Защита в сети

Предназначение межсетевого экрана

Межсетевой либо сетевой экран представляет собой комплекс оборудования и программных средств, которым контролируются и фильтруются проходящие сетевые пакеты, учитывая предварительно установленные критерии. Этот защитный экран, называемый брандмауэром или фаерволом, защищает от атаки хакеров локальные корпоративные сети, предотвращает несанкционированный внешний доступ, попытки взломать хранилища данных и совершить кражу информации. Корпоративные пользователи, благодаря брандмауэру, получают безопасный доступ к мировой паутине, контролируемое удаленное подключение внешних устройств к локальной IT-инфраструктуре.

Firewall выполняет две основные задачи:

— защита корпоративной коммуникационной системы (компьютера) от внешнего проникновения;

— предотвращение несанкционированной исходящей передачи данных.

Компании, выбирая для собственных бизнес-задач определенный межсетевой экран, обязаны руководствоваться законодательством, обеспечивающим стандарты обращения с персональными данными (закон «О персональных данных»). В ряде случаев, а именно при работе с информацией ограниченного доступа, обязательным является применение брандмауэра, утвержденного ФСТЭК.

Traffic Inspector – ключевой элемент защиты

Разработка российской «Смарт-Софт» в области сетевой безопасности давно уже признана эффективным инструментом контроля активности в сети. Благодаря своей гибкости, простоте администрирования, модульной конструкции, Traffic Inspector активно применяется для создания действенной системы безопасности, предохраняющей коммуникационные сети.

Блокируя попытки подключиться к корпоративной сети извне, фаервол пропускает запросы исходящего характера. При работе с входящими соединениями, Traffic Inspector автоматически не препятствует запросам, не нарушающим установленные конфигурации безопасности, созданные почтовым шлюзом либо прокси-сервером. Фильтрация поступающих запросов на соединение осуществляется с учетом оценки опасности по различным параметрам, а именно:

— сетям и IP-адресам;

— используемым портам и протоколам.

Среди основных преимуществ Traffic Inspector эксперты выделяют:

— защита сети от вирусных угроз, что позволяет обезопасить бизнес в Интернете;

— благодаря возможности осуществлять фильтрацию контента, блокировку сайтов, создавая собственный ограничительный список, повышается производительность труда сотрудников, что сказывается на эффективности и доходности бизнеса;

— возможность работать с маршрутизаторами Cisco , используя интегрированные сервисы, что позволяет добиться интеллектуальной маршрутизации и оптимального распределения нагрузки;

— простоту администрирования и настройки.

Реализованные проекты данным решением

рассчитать проект

Задача защиты от несанкционированного доступа информации становится актуальной для многих компаний. Сведения, которые могут заинтересовать третьих лиц, находятся в базах данных и медицинских учреждений, и производственных предприятий, и государственных структур. При этом охрана персональных данных – требование закона, остальные массивы информации охраняются исходя из внутренних политик предприятия, направленных на создание удобной и эффективной системы защиты.

Понятие ЛВС

Под локальной вычислительной сетью понимается небольшая по размерам компьютерная сеть, которая служит интересам ограниченного количества пользователей, покрывая одно или несколько зданий, например, офисы или помещения институтов.

ЛВС классифицируются по способу администрирования:

  • локальные;
  • распределенные;
  • городские.

В ЛВС компьютеры объединяются при помощи медных или оптоволоконных кабелей или по спутниковой связи. Объединение ПК в сеть дает возможность:

  • передавать информацию без съемных носителей;
  • совместно работать в программе, установленной на одном компьютере, нескольким пользователям;
  • совместно пользоваться устройствами, например, принтером;
  • применять одно решение для защиты конфиденциальной информации на нескольких рабочих станциях.

С другими сетями ЛВС соединяется через шлюзы. Она может подключаться к Интернету или быть автономной, во втором случае решить задачу обеспечения безопасности данных проще.

Виды угроз

При решении задачи защиты информации в локальной сети на первом этапе необходимо составить релевантную модель угроз, чтобы оценить степень рисков, которым подвержены данные.

