Совершенствование системы защиты информации корпоративной сети IT компании

В данной работе рассматривается задача по совершенствованию си-
стемы защиты корпоративной СПД от удалённых атак. Решение данной
задачи базируется на анализе существующих средств защиты информации
на основе криптомаршрутизаторов, анализе инфраструктуры компании.
Предложено решение по формированию программно-аппаратной состав-
ляющей комплексной системы защиты КСПД от внешних и внутренних
угроз.

Защита на отлично, год 2015. ...

Список использованных сокращений ...................................... 5
Введение................................................................ 6
1. Аналитическая часть................................................... 8
1.1 Анализ проблемы обеспечения информационной безопасности сетей
передачи данных ........................................................ 8
1.2 Возможности существующих систем по защите информации ............... 8
1.2.1 Анализ комплекса "Континент-К", и его возможностей по защите
информации ............................................................ 9
1.2.2 Анализ комплекса КРИПТОН-IP, и его возможностей по защите
информации .................................................................. 11
1.2.3 Анализ комплекса "ШИП", и его возможностей по защите
информации ............................................................... 13
1.2.4 Анализ технологии “ViPNet”, и её возможностей по защите информации ... 15
1.2.5 Анализ технологии “Дионис”, и её возможностей по защите
информации ............................................................... 20
1.3 Выводы ........................................................... 28
2. Проектная часть ........................................................... 30
2.1 Назначение и основные требования предъявляемые к разрабатываемой
ЛВС .......................................................................... 30
2.2 Концептуальная модель защиты информации в IT компании .............. 33
2.3 Предложения по организации системы защиты сети IT компании ...... 35
3. Экономическая часть .................................................... 39
3.1 Оценка временных задержек и загруженности разрабатываемой сети 39
3.2 Выводы ................................................................ 53
Заключение ............................................................... 55
Список использованных источников ........................................ 57

В связи с существованием такой угрозы были созданы международ-
ные и национальные организации, комиссии и исследовательские группы
по вопросам безопасности (CERT, NCSA, NASIRC, ASSIST и др., в России
- ФСТЭК). Сформировался новый раздел в области информационных тех-
нологий - информационная безопасность. Появилось большое количество
публикаций и изданий различного характера, посвященных вопросам ин-
формационной безопасности. Появилось также множество производите-
лей, предлагающих те или иные программно-аппаратные решения для уси-
ления защиты от НСД. Между тем, всеми признанных общих стандартов,
технологий и подходов в данной области пока еще нет.
При построении территориально распределенных сетей передачи
данных применение открытых существующих каналов связи (например,
сеть Internet) бо лее выгодно, чем построение сетей с помощью выделенных
каналов связи. Но это требует использование средств защиты информации,
передаваемой по открытым каналам.

Важной характеристикой системы ДИОНИС является ориентация напредоставление комплексных услуг. Это означает, что в рамках одной тех-нологии с сохранением единства интерфейса, в одном сеансе сетевого до-ступа к центру ДИОНИС можно получить разнообразные информацион-ные услуги:––––электронная почта;компьютерные конференции;полнотекстовые базы данных;внутренние шлюзы для обеспечения режима "прозрачного" со-единения различных каналов;22––средства доступа и объединения локальных сетей;средства подключения локальных сетей к глобальным сетямпередачи данных;–внешние шлюзы для выхода в любые компьютерные сети, в те-лексные и телеграфные сети, а также для организации приема и отправкифакс сообщений;ступа;––средства защиты информации от несанкционированного до-средства сбора и обработки статистики.Благодаря возможности автоматического обмена информацией меж-ду любыми центрами (узлами), а также наличию разнообразных шлюзов,на базе технологии ДИОНИС могут строиться глобальные корпоративныесети коммуникационных услуг.Наличие в ДИОНИС функций межсетевого экрана позволяет исполь-зовать систему для построения защищенных ведомственных сетей, исполь-зующих открытые каналы связи для передачи конфиденциальной инфор-мации между подразделениями.