Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Основы безопасности ИТ

Грег Шипли

Вы уже порядком устали от публикаций о мошенниках в сфере ИТ? Неужели же они действительно талантливее блюстителей порядка?

В то время как наше общество впадает во все большую зависимость от информационных систем, компьютерная преступность растет день ото дня, и пропорционально этому возрастают связанные с ИТ риски. Несмотря на некоторый прогресс в этой области, проблема информационной безопасности до сих пор окончательно не решена. Отчасти причины этого заключаются в технологических недостатках тех систем, которые мы пытаемся защитить, отчасти - в недостаточном внимании к самой проблеме со стороны руководства, а отчасти - в недооценке нами необходимых ресурсов.

Полную версию данной статьи смотрите во 4-ом номере журнала за 2003 год.

Но, если говорить откровенно, главной причиной уязвимости систем является то, что в плане безопасности мы делаем все неправильно. С одной стороны, без сильной политики безопасности технологии сами по себе позволяют реализовать в лучшем случае фрагментарную защиту, а с другой - политика безопасности, не опирающаяся на технические средства контроля, также не приведет к желаемому результату и вот вам первая заповедь: для обеспечения информационной безопасности первостепенное значение имеет разумный баланс между политикой и технологией.

Враг у ворот

Легенды, повествующие о "гениальных" хакерах и прочих опасностях, таящихся в дебрях Интернет, привели нас к "запиранию" корпоративной сети. При этом основное внимание было уделено "замкам" и "засовам", а не тому, что они должны защищать. Следующая, вторая заповедь: уделяйте больше внимания защите информационных ресурсов, а не периметра сети, поскольку все сразу мы не сможем защитить все равно.

Без досконального понимания того, что же именно мы защищаем, где находится объект защиты и какой ценностью он обладает, невозможно правильно определить необходимый уровень защиты и - тем более - обеспечить его. Без взаимодействия ИТ- и бизнес-подразделений компании можно ли оценить реальную угрозу информационным ресурсам?

К сожалению, когда речь заходит об информационных ресурсах, то проблемы возникают как с бизнес-, так и с ИТ-подразделениями. Большинство сотрудников бизнес-подразделений мало что понимают в информационной безопасности, а, в свою очередь, специалисты по информационной безопасности ничего не смыслят в бизнесе. Отсутствие должного взаимопонимания неизбежно приводит к противоречиям.

При нынешнем состоянии экономики, когда во главу угла ставится минимизация издержек, организациям нужны не очень дорогие, но более эффективные средства защиты. Пришло время "переоценки ценностей", и в этом году на передний план выходит единая, целостная стратегия корпоративной информационной безопасности.

Расставьте приоритеты

Любой специалист по защите данных скажет вам, что нападать всегда проще, чем защищаться. "Взломщику" нужно нащупать всего лишь одно уязвимое место, тогда как противоположная сторона должна защитить все свои информационные ресурсы, да еще при минимальном бюджете, "плавающем" периметре и уязвимости систем. Следствием этого стала концепция "многоуровневой системы безопасности", которая заключается в создании множества "линий обороны" в надежде на то, что при прорыве через одну из них, другая выстоит и обеспечит необходимую защиту. Вопрос лишь в том, что именно должно быть защищено. Серверы? Сетевое оборудование? Настольные системы? Файлы? Резервные копии? Приложения? Базы данных?

Большинство специалистов по безопасности ответят на этот вопрос так: "Все вышеперечисленное". И хотя такой ответ совсем необязательно будет ошибочным, существует все же более надежный способ добиться необходимых результатов. Помните, вы не сможете защитить все. А жертвовать чем-то сегодня не любит никто, поэтому назначение приоритетов в информационной безопасности - это осознанная необходимость. Защитить самое важное, вот то лучшее, что вы можете сделать. Главным же в процессе назначения приоритетов защиты является отделение более ценных информационных ресурсов, от менее ценных. Продвижение, распределение и использование информации - это то, для чего нужны все эти настольные системы, серверы, ПО и сетевое оборудование. При этом во многих компаниях ценность информации варьируется в зависимости от степени ее важности для бизнеса и конфиденциальности. Это и не удивительно. Но сотрудникам подразделений ИТ и служб информационной безопасности далеко не всегда ясно, какой ценностью обладает каждый конкретный набор данных. Кроме того, как свидетельствует практика, одни информационные ресурсы более дружно подвержены нападениям.

Например, если мы проанализируем статистику, то увидим, что некоторые данные похищают особенно часто и связанный с этим ущерб может быть весьма значительным. Из совместного отчета Института компьютерной безопасности и ФБР за 2002 г., выполненного на базе опроса 503 респондентов (http://www.gocsi.com/press/20020407.html), становится ясно, что хотя несанкционированный удаленный доступ и вспышки "вирусных эпидемий" являются самыми распространенными инцидентами с ощутимыми финансовыми последствиями, похищение конфиденциальной информации ведет к гораздо большим потерям. Кроме того, в отчете отмечено, что в хищении конфиденциальной информации могут быть замешаны как внешние, так и внутренние злоумышленники.