При составлении модели угроз предполагается, что несанкционированный доступ бывает двух видов:

1. Косвенный, осуществляемый без прямого физического доступа к данным;

2. Прямой, с физическим доступом к сети.

Перечень способов нелегитимного получения сведений широк. Угрозу для системы создают даже те, что используются редко.

Основные способы организации несанкционированного доступа к информации в ЛВС:

  • фотографирование экрана;
  • считывание электромагнитных волн мониторов (перехват ван Эйка);
  • запрещенное копирование, становящееся в последние годы основной угрозой для безопасности информации;
  • хищение носителей данных;
  • проникновение в компьютеры других пользователей для получения информации ограниченного доступа, иногда с использованием чужих средств идентификации (логинов, паролей, смарт-карт);
  • применение программных ловушек;
  • получение данных с помощью серии разрешенных запросов;
  • использование недостатков программ и операционных систем для получения сведений;
  • применение вредоносных программ;
  • нелегитимное подключение к сети.

С каждым из этих способов хищения данных можно бороться. По статистике, до 80% случаев НСД к данным связаны с действиями внутренних пользователей. Внешние атаки на корпоративные сети происходят реже, особенно если в целях защиты информации ЛВС не подключена к Интернету.

Получение несанкционированного доступа к информации может привести к серьезным инцидентам:

  • разглашение, распространение данных. Этому риску в особенности подвержены документы, имеющие характер коммерческой тайны, и интеллектуальные активы. Их попадание к третьим лицам, конкурентам может причинить компании финансовый ущерб. Разглашение сведений, относящихся к персональным данным, влечет за собой ответственность по нормам действующего законодательства;
  • намеренное искажение, подмена достоверной информации ложной;
  • уничтожение по умыслу третьих лиц или из-за поломки оборудования, носителей информации либо в результате непреднамеренного заражения рабочей станции при помощи компьютерных вирусов.

Сложно рассчитать, какой именно ущерб может принести компаниям недостаточная забота о защите информации. Появление на рынке инсайдерской информации может повлиять на курс акций компании, снизить ее капитализацию. Так, утечка в 2018 году 87 млн учетных записей пользователей Facebook существенно снизила стоимость компании. Заражение сетей компании A.P. Moller-Maersk вирусом-шифровальщиком привело к убыткам в 300 млн долларов и необходимости в течение десяти дней контролировать разгрузку и погрузку сотен морских судов без использования ПО.

На вопросах безопасности не стоит экономить. По мнению экспертов «Лаборатории Касперского», средний бюджет на защиту данных в информационных сетях для российской компании в 2018 году составил 1,1 млн долларов. В ближайшие годы, благодаря развитию кибертехнологий, ИБ-бюджет увеличится на 18 %.

Меры безопасности

Использование различных средств защиты информации нужно учитывать на этапе разработки архитектуры сети.

Защитные методы делятся на четыре группы:

  1. организационные;
  2. технические или аппаратные;
  3. программные;
  4. аппаратно-программные.

Все названные средства призваны создать сложности для несанкционированного доступа в ЛВС.

Основные барьеры для злоумышленников:

  • физическое препятствие, исключающее возможность соприкосновения третьего лица с элементами сети;
  • система контроля и управления доступом, регламентирующая уровни прав пользователей;
  • использование криптографических средств защиты информации (шифрование данных);
  • регламентация действий персонала;
  • принятие мер дисциплинарного, гражданско-правового и даже уголовно-правового воздействия в целях защиты конфиденциальной информации.

Средства контроля и управления доступом в целях защиты информации включают:

  • механизмы идентификации пользователей и элементов системы, основанные на текстовых (логин, пароль) или технических (смарт-карта, токен) принципах;
  • раздачу полномочий на доступ в зависимости от служебного ранга пользователя;
  • регламентирование разрешенных работ в сети для каждой категории пользователей;
  • фиксацию действий пользователей;
  • определенные реакций (отключение системы, сигнализация) при выявлении попыток НСД.