В систему безопасности передачи датаграмм средствами ДИОНИС-технологии входят: IP-фильтрация, NAT-обработка, туннелирование.IP-фильтрация обеспечивает отсеивание нежелательных датаграмм.NAT-обработка выполняет подмену IP-адресов в заголовках датаграмм (неменяя ничего другого). При туннелировании датаграмма обрабатываетсяцеликом (заголовок и данные) и до-пускаются любые преобразования, втом числе, изменяющие длину исходной датаграммы.Полный алгоритм работы маршрутизатора ДИОНИС (с учетомфункций межсетевого экрана) представлен ниже.В ДИОНИС присутствует также полный набор функций защиты соб-ственно сервера, включая следующие компоненты.231.Система защиты от несанкционированного доступа к ресурсамДИОНИС. Указанная защита может быть обеспечена с использованиепрактически любых сертифицированных аппаратных средств защиты отНСД (Криптон-Вето фирмы "Анкад", АККОРД фирмы "Инфокрипт",Secret Net фирмы "Информзащита").2.Система динамического контроля целостности программного иинформационного обеспечения ДИОНИС.3.Средства блокировки доступа абонентов системы к операцион-ному ядру ДИОНИС, определяемые архитектурой построения системы.4.Система ведения журналов всех происходящих событий с воз-можностью включения функций "анализатора протоколов".5.Система удаленного управления и система оповещения дежур-ного оператора о возникновении аварийных ситуаций.Как и в случае открытых систем, сетевые экраны на базе технологииДИОНИС обеспечивают модульность построения объектов Заказчика сучетом используемых технологий передачи данных и интенсивности при-менения корпоративной сети.Из приведенных примеров, в частности, следует, что сетевые экранытехнологии ДИОНИС предоставляют не только средства защиты пересы-лаемых данных, но и все типовые сервисы (электронная почта, WWW-серверы, базы данных и др.) для обслуживания клиентов. В зависимости отконфигурации узла предоставляемые сервисы могут находиться как в от-крытой, так и защищенной зоне корпоративной сети. Естественным ре-зультатом таких возможностей технологии является снижение стоимостипроектов и, что не менее важно, единая основа для администрированиявсех компонентов корпоративной сети.Подсистема аутентификации включается в состав ДИОНИС в техслучаях, когда при установлении соединения необходимо наряду с пароль-ной защитой дополнительно проверить источник и/или приемник вызова.24Указанная проблема возникает при использовании Internet как среды пере-дачи данных в корпоративных сетях. Суть проблемы в том, что в силу ар-хитектуры Internet маршрутизация вызовов осуществляется внешними поотношению к корпоративной сети устройствами (DNS-серверами). Подме-на этих устройств злоумышленником (эта операция осуществляется на ло-гическом уровне) приводит к тому, что, вызвав "свой" ресурс, абонент мо-жет установить соединение с некоторым другим сервером. Аналогичнаяпроблема подмены существует и со стороны абонента, поскольку в случаепарольной защиты достаточно получить информацию об имени и пароле,чтобы начать работать под чужим именем, вообще говоря, с любого ком-пьютера, имеющего выход в Internet.В технологии ДИОНИС указанная проблема решается следующимобразом. На сервер и рабочее место клиента устанавливаются дополни-тельные аппаратные или программные средства, использование которыхдо установления соединения позволяет в результате обмена специальнымисообщениями однозначно идентифицировать компьютер клиента и компь-ютер сервера. Если процедура аутентификации проходит успешно (под-тверждение полномочий), то соединение устанавливается; в противномслучае - разрывается с выдачей соответствующего предупреждения адми-нистратору корпоративной сети.Простейшие корпоративные сети предоставляют своим абонентамвозможность обмена информацией только в режиме Электронной почты.Соответственно, естественной задачей является оснащение рабочих мест,участвующих в обмене информации, средствами электронной цифровойподписи и шифрования данных.Представленное решение реализуется средствами почтовых агентови транспортных модулей технологии ДИОНИС, обеспечивающих средстваэлектронной подписи и шифрования передаваемых данных. При этомпредполагается, что вся конфиденциальная информация будет передавать-25ся по сети только в зашифрованном виде и, как следствие, только со спе-циально оборудованных рабочих мест.Указанные средства защиты данных достаточны, если для организа-ции взаимодействия между офисами и отдельными абонентами использу-ются арендованные прямые выделенные каналы или телефонные коммути-руемые каналы, а так же если передача данных ведется через сети Х.25,Frame Relay или другие, не использующие технологий на базе протоколаTCP/IP. Последняя оговорка является весьма существенной, посколькуприменение Internet-технологий даже исключительно в почтовом режимеоткрывает в процессе сеанса связи возможность внешнего несанкциониро-ванного доступа к ресурсам собственно рабочего места абонента, а еслионо подключено к локальной сети, то и к сети в целом.