В перечень наиболее часто похищаемой информации входят: финансовая статистика, сведения об исследованиях и разработках, стратегические бизнес-планы и БД клиентов. Перечень составлен по результатам опроса 138 компаний, входящих в список Fortune 1000, и небольших фирм, который провели организация ASIS и компания PricewaterhouseCoopers (http://www.asisonline.org/pdf/spi2.pdf).

Защитите свои информационные ресурсы

Не гадайте, откуда ждать нападения, а задайте себе вопрос: где могут находиться цели возможной атаки? Возвращаясь к концепции назначения приоритетов, скажем, что наиболее предусмотрительные службы безопасности решают эту проблему, привлекая представителей бизнес-подразделений к идентификации потенциальных "целей". За процессом выявления самых ценных информационных ресурсов, следует их классификация. Обычно она начинается с разбиения данных на группы, что затем может вылиться в более сложную систему классификации ресурсов по таким параметрам, как тип, бизнес-функция или критичность системы.

Базовый план классификации начните с группировки данных по двум или более уровням. Трехуровневый метод может включать такие категории, как открытые, частные и конфиденциальные данные.

Возьмем, например, новейшую модель машины для изготовления мясных консервов со скоростью 3000 банок в минуту, которая способна произвести революцию в консервной промышленности. Для производителя этой машины чертежи являются чрезвычайно ценной информацией. В нашей трехуровневой модели эти данные классифицировались бы как конфиденциальные. Вместе с тем доступные на Web-сайте компании прошлогодние буклеты, рекламирующие устаревшие модели машины, классифицировались бы как открытые данные.

Это, пожалуй, несколько упрощенный пример, но успех классификации часто определяется ее простотой. Чем больше уровней, тем более детальной будет классификация данных вашей организации. Однако с ростом детализации растет сложность и вероятность ошибки, что потенциально способно привести к росту расходов, связанных с реализацией процесса классификации.

Теперь давайте перейдем от классификации данных к классификации информационных ресурсов. В этом случае в качестве ресурса может выступать набор данных, отдельная система или группа систем, выполняющих конкретную бизнес-функцию. Например, все данные, серверы и приложения, относящиеся к системе начисления зарплаты, могут рассматриваться как единый информационный ресурс (состоящий из множества компонент), или, в зависимости от стратегии классификации, они могут ранжироваться как отдельные компоненты. При ранжировании информационных ресурсов нужно принимать во внимание такие факторы, как доступность. Так, например, на общедоступном Web-сайте может и не содержаться критически важных данных, но его злоумышленное искажение способно подорвать доверие к компании.

К сожалению, многие организации, детально прорабатывая стратегию классификации, оказываются бессильными, когда дело доходит до ее воплощения в жизнь. Согласно результатам опроса читателей журнала Network Computing, многие организации еще даже не завершили классификацию своих данных, а уж тем более - информационных ресурсов, что препятствует переходу к ранжированию связанных с ними рисков.

Здесь могут помочь уже имеющиеся в организации наработки. Например, если процесс формирования корпоративной политики информационной безопасности находится еще на ранней стадии, то планы аварийного восстановления работы систем (disaster-recovery) у большинства компаний уже достигли "зрелости". Поговорите с теми, кто отвечает за устранение аварий: результаты их анализа влияния различных факторов риска на бизнес компании окажутся очень полезными для службы информационной безопасности, они дадут ей необходимую отправную точку для идентификации критически важных ресурсов.

И в этом процессе опять необходимо участие тех, кто занимается собственно бизнесом, поскольку ни сотрудники ИТ-подразделений , ни сотрудники службы информационной безопасности не могут в полной мере охватить все бизнес-процессы. И, наконец, рассмотрите возможности привлечения сторонней организации к выполнению классификации, особенно, если вы ощущаете нехватку персонала, или у вас есть опасения, что при выполнении этой задачи ваши бизнес-подразделения окажутся необъективными.

Старые грабли

Представьте себе огромное здание банка с бронированными дверями. Двери эти регулярно распахиваются, и охранная сигнализация срабатывает на каждого десятого посетителя. Внутри помещения стоят заваленные пачками денег столы с табличками "Не трогать". И, наконец, большую часть времени свет в здании выключен, что снижает эффективность действий охранников, стерегущих это богатство.