Организационные

К организационным методам традиционно относят внутренние нормативные акты, регламентирующие порядок работы с информацией. Это положения о коммерческой тайне, о порядке работы с информационными ресурсами, о порядке доступа к документам. Но только положениями и другими нормативными актами организационные меры не ограничиваются, они могут носить и характер действий.

К организационным средствам защиты информации относят:

  • ограничение доступа в рабочие помещения, введение системы пропусков;
  • разграничение прав пользователей в работе с массивами информации;
  • выделение для обработки ценной информации специальных автоматических рабочих станций (АРМ) без подключения к Интернету;
  • особый порядок учета и хранения съемных носителей информации;
  • размещение АРМ таким образом, чтобы экран компьютера и клавиатура не оказывались в зоне видимости других сотрудников и посторонних;
  • контроль за выводом информации на принтер, создание защищенных зон для печати;
  • контроль за распечатанными экземплярами документов, содержащими критичную информацию;
  • в случае поломки оборудования – уничтожение данных на жестких дисках перед его отправкой в ремонт;
  • установление запорных устройств на корпусе компьютера.

Для регламентирования действий пользователей целесообразно:

  • ввести на предприятии режим коммерческой тайны, составив исчерпывающий перечень конфиденциальных данных;
  • включить в трудовые договоры условие об ответственности за разглашение коммерческой тайны или персональных данных;
  • проводить тренинги, посвященные способам защиты информации.

При выявлении случаев небрежного отношения к информации, содержащейся в локальных вычислительных сетях, нужно публично привлекать виновных к ответственности. Это предотвратит новые случаи раскрытия ценных сведений. Политика безопасности каждой корпорации должна своевременно доводиться до сведения каждого сотрудника, систематически обновляться и действовать в ежедневном режиме. Контроль за этим должен быть возложен на службы персонала и безопасности.

Технические

Технические средства защиты информации, несмотря на высокую стоимость, очень популярны, поскольку позволяют защитить данные наиболее надежно. Они устойчивы к внешнему воздействию, защищены от вмешательства в конструкцию, гарантируют ограничение несанкционированного доступа в полном объеме.

Технические средства делятся на две группы:

1. Аппаратные, они встраиваются в компьютеры или совместимы с ними через определенный интерфейс (канал передачи данных – USB, Wi-Fi);

2. Физические, представляющие собой оборудование или архитектуру помещений, которые защищают ЛВС и их элементы от несанкционированного доступа.

Помимо названных, широко используются такие варианты решения задач, как генераторы акустических помех, призванные предотвратить подслушивание, использование мягких подкладок под оборудование, что также снижает риски утечки информации по акустическому каналу. Использование сетевых фильтров или стабилизаторов напряжения, которые продлевают жизнь оборудованию, что косвенно отражается на сохранности данных.

Программные

По мере совершенствования вредоносных программ совершенствуются и методы борьбы с ним. Сегодня вредоносное ПО может длительное время скрываться в сетях и не обнаруживаться антивирусами. Такие программы стали дешевле на черном рынке, они доступны даже для небольших хакерских группировок, а количество возможных каналов заражения существенно выросло.

Кроме внешних информационных угроз, существуют и внутренние, связанные с человеческим фактором. Защитное ПО действует и против них.
В зависимости от решаемых задач программные методы защиты данных делятся на следующие типы:

  • межсетевые экраны, ставящие барьер для трафика в узлах вычислительной сети или в месте ее соединения с внешними сетями;
  • антивирусы, выявляющие вредоносные программы;
  • средства криптографической защиты информации, позволяющие шифровать данные как на дисках, так и в момент их передачи;
  • технологии электронной подписи, обеспечивающие подлинность документов;
  • средства обнаружения вторжения, сигнализирующие о попытках несанкционированного доступа в вычислительную сеть;
  • средства доверенной загрузки, контролирующие загружаемые пользователями в сеть файлы;
  • утилиты для контроля съемных носителей, позволяющие избежать несанкционированного копирования;
  • средства идентификации копий документов, позволяющие выявить, кто именно из пользователей распечатал секретную информацию;
  • СКУД;
  • решения для аудита данных в информационной системе.

