегментов ЦО;
Информационное взаимодействие между элементами системы;
Защиту серверных ресурсов и внутренних пользователей с использованием средств межсетевого экранирования.
Физическое представление
На текущий момент времени роль ядра / распределения ЛВС ЦО выполняет стек коммутаторов Cisco 3750E-48TD, к которому, в свою очередь, подключаются коммутаторы уровня доступа, а также серверные ресурсы ЦО. Настоящим техническим проектом предлагается переложить функции уровня ядра на вновь устанавливаемые МЭ Cisco ASA5585-X, а коммутаторы Cisco 3750E-48TD оставить в роли уровня распределения (см. Рис. 3).
Данное решение позволит организовать гибкую политику фильтрации трафика серверных сегментов с использованием списков контроля доступа и инспекции протоколов входящих и исходящих соединений всех подсистем в соответствии с предварительно настроенными правилами.

Рисунок 3. Структурная схема ЛВС ЦО
Описание физических подключений
Как уже было сказано выше, в роли ядра ЛВС предполагается использовать высокопроизводительные мультисервисные МЭ ASA 5585-X, которые представляют собой 2-U шасси с двумя установленными модулями:
ASA5585-SSP-10 - модуль межсетевого экранирования;
ASA5585-SSP-IPS10 - модуль обнаружения и предотвращения атак (IPS).
Модуль межсетевого экранирования ASA5585-SSP-10 является процессорным модулем для всех карт, установленных в шасси ASA 5585-X. Данный модуль позволяет подключать 8 интерфейсов GigabitEthernet, а также 2 SFP-порта с поддержкой 10 GbitEthernet (при соответствующей лицензии). При установке дополнительного модуля ASA5585-SSP-IPS10 суммарное количество портов межсетевого экрана увеличивается вдвое. Производительность МЭ в режиме межсетевого экранирования - 4 Гбит/с, в режиме предотвращения вторжений - 2 Гбит/с.
Для обеспечения отказоустойчивости предполагается использовать два устройства адаптивной безопасности ASA 5585-X, работающих в режиме StatefulFailover, где один МЭ ASA 5585-X будет функционировать в режиме Active, а второй - в режиме Standby. Реализация StatefulFailover осуществляется путем связи двух МЭ с помощью каналов Failover и Stateful. Failover-канал предназначен для наблюдения за состоянием активного МЭ, канал Stateful предназначен для синхронизации информации о сессиях активного устройства. Применение данных каналов позволяет осуществлять прозрачное для клиентов переключение на резервное устройство в случае сбоя активного.
Межсетевые экраны, помимо специализированного канала Failover, используют другой метод определения состояния соседа - "состояние интерфейсов" (MonitoringInterface). Данный метод призван предотвратить состояние, в котором оба МЭ являются активными (dual-active-состояния). Метод "состояние интерфейсов" работает следующим образом: на интерфейсе (или на sub-интерфейсе) настраиваются два IP-адреса, где первый IP-адрес принадлежит интерфейсу активного МЭ, а второй - резервному МЭ. Так как оба интерфейса находятся в одном широковещательном домене (в одной VLAN), резервный МЭ всегда проверяет доступность IP-адреса активного МЭ с помощью Hello-пакетов. Как только Hello-пакеты перестанут приходить на интерфейс, резервный МЭ по истечении определенного времени (Hold-time) становится активным (см. Рис.4).

Рисунок 4 Метод "состояние интерфейсов"
Метод StatefulFailover позволяет увеличить отказоустойчивость системы, однако, пропускная способность в режиме Active/Standby снижена, так как передачей данных занимается лишь интерфейс активного МЭ. Для увеличения пропускной способности предлагается от каждого МЭ подключить по два канала GigabitEthernet к каждому коммутатору Cisco 3750E (см. Приложение А). Далее необходимо каждую физическую пару каналов GigabitEthernet объединить в один логический канал Port-channel, используя технологию EtherChannel, которая позволяет объединить до 8-ми физических интерфейсов в одни логический с использованием протокола LACP.