Дополнительная защита почтовых сообщений в корпоративной сетиможет быть гарантирована, если наряду с абонентскими криптосредствамиприменяются собственные почтовые серверы (почтамты), находящиесяпод контролем администраторов "своей" сети. При работе с внешнимисерверами информация хранится на узлах, доступ к которым, во всякомслучае, контролируется оператором связи.В тех случаях, когда в локальной сети размещено несколько абонен-тов системы электронной почты, работающих с конфиденциальной ин-формацией, весьма эффективным является перенос функций шифрова-ния/расшифрования сообщений с рабочих мест абонентов на сервер элек-тронной почты. В этом случае при настройке почтамта администратор за-дает имена абонентов и/или направления отсылки сообщений, вся инфор-мация которых шифруется перед отправкой и расшифруется при приеме.Помимо экономической эффективности применение крипто-почтамта поз-воляет также существенно улучшить показатели администрирования си-стемой за счет передачи функций принятия решений о закрытии информа-ции от абонентов к администратору сети. Естественно, что при использо-26вании крипто-почтамта средства электронной подписи переносить от або-нентов на сервер вряд ли целесообразно.При использовании среды Internet для передачи собственно конфи-денциальной информации (ведомственные WWW-серверы, базы данных ит.п.), наряду с рассмотренными мерами необходимо обеспечивать защитуот перехвата информации в процессе ее передачи через сеть. Учитывая,что сетевые средства ограничения доступа в сети Internet отсутствуют (вотличие, например, от сетей Х.25, где указанные вопросы решаются на ос-нове закрытых групп абонентов), единственным средством защиты данныхявляется шифрование передаваемых по сети пакетов.В технологии ДИОНИС указанная проблема решается на основекриптомаршрутизатора с использованием технологии туннелирования.Использование этой технологии позволяет решить весь комплекс во-просов защиты корпоративной информации при ее передаче по открытымканалам связи.1.Наивысший уровень защиты информации в корпоративной се-ти обеспечивается при комплексном использовании перечисленных вышесредств.2.Абонентские места, участвующие в обработке конфиденциаль-ной информации, оснащаются средствами электронной цифровой подписии шифрования данных; последняя функция в зависимости от уровня требо-ваний к системе может быть реализована аппаратными или программнымисредствами.3.Доступ к корпоративной сети удаленных (в том числе, внеш-них) абонентов выполняется через специализированные серверы доступа,осуществляющие идентификацию абонентов и контроль их прав доступа.4.Обмен сообщениями (почтой) осуществляется через корпора-тивный почтамт, обеспечивающий контроль доступа и идентификациюабонентов, а также фильтрацию пересылаемых сообщений.275.Подключение локальных сетей к сети передачи данных осу-ществляется через сетевой экран, реализующий функции фильтрации итрансляции адресов.6.Обмен данными в переделах корпоративной сети осуществля-ется на основе технологии туннелирования, обеспечивающей шифрованиепотока данных, а в случаях, когда пропускная способность линий связи не-достаточна, компрессию данных перед их отправкой в канал.7.Система протоколирования осуществляет фиксацию всех дей-ствий абонентов и обеспечивает статистическую обработку создаваемыхархивов.В рамках технологии ДИОНИС все функции, перечисленные выше,реализуются единым сервером, что существенно упрощает администриро-вание комплексной системы защиты и, что также существенно, снижает еестоимость.С помощью транспортных модулей (ТМ) программное обеспечениеавтоматизированного рабочего места может соединиться с ресурсом (хо-стом ДИОНИС), передать подготовленную своими прикладными програм-мами информацию в адрес удаленных абонентов (систем) и принять с хо-ста ДИОНИС всю информацию, полученную в "адрес" своих прикладныхпрограмм.Рассмотренная технология предоставляет для пользователя болееширокий спектр сервисов. При этом обеспечивается защита всех данныхциркулирующих в системе и передаваемых между компонентами сети пооткрытым каналам связи. Как уже отмечалось выше данная технологияуспешно применяется в ряде систем, в том числе и в системах предъявля-ющих высокие требования по защите информации.1.3ВыводыПроведя анализ российского рынка средств для построения защи-щенных локальных сетей можно выделить комплекс “Континент-К”, обла-28дающий высокой пропуск-ной способностью, и технологию ДИОНИС, всостав которой включен большой комплекс дополнительных услуг.