Что и говорить, абсурдный сценарий. Однако жестокая правда жизни состоит в том, что мир ИТ очень похож на эту модель. Большинство средств защиты сосредоточены по периметру сети, при этом внутренних средств контроля катастрофически не хватает. Банковская система безопасности (реальная, а не вымышленная нами) включает в себя не только средства защиты периметра (прочные двери и стены), но и внутренние средства защиты (сейфы), поэтому не следует ли и другим организациям охранять свои информационные ресурсы подобным образом?

Большинство организаций хоть и применяют некоторые средства внутреннего контроля, такие как механизмы аутентификации, списки управления доступом и т. д., эффективность этих мер часто ничтожна. Это связано с тем, что при современных методах нападения обычно используются "дыры" в приложениях и ОС, позволяющие "взломщику" обходить защитные механизмы. Например, в ОС Solaris "строгая" аутентификация дополнена механизмом управления доступом на уровне файловой системы. Однако если не предпринять соответствующих мер, то недавно обнаруженная уязвимость сервиса RPC позволит злоумышленнику в удаленном режиме войти в систему с правами администратора. Возможные последствия этого очевидны.

Другая распространенная ошибка - развертывание якобы многоуровневой системы безопасности, которая на деле таковой не является, т.к. имеет единую точку отказа. Возьмем, к примеру, Web-приложение электронной коммерции. Даже при наличии межсетевого экрана и системы обнаружения вторжений взломщик, воспользовавшись украденным паролем, сможет получить доступ к критически важным данным, - такую стратегию никак нельзя назвать многоуровневой.

Традиционные модели защиты ожидают большие проблемы в будущем. Одна из самых серьезных - Web-службы. По мере того, как расширяется сотрудничество компаний, их внутренние системы вступают во взаимодействие с внешними системами на все более высоком уровне, и нерадивость одной организации - "плавающий" периметр сети и/или неконтролируемый обмен данными и приложениями - может обернуться уязвимостью для другой.

Ситуации, когда проблемы других людей сказываются на вашей операционной среде, станут не исключением, а правилом. Такие технологии, как SOAP и XML-RPC, сделают большинство средств "пограничного контроля" бесполезными. Модели, нацеленные на защиту периметра сети и отражение сетевых атак, здесь не помогут, организациям придется либо прибегнуть к средствам контроля, приближенным к информационным ресурсам, либо они столкнутся с новыми рисками.

Многие организации уже пережили "первую волну" этих угроз - хоть и в несколько уменьшенном масштабе - в сетях extranet. Так, например, вспышка активности "червей" Nimbda поставила некоторые компании в незавидное положение: их собственные внутренние машины были атакованы системами предприятий-партнеров. Источником проблемы стало то, что принадлежавшие партнерам системы на базе ПО Microsoft IIS размещались во внутренних сетях компаний и использовались локальными пользователями, но при этом не были снабжены самыми последними "заплатами". В результате этого от небрежности посторонних лиц пострадали внутренние ресурсы компаний, находящиеся под "надежной охраной средств контроля периметра сети". Сегментация корпоративной сети и увеличение числа "линий обороны" - вот то, что поможет вам предотвратить такие ситуации.

Упреждающая защита

Следующий шаг на пути обеспечения безопасности станет серьезным испытанием для большинства организаций, и главным препятствием здесь могут оказаться прочно укоренившиеся унаследованные модели защиты. Многие концепции информационной безопасности разработаны еще десятилетия назад, и хотя они по-прежнему актуальны, но не обеспечивают основу целостной, единой модели безопасности, и уж конечно не учитывают уровни приоритета ресурсов.

Так что же, теперь компаниям нужно прекратить покупать межсетевые экраны? Или они должны переместить всех своих пользователей в "демилитаризованные зоны" и "списать" свои системы обнаружения вторжений? Разумеется, нет. Но им все-таки следует передислоцировать средства и технологии, используемые по периметру сети, поближе к критически важным ресурсам. Разумнее будет сначала определить, что именно следует защитить, а уж затем - решать как это сделать наилучшим образом.





  
4 '2003
СОДЕРЖАНИЕ

бизнес

• Анализ возврата инвестиций

• Открытый источник инноваций. Интервью Сергея Тарасова

• Кто проложит русло широкополосному потоку

• Российский ИТ-рынок считает доходы

• Еще раз об экономике контакт-центров

инфраструктура

• Тестируем коммутаторы Fibre Channel среднего класса

информационные системы

• Спектр электронных покупателей

• Нужны ли публичные Web-службы?

• Как стать уверенным в своем Web-сайте

сети связи

• Передача голоса поверх IP, ATM и DSL

• Системы DWDM: особенности и применение

• Fast Ethernet в кольце

кабельные системы

• Новое поколение оптических рефлектометров

• Тональные генераторы и щупы — простые, но важные инструменты

защита данных

• Основы безопасности ИТ

• Тактика защиты информации

новые продукты

• Консольные серверы Digi СМ, Система широкополосного радиодоступа i-BRAIN


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх