Защита на корпоративни информационни системи

Концепция за сигурност на информационни системи пише  postvai.com

Сигурността на всяка IT система е в пряка зависимост от нивата на функционалност и леснота на употреба. Основната концепция за сигурност на информационните системи се базира на компромисния триъгълник получен от тези три компонента: сигурност, функционалност и използваемост на системата.
При всяка IT система се получава различен триъгълник, според постигнатия компромис на нейните проектанти и потребители. Ако ние сме точката в средата на изображението и започнем да я местим по–близо до върха на сигурността, ще забележим, че системата става все по-малко употребяема и функционална, за да се стигне до степен в която потребителите не искат да я употребяват. Затова трябва да се постигне максимална степен на компромис при която средствата хвърлени за защита да бъдат по-малки от евентуалните загуби.

Нива на изграждане на информационните системи

Поради тази причина системите за информационна сигурност се изграждат на 4 нива, като съвкупност от законодателни, административни, процедурно-организационни, програмно-технологични и криптографски мерки и средства за защита.

1. Законодателните мерки се изразяват в нормативните актове и стандарти. Това са Закона за защита на класифицираната информация, Оранжевата книга, ISO 27001 за създаване на система информационна сигурност, ISO/IEC 15408 с критерии за оценка на информационните технологии и др.
2. Административните мерки обхващат всички заповеди и функционални задължения на длъжностните лица по веригата. Разработват политики и програми за информационна сигурност, правят анализ на риска и жизнения цикъл на Информационните системи.
3. Организационно – процедурните мерки се изразяват в управление на персонала, физическа сигурност на сървърите, мрежовите процесори, ключове и шифроващи устройства съхранявани в защитени помещения с контролиран достъп. Изграждане на система за реагиране на нарушения и възстановяване.
4. Програмно-техническите и криптографски мерки осигуряват зашитата на автоматизираните работни станции АРС, елементи на локалните мрежи, сървъри и комуникации. Според ЗЗКИ сигурността е персонална, документална, физическа, криптографска, сигурност на мрежи, хардуер и софтуер. Съотетно обект на защита са работните помещения, АРС, сървърите, програмното и информационно осигуряване, комуникационните и критографски средства.

Защитата на корпоративните информационни системи е една от най-важните задачи в организацията. Днес е налице лавинообразно нарастване на компютърните престъпления, всяка година те са два пъти повече от предишната! Постоянното развитие на компютърните мрежи създава още повече предпоставки за заплахи.

Има няколко основни решения за защита като:  своевременно откриване на заплахите;  криптографски решения за сигурност и комплексни решения за защита. В корпоративните информационни системи се използват комплексния подход, защото е комбинация на всички останали и основно се работи по защита на каналите за пренос, аутентификация и идентификация, защита на отделните възли и цялата система.

Архитектура на корпоративни информационни системи

Има няколко композиции за построяване на системи за информационна сигурност, като най-ефикасна е комплексната система, която включва не просто защита на устройства, а и защита от грешки на легални и злонамерени потребители. Най-често това технически се решава със защитна стена поставена в точката на свързване с глобалната мрежа.

Изхождайки от голямото многообразие на средствата за защита на информацията в корпоративната мрежа можем да класифицираме тези средства по няколко основни признака:

Средствата за защита според  функционалното предназначение могат да бъдат:

1. Средства за защита от несанкциониран достъп – защитават компонентите на корпоративната система за сигурност и осигуряват защита на следните нива от стека TCP/IP:

• На ниво достъп до мрежата (MAC адрес);
• На мрежово ниво (IP адрес);
• На транспортно ниво (протоколи – tcp и udp.)
• На приложно ниво (proxy системи);

От своя страна средствата за защита от несанкциониран достъп се делят на локални (индивидуални) и комплексни за защита на мрежите.

2. Средства за многослойна защита –например за защита на трафика, предаван по открити линии, според протокола могат да бъдат:

• За защита на физическо ниво – защита на кабелите, комуникационни стаи, екранизация на кабелите;
• На мрежово ниво – шифриране на трафика от компютър до компютър използвайки например IPSec;
• На транспортно ниво – шифриране на данните от приложение до приложение използвайки например Secure Socket Layer (SSL);
• На приложно ниво – използване на програми за локална защита и криптиране;

3. Средства за осигуряване на регламентиран достъп на множество потребители до множество приложения:

• Аутентификация – точно идентифициране на включващите се към автоматизирана система потребители или процеси;
• Авторизация – невъзможност за отказ от авторство;

4. Средства за удостоверяване на самоличността – например с използване на Public Key Infrastructure (PKI).
5. Средства за управление на сигурността на корпоративната система с помощта на специални средства, които могат да се интегрират с общите средства за управление на системата ;
6. Средства за откриване на опити за неправомерен достъп т.е. Intrusion Detection System (IDS);
7. Използване на аудитна система – например използването на Unix базирана операционна система позволява записване на всички събития и периодичен анализ на тези събития;
8. Средства за отбранително сканиране – извършва се от системния администратор за тестване на политиката за сигурност на една машина или върху корпоративната мрежа. По този начин се намират слабости в политиката за сигурност.

Вижте една типова схема на корпоративна мрежа.

 

Според изпълнението могат да бъдат хардуерни и софтуерни средства, а техническите  решенията, както следва:

1. Защита на мрежата отвън, а също и за контрол на достъпа с използването на FireWall. Възможни решения са CheckPoint (CheckPoint FireWall-1, New Generation (NG) FireWall), Cisco System (Cisco PIX), Symantec (Enterprise FireWall) и др.
2. Защита на електронната поща, аудио и видео и друга информация, предавана по открити канали чрез използване на VPN;
3. Защита на информацията от вируси вътре в самата организация. Използване на корпоративни антивирусни системи. Такива решения имат TrendMicro, Symantec (Norton AntiVirus Corporativ Edition);
4. Защита от вируси, доставяни през SMTP, HTTP, FTP. Такoва решение има TrendMicro (TrendMicro Antiviruswall). Най-често срещаните начина за инсталиране на TrendMicro Antiviruswall са:
5. Standard Edition – инсталира се на отделна машина, като например SMTP трафика изкуствено се прекарва през нея. По този начин се извършва сканирането на електронната поща.
6. CVP Edition – използва са CVP (Content Vector Protocol), като при тази инсталация управлението става през FireWall-a. CVP Edition има пълна интеграция с CheckPoint FireWall.
7. Разделяне на достъпа и защита от несанкциониран достъп до информационните ресурси на сървърите за бази от данни, WWW, FTP, POP3/SMTP. Защита от SPAM на пощенските сървъри;
8. Използване на активна директория на Windows. Използва се като превантивна мярка за защита от вътрешните потребители, като се ограничат правата им. Тя има предимство и при организиране на автоматичното обновяване за fixes и patches чрез използване на WSUS Server на Microsoft.
9. Осигуряване на централно управление на информационната сигурност в корпоративната мрежа в хетерогенна компютърна среда използвайки продукти от типа на IBM Tivoli, HP OpenView.
10. Използване на IDS (Intrusion Detection System) за откриване на атаки в мрежата. Такива решения имат ISS (Real Secure), Symantec (NetRecon).
11. Използване на системи за управление на риска. Имат за цел да анализират политиката за сигурност, търсене на слаби места в мрежата, притежават функции за прогнозиране на сигурността в мрежата. Такива продукти са SecureWay на IBM Tivoli и eTrust на Computer Associates.
12. Използване на нестандартни методи за защита. Те служат за защита от несанкциониран достъп, осъществяван от вътрешни потребители. Към тези методи могат да спадат, поставяне на Proxy с ограничаване на потребителите за достъп до определени сървъри, защитни стени – имат за цел да осъществяват допълнителна защита в двете посоки (навън и навътре) и др.
13. Изграждане на одитна система на базата на Unix или използвайки активната директория на Windows;

В крайна сметка голямото разнообразие от средства за информационна сигурност показва, че осигуряването на сигурност на корпоративните системи в Интернет на основата на отделни компоненти от различни производители е доста сложно занимание. Основно то зависи от размера и типа на системата или мрежата, информацията, която се защитава и какво ниво на сигурност желаем.

Риска от пробив над дадена система може да се обобщи със следната формула:

Риск = Заплаха х Уязвимост х Въздействие
Където, заплаха, уязвимост и въздействие над дадената информационна система са понятия определени в Теорията на сигурността.