Для систем, использующих открытые каналы связи для передачисведений содержащих коммерческую тайну, необходимо использованиекомплекса “Криптон-IP”, сертифицированного ФСТЭК и ФСБ.292. ПРОЕКТНАЯ ЧАСТЬ2.1Назначение и основные требования предъявляемые к раз-рабатываемой ЛВСIT компания решает задачи по анализу, обработке, защите и хране-нию информации. Для решения этих задач в компании создано специаль-ное управление. Во главе него стоит начальник управления. В составуправления входят 5 отделов и оперативная группа. Каждый отдел и опе-ративную группу возглавляет начальник отдела и начальник оперативнойгруппы, соответственно. Каждый отдел имеет в подчинении разное коли-чество отделений. В каждом отделении, в свою очередь, работают сотруд-ники согласно штатного расписания.Организационная структура Управления представлена на рис.2.1.Управление1 отдел2 отдел1 отделение3 отдела3 отдел2 отделение3 отдела1 отделение4 отдела4 отдел2 отделение4 отделаБанкданных1 отделение5 отдела5 отдел2 отделение5 отделаОперативная группа1 отделение1 отдела2 отделение1 отдела3 отделение3 отдела4 отделение3 отдела1 отделение2 отдела2 отделение2 отдела1 мобильнаягруппа2 мобильнаягруппа3 мобильнаягруппа4 мобильнаягруппа5 мобильнаягруппаРис.2.1. Структура Управления.Согласно задачам, решаемым в данном управлении его подчинен-ные подразделения территориально находятся в различных местах:–управление (начальник, его заместители и секретариат), 1 и 2отделы находятся в одном здании города Москвы;30–––3 отдел – отдельное здание в городе Москва;4 и 5 отделы – отдельное здание в городе Санкт-Петербург;оперативная группа – начальник, его заместитель и дежурныйнаходятся в здании Управления, а входящие в его состав 5 мобильных от-делений находятся на территории города и поддерживают удаленную связьс оперативной группой.Так же для эффективного решения поставленных задач в сети дан-ного управления есть 2 сервера, выполняющих роль банков данных, и 2сервера, в роли файл-серверов. 1 банк данных и файл-сервер находится всекретариате управления, второй банк данных находится в здании в городеСанкт-Петербург, второй файл-сервер находится в 3 отделе.Поскольку необходимо увеличить эффективность работы данногоподразделения, сначала нужно рассмотреть какие директивные требованияпо эффективности предъявляются к подобным системам.Э = <Н, У, Ж, О>,где Н – надежность;У – устойчивость;Ж – живучесть;О - оперативность.Надежность – свойство технической системы сохранять на опреде-ленном промежутке времени значения установленных параметров, харак-теризующие способность выполнять возложенные на нее функции, в за-данных режимах и условиях использования и технического обслуживания.Надежность является комплексным свойством, которое, в зависимости отназначения и условий эксплуатации системы, может отражать безотказ-ность, долговечность, ремонтопригодность и сохраняемость в отдельностиили в сочетании этих свойств.Устойчивость технической системы – способность сложной систе-мы сохранять некоторое требуемое свойство процесса функционирования31в условиях действия возмущений. Это понятие обобщает ряд частных по-нятий. Частное понятие устойчивости системы формируется путем конкре-тизации свойства процесса функционирования сложной системы, котороепо условиям задачи необходимо сохранять, и задания класса допустимыхвозмущений, вызываемых внутренними и внешними факторами.Живучесть – свойство технических систем сохранять и восстанав-ливать способность выполнять функциональные задачи в условиях всехвидов воздействия и возмущений внешней среды.Оперативность – свойство системы быстро, своевременно и без ис-кажений передавать информацию.Отсюда видно, что компания, не имея системы передачи данных, несможет удовлетворять всем этим требованиям, поскольку не сможет вполной мере обеспечивать надежность и защиту обрабатываемой инфор-мации, не имея базы данных. Устойчивость и оперативность передачи ин-формации так же не будут достигнуты без современных каналов связи исистем передачи данных.Рассмотрев структуру управления и нахождение его подразделений,необходимо решить вопрос о каналах связи которые будут применятся длясвязи между различными подразделениями и их уязвимости для атак, и не-обходимых методах и средствах защиты информации.Для дальнейшего построения сети передачи данных необходимоопределится с технологией локальных сетей, на основе которых будутстроится локальные сети внутри каждого отдельного здания. Рассмотревнаиболее популярные технологии – для разрабатываемой сети примем ос-новной технологию Fast Ethernet. Эта технология обеспечивает необходи-мую пропускную способность (100 Мбит/с) и поддерживает оптимальные,для разрабатываемой сети, топологии построения сети (шина/звезда).Для связи будем применять:32–на этаже – кабель на основе витой пары категории 5 или 6 сэкранированием;––между этажами одного здания – оптоволоконный кабель;между зданиями в одном городе – связь с помощью модемовпо телефонному кабелю;–между зданиями в разных городах – связь по открытой сетиInternet через модем;–с мобильными группами – соединение с помощью спутниковойсвязи.Будем считать что сеть внутри отдельно взятого здания защищенадостаточно хорошо и не требует дополнительной защиты. Поэтому опас-ность для всей сети передачи данных Управления прежде всего представ-ляют каналы передачи данных между зданиями, городами и связь с мо-бильными группами.2.2Концептуальная модель защиты информации в IT компа-нииИсходя из особенностей построения сети и решаемых ею задач,можно определить возможные угрозы сетевым ресурсам. В обобщенномвиде это:телей;–––––несанкционированный доступ к ресурсам, съем информации;отсутствие контроля прав предоставляемых пользователям;отсутствие защиты протоколирования подключений пользова-возможность блокирования работы сервера;возможность утечки конфиденциальной информации через ка-налы сетевого взаимодействия;–отсутствие проверки паролей на устойчивость к подбору.Модель нарушителя:33–возможность физического подключения к элементам сети, втом числе к линиям и узлам коммутации распределенной транспортнойсреды, в том числе и перехват виртуального канала;–ных лиц;–возможность входа в систему во время отсутствия должност-возможность доступа к информационным ресурсам лиц из чис-ла организации, не обладающих соответственными правами;–возможность проникновения в сеть из внешней среды.Предполагается, что организационные мероприятия и техническиемеры по защите помещений, персонала и организации доступа к оборудо-ванию реализованы в полном (требуемом) объеме.Однако в любом случае остаются актуальными каналы проникнове-ния в сеть извне - через внешнюю сеть; изнутри - со стороны своих со-трудников-злоумышленников, в результате сбоев работы программногообеспечения и реализации программных закладок; из среды корпоративно-го транспорта - путем перехвата трактов передачи.Поэтому, для построения системы защиты сети необходимо решитьследующие задачи.1. Ограничение возможностей проникновения в сеть злоумыш-ленных воздействий из внешней среды.2. Защита всего служебного трафика данных в сетевых сегментах,независимо от степени их конфиденциальности, так как открытый IР-трафик открывает возможности проникновения в ресурсы пользователей.3. Защита мультимедийного трафика во всех средах его передачи.4. Защита каналов сетевого транспорта.Каждый распределенный объект сети защищается использованиемабонентского шифрования всего исходящего трафика. Вероятные сетевыеугрозы в полном объеме могут быть реализуемы в сегментах сети, так какимеется выход во внешние сети, и сегменты сети являются IP-сетями.34На входе в каждую удаленную сеть - защищенный сегмент стоиткриптомаршрутизатор, который позволяет скрыть структуру защищеннойсети, обеспечивая тем самым полную прозрачность для конечных пользо-вателей, защищает закрытую сеть от атак из внешней среды, а так же обес-печивает невозможность прослушивания трафика в сети.Маршрутизаторы, в данном случае, соединяют друг с другом подсе-ти и обеспечивают их связность, т.е. обеспечивают передачу данных меж-ду ними. Функции маршрутизаторов могут выполнять как специализиро-ванные устройства, так и универсальные компьютеры с соответствующимпрограммным обеспечением. Маршрутизаторы являются высокоэффек-тивным средством для соединения разных элементов сети в случае сетевойструктуры произвольной сложности. В отличие от мостов, маршрутизато-ры работают с логическими идентификаторами каждого сегмента сети. Всвязи с этим межсетевое взаимодействие, основанное на маршрутизаторах,позволяет объединить множество различных подсетей.2.3Предложения по организации системы защиты сети ITкомпанииОсновную часть защиты, предлагается реализовывать криптографи-ческими механизмами, а именно шифрованием данных и передача их поканалу в зашифрованном виде. Только в этом случае можно говорить о со-хранении конфиденциальности и целостности информации. Так же долж-ны быть рассмотрены механизмы аутентификации пользователей с цельюпредотвращения перехвата сеансов связи. Для того чтобы злоумышленник,который к примеру, обойдя все средства защиты, проник в нашу сеть иполучил доступ к информации, передаваемой внутри сети не смог в итогеполучить никакой открытой информации, все данные в локальной сетидолжны шифроваться.