Информация ценилась во все времена. Чтобы владеть ею происходили убийства, войны. В наши дни она имеет не меньшую ценность. Эта ценность может определяться не только количеством труда потраченного на ее создание, но и количеством прибыли, полученной от ее возможной реализации. Поэтому очень популярен промышленный шпионаж между родственными предприятиями не считая военного шпионажа. Развитие вычислительных сетей, в ряде случаев, способствует хищению информации. Существует огромное количество фактов подтверждающих это. Человеческий фактор играет не меньшую роль в деле хищения, порчи информации. В этой статье мы попытаемся указать на возможные каналы утечки ее и сформулировать общие подходы в деле защиты информации в организации.
Рис. 1 Возможные каналы утечки информации из помещения
На рис. 1 показаны возможные пути хищения информации. Как видно из него существуют следующие виды утечки информации:
К другим способам получения необходимых данных можно отнести:
Первые семь перечисленных пунктов возможно устранить техническими средствами защиты. Восьмой - нормативными актами, а девятый, самый сложный, почти не возможно. Но рассмотрим все по порядку, сделав одно допущение – в помещении не могут находиться “жучки”, “закладки” в аппаратуре.
Радиоизлучение монитора. Перехват изображения монитора достаточно распространенный способ хищения информации. Это становится возможным в связи с его паразитным излучением, прием которого возможен до 50 м. Основной защитой можно считать экранирование помещения, металлический корпус ПЭВМ, а также использования устройств маскирующих побочное электромагнитное излучение, например, генератор радиошума ГШ-1000, который зашумляет диапазон частот от 0,1 до 1000 МГц.
Микрофонный эффект. Акустические колебания микрофона или обмоток звонка возникают при положенной трубке и могут быть сняты с телефонного кабеля, например, на АТС. Таким образом, для защиты от такого перехвата можно использовать устройства, подавляющие эти колебания, например, “Гранит-Х”.
Видеонаблюдение за пом6ещением. Это возможно как через окно, так и с помощью вмонтированных камер в предметы помещения (мы это исключили), либо в вещи постороннего человека, попавшего в закрытое помещение. Основная защита – это использование жалюзей на окнах, и досмотр посторонних лиц.
Считывание вибрации стекла. Такое удаленное действие возможно с помощью лазера. Основная защита: использование двойных стекл, а также не ведение секретных переговоров там, где это не безопасно.
Аналогичный способ утечки можно реализовать путем считывания вибрации стен, дверей, перекрытий. Защита от этого – установка устройств виброакустической защиты, например, “Заслон-2М”.
Сегодня существуют устройства, способные раскодировать факс-модемную передачу, с записи ее на магнитофон, либо непосредственно с телефонной линии. Запретить это не возможно, так как подключиться к телефонной линии можно на любом участке прохождения телефонного соединения. Единственная защита – это не передавать с помощью подобного оборудования сведений не желательных для разглашения. Если же передача необходима, то они, данные, должны быть зашифрованы. Подобное необходимо делать и на ПЭВМ, работающей с секретной информацией. Ниже представлены некоторые из возможных средств, способствующих предотвращения не санкционирования доступа к информации:
Ну и конечно, доступ в помещения, где ведется работа с конфиденциальной или секретной информацией, должен быть ограничен, там должны находиться лишь люди работающие с закрытой информацией, обслуживающей спецаппаратуру, которые должны пройти соответствующую проверку. В случае необходимости, в выделенное для этих целей помещение, могут попасть посторонние, например, уборщицы, слесари, электрики и другие, но дежурный по помещению не должен оставлять их одних.
Для регламентации доступа в спецпомещения, а также правила работы, охраны, составляются документы, в соответствии с которыми и осуществляется защита конфиденциальной или секретной информации.
После подготовки помещения для работы в нем с закрытой информацией его необходимо сертифицировать в надлежащих органах на право работы с необходимым грифом.
Особое внимание следует уделить кадрам. Прежде всего, с закрытой информацией должны работать люди, которые прошли соответствующую проверку и которым доверят руководство. Также эти люди должны быть специалистами в своем деле, то есть обязаны пройти соответствующее обучение, так как дилетанты способны загубить хорошо поставленную работу и допустить утечку информации. И третье, оплата работы сотрудников этого подразделения должна хорошо оплачиваться, что позволит исключить продажу секретов третьей стороне. По статистике, пособничество в утечке информации своими сотрудниками составляет до 80 % от всех других видов хищения информации. Довольно свеж пример недавнего громкого судебного разбирательства о шпионаже с участием некоего Хоупа. Поэтому на оплату труда сотрудников работающих с закрытой информацией следует обратить большое внимание руководителям предприятия.