Семейство МЭ CiscoASA 5500 обладает особой политикой безопасности, основанной на уровне доверия к каждому интерфейсу платформы. Каждому интерфейсу присваивается свой уровень безопасности, в зависимости от того, к какой сети этот интерфейс подключен с точки зрения безопасности. Значение уровня безопасности варьируется от 0 (наименьший уровень доверия к данному подключению) до 100 (наибольший уровень доверия).
Состав логических интерфейсов и их уровень сетевой безопасности представлен вТабл. 1.
Таблица1. Состав логических интерфейсов и их уровень сетевой безопасности
Логический интерфейс |
Название логического интерфейса |
Securitylevel |
Назначение |
Состав физических интерфейсов |
Port-channel 1.51 |
Users |
20 |
Подключение пользователей Заказчика |
GigabitEthernet 0/0 GigabitEthernet 1/0 |
Port-channel 1.52 |
Itusers |
35 |
Подключение администраторов ЛВС | |
Port-channel 1.53 |
Dbuser |
30 |
Подключение пользователей дирекция по безопасности | |
Port-channel 1.61 |
Printers |
22 |
Подключения принтеров и МФУ | |
Port-channel 1.62 |
Wifi |
7 |
Подключение пользователей беспроводного доступа Wi-Fi | |
Port-channel 1.65 |
Management |
50 |
Управление АСО ЦО | |
Port-channel 1.68 |
Phones |
25 |
Подключение IP-телефонов | |
Port-channel 2.20 |
Outside |
0 |
Связь с ISA-сервером |
GigabitEthernet 0/1 GigabitEthernet 1/1 |
Port-channel 2.21 |
Servers1 |
18 |
Подключение к серверной группе №1 | |
Port-channel 2.22 |
Servers2 |
16 |
Подключение к серверной группе №2 | |
Port-channel 2.23 |
Servers3 |
14 |
Подключение к серверной группе №3 | |
Port-channel 2.24 |
Servers4 |
12 |
Подключение к серверной группе №4 | |
Port-channel 2.25 |
Servers5 |
10 |
Подключение к серверной группе №5 | |
Port-channel 2.100 |
Remoteoffice |
5 |
Подключение удаленных подразделений |
В случае если трафик направлен от интерфейса с высоким уровнем безопасности к интерфейсу с меньшим уровнем, МЭ пропустит трафик, предварительно запомнив информацию о данной сессии. Если поток данных направлен в обратную сторону, трафик будет заблокирован МЭ до тех пор, пока в явном виде не будет прописан доступ с помощью списков доступа (Access-list). Данный метод позволяет администратору создавать гибкую политику безопасности, исключая несанкционированный доступ к ЛВС. Принцип работы интерфейсов с определенным уровнем безопасности показан на Рис. 5.

Рисунок 5. Принцип работы интерфейсов с определенным уровнем безопасности
Протоколы, которые используются в локальной сети, не всегда используют одну сессию для своей работы (когда весь обмен данными происходит по одной сессии TCP или UDP). Примерами таких "сложных" для МЭ протоколов являются FTP, SIP, SCCP, H.323, и многие другие. Все приведенные протоколы используют для служебной информации одно соединение, а для передачи данных - другое. Например, популярный протокол SIP устанавливает служебную сессию на ТСР/5060 с SIP-сервером, но голосовой поток идет от одного телефона до другого напрямую. Для корректной передачи данного типа трафика, МЭ Cisco ASA 5585x реализована функция глубокого исследование протоколов (AdvancedProtocolHandling). Данная функция позволяет МЭ разбирать многопотоковыепротоколы (в некоторых случаях и однопотоковые, которым требуется пристальное внимание HTTP, ESMTP, DNS, SNMP и др.) до 7 уровня модели OSI анализируя их структуру, информацию в заголовках и передаваемых данных. В рамках данного проекта, предполагается включить инспектирование для следующих протоколов: ftp, h323 h225, sqlnet, sip, netbios, tftp, ip-options, icmp, http.
