Модернизация системы информационной безопасности БТИ

Теперь необходимо рассмотреть некоторые из представленных выше СЗИ, а именно:

• электронные ключи;
• служба каталогов Active Directory;
• антивирусная системы защиты на ПЭВМ;
• брандмауэр;
• средства ОС;
• архивирование ;
• технология VPN;
• VLAN.

Электронные ключи

Электронный ключ (так же аппаратный ключ, иногда от англ. dongle) – аппаратное средство, предназначенное для защиты программного обеспечения (ПО) и данных от копирования, нелегального использования и несанкционированного распространения.

Основой данной технологии является специализированная микросхема, либо защищённый от считывания микроконтроллер, имеющие уникальные для каждого ключа алгоритмы работы. Донглы также имеют защищённую энергонезависимую память небольшого объёма, более сложные устройства могут иметь встроенный криптопроцессор (для аппаратной реализации шифрующих алгоритмов), часы реального времени. Аппаратные ключи могут иметь различные форм-факторы, но чаще всего они подключаются к компьютеру через USB. Также встречаются с LPT- или PCMCIA-интерфейсами/35/.

Принцип действия электронных  ключей. Ключ присоединяется к определённому интерфейсу компьютера. Далее защищённая программа через специальный драйвер отправляет ему информацию, которая обрабатывается в соответствии с заданным алгоритмом и возвращается обратно. Если ответ ключа правильный, то программа продолжает свою работу. В противном случае она может выполнять определенные разработчиками действия, например, переключаться в демонстрационный режим, блокируя доступ к определённым функциям/36/.

В ФГУП используется Электронный (ключ) идентификатор Rutoken — персональное устройство доступа к информационным ресурсам, полнофункциональный аналог смарт-карты, выполненный в виде usb-брелока. Идентификатор предназначен для безопасного хранения и использования паролей, цифровых сертификатов, ключей шифрования и ЭЦП.

Ключевой элемент защиты Rutoken служит для строгой двухфакторной аутентификации, защиты электронной переписки, установления защищенных соединений (VPN, SSL), проведения финансовых транзакций и криптографической защиты информации.

Служба каталогов Active Directory

Служба каталогов Active Directory (AD) — сервис, интегрированный с Windows NT Server. Она обеспечивает иерархический вид сети, наращиваемость и расширяемость, а также функции распределенной безопасности. Эта служба легко интегрируется с Интернетом, позволяет использовать простые и интуитивно понятные имена объектов, пригодна для использования в организациях любого размера и легко масштабируется. Доступ к ней возможен с помощью таких знакомых инструментов, как программа просмотра ресурсов Интернета. AD не только позволяет выполнять различные административные задачи, но и является поставщиком различных услуг в системе. На приведенном ниже рисунке 2.5 схематично изображены основные функции службы каталогов.

В Active Directory концепция  пространства имен Интернета объединена с системными службами каталогов, что  дает возможность единым образом управлять различными пространствами имен в гетерогенных средах корпоративных сетей. В качестве основного в AD используется легкий протокол доступа к каталогу LDAP (lightweight directory access protocol), позволяющий действовать за рамками операционной системы, объединяя различные пространства имен. Active Directory может включать в себя каталоги других приложений или сетевых операционных систем, а также управлять ими, что значительно снижает нагрузку на администраторов и накладные расходы/21/.

Рисунок 2.5 –  Основные функции службы каталогов

Модель безопасности

Active Directory является частью  достоверной вычислительной базы  и полностью участвует в инфраструктуре безопасности Windows Server 2003 и Windows 2000. Распределенная мысль безопасности основывается на протоколе аутентификации MIT Kerberos версии 5. Аутентификация Kerberos основывается на использовании шифрования с открытым и личным ключами, используя ту же модель поддержки списка управления доступом (ACL), что и базовая операционная система Windows 2000. Списки ACL защищают все объекты в Active Directory. Они определяют, кто может видеть объект, какие атрибуты может видеть каждый пользователь и какие действия может выполнять с объектом каждый пользователь. Список ACL, в свою очередь, состоит из записей управления доступом (АСЕ), хранящихся вместе с объектом, защищаемым ACL и Windows NT, Windows 2000 и Windows Server 2003. ACL хранится как двоичное значение, которое называется дескриптором безопасности. Каждая запись АСЕ содержит идентификатор безопасности (SID – security identifier), идентифицирующий субъект доступа (пользователя или группу), к которому применяется эта АСЕ, и содержащий информацию о типе доступа, который разрешает или запрещает эта АСЕ.

Списки ACL в объектах каталога содержат записи АСЕ, которые применяются к объекту в целом, и записи АСЕ, которые применяются к отдельным атрибутам объекта. Это позволяет администратору не только указывать пользователей, которые могут видеть объект, но также указывать свойства, которые могут видеть эти пользователи. Например, всем пользователям может быть предоставлен доступ почтению к атрибутам, представляющим адреса электронной почты и номера телефонов остальных пользователей, но доступ к свойствам безопасности может быть предоставлен только членам специальной группы администраторов безопасности. Кроме того, отдельным пользователям может быть предоставлен доступ по записи в их собственных пользовательских объектах к личным атрибутам, таким как номер телефона и почтовые адреса.