Следование правилам по работе с закрытой информацией, разработанным на предприятии также позволит предотвратить утечку информации для которых используется анализ открытых источников информации и деятельности предприятия.
Таким образом, мы рассмотрели возможные способы утечки информации и меры для ее предотвращению, и поняли, что защититься возможно, но остается еще один аспект – это утечка информации при организации корпоративной сети.
Потребность этого возникает сейчас все чаще и чаще. Некоторые предприятия разрастаются, появляется потребность по объединению локальных сетей, но возникает проблема защиты информации от ее утечки, повреждению, модификации уничтожению. Информационные технологии несут в себе не только удобство, но и новые угрозы, связанные с перечисленным выше. Для этой цели используются следующие средства:
Антивирусные средства
Сегодня никого не удивишь существованием компьютерных вирусов. Нетрудно вспомнить такие вирусы как “I love you”, “Анна Курникова”, “Чернобыль” … Большинство пользователей ПЭВМ теперь знают, что при получении электронной почты ее необходимо проверить на наличие вирусов, аналогично поступать при получении посторонних файлов. Но тем не менее, периодически приходят сообщения об очередном массовом заражении очередной заразы. Этому, прежде всего, способствует всемирная сеть Интернет.
Если обратиться к истории, то можно увидеть, что одним из первых был создан вирус, который распространялся по глобальной сети, был создан в 1988 году. Его написал аспирант факультета информатики Корнелльского университета Роберт Моррисан-младшим. В течении нескольких часов 2 ноября 1988 года было заражено более 6000 компьютеров. Для заражения виру, названный “червь Морриса”, использовал изъяны в sendmail и finger. Цель написания была благородна – проверка уязвимостей серверов, включенных в Интернет, но из-за допущенной ошибки смог саморазмножаться в сети, а также существенно уменьшить быстродействие зараженных рабочих станций.
Подобные программы создаются и сейчас. И для распространения, также используют бреши в системах защиты серверов. Кроме программ, которые занимаются порчей, уничтожением данных, порчей аппаратного обеспечения, замедлением работы компьютера, существуют вирусы, которые стараются ничем не выдать своего присутствия, а потихоньку собирают информацию, например, пароли, ведут контроль за нажатием клавиш пользователя ПЭВМ, а затем передают найденную информацию на заранее определенный адрес, либо совершают какие-либо определенные действия. Эти вирусы относятся к так называемым “троянским коням”. И наконец, программы, которые позволяют получить доступ на удаленной машине, используя бреши в используем операционной системе. Последние два типа вирусов наиболее опасны.
Основным средством защиты от вирусов можно считать использование антивирусов, лучше если это будет две независимые программы, например Dr.Web, AVP. Антивирусные средства рекомендуется установить на ПЭВМ и на почтовом сервере, либо заставить сканировать весь трафик, а также правильная политика безопасности, включающая обновление используемых программ и антивирусных средств, так как антивирусные средства пассивны и не в состоянии гарантировать 100 % защиту от неизвестных вирусов, поможет избежать вирусного заражения.
Межсетевые экраны
Межсетевой экран (МЭ) (firewalls) или брандмауэр предназначен для контроля над исходящей и входящей в систему информацией, то есть он занимается фильтрацией потока данных на заранее оговоренных условиях. Эти условия задаются системным администратором сети и способствует предотвращению атак со стороны внешней сети. Кроме внешних МЭ существуют и внутренние, которые занимаются контролем над потоком между сегментами локальной сети.
Межсетевые экраны можно классифицировать по тому на каком уровне они работают: канальном, сетевом, транспортном, прикладном. В зависимости от уровня различаются и задачи МЭ. Чем ниже уровень, тем выше производительность и ниже стоимость. Чем выше уровень, тем больше задач способен решать межсетевой экран. Например, при фильтрации на сетевом уровне возможно просмотреть структуру локальной сети из глобальной.