Помимо глубокого исследования протоколов, МЭ Cisco ASA 5585X поддерживает технологию сбора событий по сетевой активности в ЛВС с разбивкой по хостам, протоколам, портам и спискам доступа. Данная технология называется threat-detection и имеет 2 уровня. Первый уровень - threat-detectionbasic (включен по умолчанию). Данный уровень собирает статистику по:
Хостам:количество посланных/полученных пакетов/байтов за 1,8 и 24 часа. Также учитывается количество уничтоженных пакетов, если такие были;
Спискам доступа:количество совпадений со строками списка доступа;
Протоколам и портам:учитывается количество пакетов и байт, прошедших по конкретному протоколу, либо приложению за 1,8 и 24 часа.
Вторая часть этой технологии называется scanning-threat (по умолчанию выключена). Эта часть позволяет анализировать неуспешные попытки хостов связаться через МЭ по TCP/UDP протоколам.
Если активировать scanning-threat, то МЭ будет блокировать хосты, которые превысили установленный порог "исследовательской активности", которая часто означает, что хост заражен трояном и может быть частью ботнета.
Похожие статьи
-
Для организации сети управления АСО используются существующие IP-адреса из диапазона 192.168.15.0/24 (см. Табл. 2). Табл. 2. IP-адресация АСО управления...
-
Введение - Обеспечение защиты от несанкционированного доступа в организации
Информационная безопасность - одно из популярнейших сегодня понятий. Наша жизнь уже неразрывно связана с информационными технологиями в современном их...
-
Многие организации, рассматривая вопрос о сетевой безопасности, не уделяют должного внимания методам борьбы с сетевыми атаками на втором уровне. В...
-
Одной из самых актуальных проблем в организации ООО "555" является низкая квалификация кадров в сфере информационных технологий и особенно в части ИБ....
-
Режим эксплуатации АРМ должен соответствовать режиму работы сотрудников, то есть пользователей в соответствии со штатным расписанием рабочего дня,...
-
Брандмауэр - Анализ средств защиты информации в ЛВС
Наверное, лучше всего начать с описания того, что НЕ является брандмауэром: брандмауэр - это не просто маршрутизатор, хост или группа систем, которые...
-
IOS сетевого оборудования должна быть настроена для обеспечения: - идентификацию и аутентификацию при попытке консольного, либо удаленного подключения; -...
-
Размещение оборудования должно быть выполнено с учетом требований фирм-производителей и удобств технической эксплуатации. Помещения должны быть...
-
Анализ организационной структуры и основных направлений деятельности предприятия Компания "555" - фирма основана в 2006 году. Основные направления...
-
Разработка интеграционных платформ началась одновременно с исследованием и развитием Интернета Вещей. Это происходило по той причине, что сама концепция...
-
1.1 Физические средства-различные устройства и системы механического, электрического либо электронного плана, деятельность которых не зависит от...
-
Защита корпоративной информации - Защита информации
Однако при решении этой проблемы предприятия часто идут на поводу у компаний-подрядчиков, продвигающих один или несколько продуктов, решающих, как...
-
ВВЕДЕНИЕ - Анализ средств защиты информации в ЛВС
Вопрос защиты информации поднимается уже с тех пор, как только люди научились письменной грамоте. Всегда существовала информация, которую не должны знать...
-
На предприятии функционирует АС класса 2. Существуют повышенные требования к обеспечению конфиденциальности и доступности защищаемой информации....
-
Защита информации в БД - Банки и базы данных. Системы управления базами данных
Целью защиты информации является обеспечение безопасности ее хранения и обрабатывания. Процесс построения эффективной защиты начинается на начальных...
-
Важнейший элемент АИС--информационное обеспечение. Информационное обеспечение предназначено для отражения информации, характеризующей состояние...
-
Комплексный подход к обеспечению информационной безопасности, Основные понятия - Защита информации
Основные понятия Под информацией, применительно к задаче ее защиты понимается сведения о лицах, предметах, фактах, событиях явлениях и процессах...
-
Введение, Объект защиты - Инженерно-техническая защита информации организации ООО "ТерраИнкогнито"
Развитие компьютерных технологий привело к тому, что на данный момент все организации используют информационные технологии для обработки информации,...