Active Directory – хранилище  для системы безопасности, включая  учетные записи пользователей,  группы и доменов. Это хранилище  заменяет базу данных для учетных  записей в реестре и является  доверяемым компонентом в LSA.

Делегирование является одним  из наиболее важных средств безопасности в Active Directory. Администратор может предоставить пользователю право на выполнение указанного набора действий в некотором указанном поддереве каталога. Это называется делегированным администрированием. Делегированное администрирование позволяет очень точно определять, кто и что может делать, без предоставления излишних привилегий. Это также позволяет обойтись без администраторов доменов с обширными полномочиями по отношению к большим группам пользователей.

Администраторы предоставляют права на выполнение определенных операций над определенными классами объектов, добавляя записи управления доступом (АСЕ) в список ACL соответствующего контейнера.

Например, чтобы разрешить  пользователю «А. Кузнецов» быть администратором организационной единицы «Бухгалтерия», можно добавить элементы ACE в список ACL для «Бухгалтерии» следующим образом:

«А. Кузнецов»;Grant ;Create, Modify, Delete;Object-Class User

«А. Кузнецов»;Grant ;Create, Modify, Delete;Object-Class Group

«А. Кузнецов»;Grant ;Write;Object-Class User; Attribute Password

После этого  пользователь А. Кузнецов может создавать  новых пользователей и группы в контейнере «Бухгалтерия» и устанавливать пароли для существующих пользователей, но он не может создавать никакие объекты других классов и не может ничего сделать с пользователями в других контейнерах (если, конечно, элементы ACE не предоставляют ему таких прав доступа к этим контейнерам).

Наследование позволяет распространять действие элемента ACE с контейнера, к которому он относится, на все дочерние контейнеры. Наследование может сочетаться с делегированием для предоставления прав администрирования на целое поддерево каталога одной операцией/3/.

Антивирусная  системы защиты на ПЭВМ

Вирусы могут  проникать в машину различными путями (через глобальную сеть, через зараженную дискету или флешку). Последствия их проникновения весьма неприятны: от разрушения файла до нарушения работоспособности всей ПЭВМ. Достаточно всего лишь одного зараженного файла, чтобы заразить всю имеющуюся на компьютере информацию, а далее заразить всю корпоративную сеть.

При организации  системы антивирусной защиты на предприятии  учитывались следующие факторы риска.

Ограниченные возможности антивирусных программ.

Возможность  создания новых вирусов с ориентацией на противодействие конкретным антивирусным пакетам и механизмам защиты,  использование уязвимостей системного и прикладного ПО приводят к тому, что даже тотальное применение антивирусных средств с актуальными антивирусными базами не дает гарантированной защиты от угрозы вирусного заражения, поскольку возможно появление вируса, процедуры защиты от которого еще не добавлены в новейшие антивирусные базы.

Высокая интенсивность обнаружения критичных уязвимостей в системном ПО.

Наличие новых  неустраненных критичных уязвимостей в системном ПО, создает каналы массового распространения новых вирусов по локальным и глобальным сетям. Включение в состав вирусов «троянских» модулей, обеспечивающих возможность удаленного управления компьютером с максимальными привилегиями, создает не только риски массового отказа в обслуживании, но и риски прямых хищений путем несанкционированного доступа в автоматизированные банковские системы.

Необходимость предварительного тестирования обновлений системного и антивирусного ПО.

Установка обновлений без предварительного тестирования создает риски несовместимости системного, прикладного и антивирусного ПО и может приводить к нарушениям в работе. В то же время тестирование приводит к дополнительным задержкам в установке обновлений и соответственно увеличивает риски вирусного заражения.

Разнообразие и многоплатформенность используемых в автоматизированных системах технических средств и программного обеспечения.

Возможность работы отдельных типов вирусов на различных  платформах, способность вирусов к размножению с использованием корпоративных почтовых систем или вычислительных сетей, отсутствие антивирусных продуктов для некоторых конкретных платформ делают в ряде случаев невозможным или неэффективным применение  антивирусного ПО.

Широкая доступность современных мобильных средств связи, устройств хранения и носителей  информации большой емкости.

Современные мобильные  средства связи позволяют недобросовестным сотрудникам произвести несанкционированное подключение автоматизированного рабочего места к сети Интернет, создав тем самым брешь в периметре безопасности корпоративной сети и подвергнув ее информационные ресурсы риску массового  заражения новым компьютерным вирусом. Наличие доступных компактных устройств хранения и переноса больших объемов информации создает условия для несанкционированного использования таких устройств и носителей в личных, не производственных целях. Несанкционированное копирование на компьютеры предприятия информации, полученной из непроверенных источников,  существенно увеличивает риски вирусного заражения.