Кроме фильтрации МЭ должны вести журналы и учет, позволять производить администрирование и настройку правил фильтрации, применять средства аутентификации, а также, по возможности, использовать средства шифрования. Основные требования к межсетевым экранам записаны в Руководящем документе Государственной технической комиссии при Президенте России “Межсетевые экраны. Защита от несанкционированного доступа к информации. Классификация межсетевых экранов”. – М.: “Военное издательство”. – 1997.
Сегодня на российском рынке МЭ присутствует огромное количество их наименований, но рекомендуется при их выборе исходить из того, что приобретаемые средства должны быть сертифицированы Гостехкомиссией при Президенте РФ или ФАПСИ. В табл. 1 представлены некоторые из сертифицированных межсетевых экранов.
Как видно из таблицы все МЭ разделены на классы. Всего установлено 5 классов защищенности. Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации. Например, для автоматизированных систем (АС):
Таблица 1. Сертифицированные межсетевые экраны
Название МЭ |
Класс защищенности по руководящему документу (РД) и номер сертификата |
СКЗИ от НСД в сетях передачи данных по протоколу TCP/IP - МЭ “Пандора” (на базе МЭ “Gauntlet” версии 3.1.1.) |
Сертификат СЗИ №73 выдан 16.01.1997 г. Гостехкомиссией России. (По классу 3Б АС) Сертификат СЗИ №183 выдан 10.06.1998 г. Гостехкомиссией России. (По классу 3 МЭ) |
Автоматизированная система разграничения доступа - МЭ “Black Hole” версии BSDI-OS |
Сертификат СЗИ №79 выдан 30.01.1997 г. Гостехкомиссией России. (По классу 3Б АС) Сертификат СЗИ №184 выдан 10.06.1998 г. Гостехкомиссией России. (По классу 3 МЭ) |
МЭ “Застава” |
3 по РД “МЭ” - № 145, 3 по РД “МЭ” - № 155 |
Аппаратно-программный комплекс МЭ “Застава-Джет” под управлением ОС Solaris 2.5.1. |
Сертификат СЗИ №146 выдан 14.01.1998 г. Гостехкомиссией России. (По классу 2 СВТ при условии выполнения “Спец. требований и рекомендаций по защите информации, составляющих государственную тайну, по техническим каналам” и аттестации рабочих мест. Сертифицирован единичный экземпляр). |
МЭ “CyberGuard” версии 4.0 |
Сертификат СЗИ №171 выдан 24.04.1998 г. Гостехкомиссией России. (По классу 3 СВТ) |
МЭ “AltaVista Firewall 97” |
Сертификат СЗИ №173 выдан 17.04.1998 г. Гостехкомиссией России. (По классу 3 МЭ) |
Аппаратно-программные комплексы на базе маршрутизаторов Bay Networks: Advanced Remote Node, Access Stack Node 2 (ASN2), BackBone Node (BN) |
4 по РД “МЭ” - № 175 |
Система защиты информации FireWall-1 версии 3.0b |
4 по РД “МЭ” - № 190 |
Межсетевой экран FireWall/Plus for Windows NT |
4 по РД “МЭ” - № 194 |
Межсетевой экран Cisco PIX FireWall |
3 по РД “МЭ” - № 197, 3 по РД “МЭ” - № 222 |
Программный комплекс “Межсетевой экран Застава-Джет-РС” |
2 по РД “МЭ” - № 200 |
Программный комплекс “Межсетевой экран FireWall-1/VPN-1” версии 4.0, Service Pack 2 |
4 по РД “МЭ” - № 230 |
Аппаратно-программные комплекс “МЭ WatchGuard” |
4 по РД “МЭ” - № 236 |
Система защиты информации Квеб 1.3 |
3 по РД для “МЭ” - № 401 |
Программно-аппаратный комплекс ФПСУ-IP |
по 3 классу для МЭ - № 233 |
Системы обнаружения вторжений
Система обнаружения вторжений (СОВ) (Intrusion Detection System) предназначены для регистрации враждебного трафика, обнаружения атак, сигнализации системного администратора о уже начавшейся атаке и ее отражении. Подобные средства появились не так давно и поэтому в России пока не производятся. В табл. 2 [1] представлены некоторые из существующих на мировом рынке СОВ.
Системы обнаружения вторжений делятся на три типа:
Системы первого типа занимаются ведением журнала регистрации, наблюдением за процессами, а также контролем за целостностью двоичного кода.