-
Я, ФИО, прошел производственную практику на предприятии АСУнефть. Углубил и получил навыки по профессии. Научился разбирать, ремонтировать, проводить...
-
Современные DLP системы - Сравнительный анализ DLP-систем, их функциональные возможности
SearchInform "Контур информационной безопасности SearchInform" - одно из наиболее совершенных решений по контролю над информационными потоками...
-
Особенность сети Internet на сегодняшний день состоит в том, что 99% процентов информационных ресурсов сети являются общедоступными. Удаленный доступ к...
-
Основные требования и характеристики современных и применение технических средств АИС Автоматизированная информационная система (АИС) представляет собой...
-
Самым правильным шагом в этом направлении будет приглашение специалиста по информационной безопасности, который вместе с вами постарается решить весь...
-
Обеспечение безопасности БД, Общие положения - Виды и возможности СУБД
Общие положения Термины безопасность и целостность в контексте обсуждения баз данных часто используется совместно, хотя на самом деле, это совершенно...
-
Заключение - Анализ средств защиты информации в ЛВС
Многие производители сетевого и телекоммуникационного оборудования обеспечивают поддержку работы с Kerberos в своих устройствах. Так, фирма TELEBIT,...
-
Для компьютерного оборудования и данных (информации) существуют три основные угрозы: Физическое воровство, которое включает подключение к различным...
-
Аппаратный брандмауэр - Анализ средств защиты информации в ЛВС
Информация в век цифровых технологий приравнена к деньгам, а раз так -- ее нужно охранять. В Интернете всегда найдутся желающие поинтересоваться...
-
Необходимость защиты информации от внутренних угроз была очевидна на всех этапах развития средств информационной безопасности. Однако первоначально...
-
FireWall - Анализ средств защиты информации в ЛВС
Одним из наиболее распространенных механизмов защиты от "хакеров" является применение межсетевых экранов. Программный комплекс Solstice FireWall-1...
-
Уровни программного обеспечения. - Основы теории информации
1. Базовый уровень - самый низкий уровень ПО представляет базовое ПО. Оно отвечает за взаимодействие с базовыми аппаратными средствами. Как правило,...
-
Одним из самых популярных приложений INTERNET является World Wide Web или WWW - "всемирная паутина"; она представляет собой группу серверов, подключенных...
-
Заключение - Инженерно-техническая защита информации организации ООО "ТерраИнкогнито"
В данной курсовой работе было проведено исследование предприятия "ТерраИнкогнито". В исследование вошло оценка информации, обрабатываемой в процессе...
-
Моделирование является основным методом анализа объекта защиты, выявления возможных угроз и построения соответствующей системы защиты. Моделирование...
-
Моделирование это метод исследования различных явлений и процессов, выработки вариантов решений. Методом моделирования описываются структура объекта...
-
Стандарты современных сетей, Эталонная модель OSI. - Сетевые стандарты и протоколы
Эталонная модель OSI. Перемещение информации между компьютерами различных схем является чрезвычайно сложной задачей. В начале 1980 гг. Международная...
-
Специфика информационного обеспечения САПР - Состав систем автоматизированного проектирования
В комплекс средств автоматизированного проектирования входит информационное обеспечение, которое представляет собой совокупность документов, описывающих...
-
МЕТОДЫ ДОСТУПА К ПЕРЕДАЮЩЕЙ СРЕДЕ В ЛВС - Компьютерные сети и телекоммуникации
Несомненные преимущества обработки информации в сетях ЭВМ оборачиваются немалыми сложностями при организации их защиты. Отметим следующие основные...
-
В данной дипломной работе будут предложены различные системы организации абонентского доступа. Предлагается строить КС с применением базовых...
-
Постановление Правительства Российской Федерации №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах...
-
База данных представляет собой информационную модель того объекта (организации или предприятия), информация о котором требуется пользователю для...
Исследование возможностей потенциальных инициаторов утечки информации - Обеспечение защиты от несанкционированного доступа в организации