Программные средства защиты информации в России проходят обязательную сертификацию в ФСБ и что свидетельствует об их надежности.
Программные средства обычно применяются в комплексе, с опорой на выработанную при разработке архитектуры системы модель угроз.

Для крупных и средних компаний одним из лучших средств защиты информации в локальной вычислительной сети являются DLP-системы. Это комплексное решение, позволяющее отслеживать данные внутри сети и на выходе из нее. Ядро DLP-системы составляет текстовый анализатор – фильтр для анализа передаваемой информации, который однозначно определяет категорию конфиденциальности документа. Чтобы текстовый анализатор начал работать, его наполняют сведениями, позволяющими выявлять файлы, содержащие конфиденциальную информацию. Если определенное действие в системе не разрешено для конкретного пользователя, оно будет заблокировано. Информация о событии также будет передана в подразделение информационной безопасности в целях принятия мер реагирования.

DLP-системы также сертифицируются, кроме прочего, в них определяют в том числе на степень содержания незадекларированных возможностей. Такая проверка сертификация показывает, насколько безопасно программное решение, не содержится ли в нем скрытых функций, например, кейлоггера или опции кражи паролей.

Аппаратно-программные средства

Отдельную группу методов защиты данных в ЛВС составляют аппаратно-программные средства, включающие в себя техническую часть и программный код, позволяющий ею управлять. К таким средствам относят:

  • аппаратные средства контроля доступа (электронные замки, устройства идентификационных признаков (УВИ);
  • специализированные сети хранения (SAN – Storage Area Network). Они предназначены для консолидации дискового пространства на специально выделенных внешних дисковых хранилищах, что увеличивает производительность системы;
  • дисковые хранилища данных, например, RAID-массивы;
  • ленточные накопители, для резервного хранения данных, что, защищает их от утраты.

Выбор программно-аппаратного средства обеспечения информационной безопасности должен осуществляться осознанно. В отличие от программных средств защиты информации, его сложнее поменять на новое по мере развития кибертехнологий.

Общие вопросы защиты сетей

Одной из основных проблем при разработке системы безопасности информации в локальных распределенных сетях становится необходимость связать в одну систему множество компьютеров, серверов, сетей и узлов. Выбор правильной топологии позволяет минимизировать средства, выделенные на защиту данных.

Топология системы должна позволять тратить минимальные ресурсы на обработку критически важной информации. Под этим термином понимается информация, необходимая для общего управления сетью, а также информация с наивысшим уровнем секретности. Основной проблемой становится то, что при разработке систем безопасности редко используются средства криптографической защиты информации, так как они существенно замедляют скорость обработки данных. Скорость протекания бизнес-процессов оказывается важнее, чем надежная защита данных. Далеко не всегда, даже при выборе средств криптографической защиты, решение принимается в пользу инновационных технологий, а приобретение устаревших не гарантирует того, что они не будут расшифрованы при помощи более современных и методов.

Еще одной сложной задачей при разработке систем безопасности для распределенных сетей становится недостаточная подготовка не только рядовых пользователей, но и системных администраторов к работе с современными способами шифрования, архивирования, иными методами защиты информации.

Архитектура сетей часто представляет собой множество разнородных элементов, добавленных по первой необходимости. Это не дает возможности создать целостную систему защиты информации.

Обеспечение безопасности информации также требует выделения дополнительных ресурсов на подготовку и обучение персонала.

Доступ к информации не может быть предоставлен в равной мере каждому пользователю, это является аксиомой защиты данных в распределенных сетях. Защита от несанкционированного доступа направлена на то, чтобы обезопасить массивы информации не только от намеренного раскрытия, но и от случайного уничтожения. Соединение аппаратных, программных, организационных мер защиты должно решать задачу сохранности данных в полном объеме.