Таблица 2. Краткая характеристика продуктов СОВ
Компания-производитель |
Продукт |
Тип продукта |
Платформа |
Anzen Computing |
Anzen Flight Jacket |
Уровня сети |
Устройство |
Axent Technologies |
NetProwler Intruder Alert |
То же Уровень хоста |
Windows NT AIX, Digital Unix, HP-UX, Irix, NCR, NetWare, Solaris, SunOS, SVR 4, Windows NT |
Cisco System |
Cisco Secure IDS 4210/4230 Cisco Secure IDS Module Cisco IOS Firewall Feature Set |
Уровня сети То же То же |
Устройство Cayalyst 6000 Неприменимо |
Computer Associates International |
ETrust Intrusion Detection |
То же |
Windows NT |
CyberSafe |
Centrax Host Engine Centrax Network Engine |
Уровень хоста Уровня сети |
AIX, Solaris, Windows NT/2000 AIX, Solaris, Windows NT/2000 |
Enterasys Networks |
Dragon Sensor Dragon Squire |
То же Уровень хоста |
BSD, HP-UX, Linux, Solaris BSD, HP-UX, Linux, Solaris |
Hiverworld |
Armor |
Уровня сети |
Устройство |
Intrusion.com |
SecureNet Pro Kane Security Enterprise |
То же Уровень хоста |
Linux Solaris, Cisco IOS, Cisco Secure IDS, Check Point Firewall-1, RealSecure, Windows NT |
Internet Security System |
RealSecure Server Sensor RealSecure OS Sensor RealSecure Network Sensor |
Гибридный Уровень хоста Уровня сети |
Windows NT AIX, HP-UX, Solaris, Windows NT Solaris, Windows NT |
Network Associates |
CyberCop Monitor |
Гибридный |
Windows NT |
Network ICE |
BlackICE Sentry |
Уровень сети |
Windows NT |
Network Flight Recorder |
NTF |
То же |
Устройство |
Свободно распространяемые |
Snort Pakemon Shadow |
То же То же То же |
Unix, Windows NT Unix Unix |
Системы уровня сети занимаются тем, что анализируют проходящий трафик, сравнивают его с известными сигнатурами атак и принимают решение о вторжении в случае совпадения кода. В этом случае делается запись журнале и извещается системный администратор. Ну и конечно же СОВ пытается сама противодействовать атаке.
Процедурная же модель систем обнаружения вторжений занимается тем же, что и система сетевого уровня, а также фиксирует и исследует проходящую работу, пытаются адаптироваться к данной сети.
Система обнаружения вторжений является неплохим дополнением к МЭ и в ряде случаев занимаются облегчением труда системных администраторов, но в тоже время обладает существенным недостатком, коим обладают и антивирусные сканеры: СОВ не способны обнаружить неизвестные вторжения, пока не будут обновлены сигнатуры.
Анализаторы системных журналов
Назначение этих продуктов определяется из названия, они предназначены для облегчения работы с журналами, если системным администратор ленится, либо не успевает их просматривать.
Криптомаршрутизаторы
При построении территориально-распределенной корпоративной сети, в которой происходит передача секретной или конфиденциальной информации (данные, голос, видеоконференции) необходимо обеспечить не возможность прослушивания этого трафика, а также для невозможности попасть в закрытую сеть из внешней, используется криптование передаваемой информации, которое осуществляется криптомармрутизаторами.
Сеть построенная подобным образом носит название виртуальной частной сети (VPN). Ее построение возможно как на базе импортных средств, так и на отечественных. Но, во-первых, ряд стран ограничивает ввоз в Россию криптографических средств, во-вторых, российское законодательство, по понятным причинам, никогда не сертифицирует ввозимые средства для работы с государственной тайной, и в-третьих, в России уже достаточно много существует сертифицированных Гостехкомиссией и ФАПСИ средств. В табл. 3 приведен далеко не полный их список.
Таблица 3
“ШИП”, “Игла-П” |
“КРИПТОН-IP” |
Net-PRO “IP-Gateway” |
ПО “Сервис безопасности” |
“Брус-К” |
”Континент-К” |
|
Защита гос. тайны |
Нет |
Да (“С”) |
Нет |
Нет |
Нет |
Нет |
Протоколы |
IP, Frame Relay, X.25 |
IP, Ipsec |
IP |
IP, Ipsec |
IP, Ipsec |
IP |
Операционная система |
Free BSD |
MS DOS 5.0 |
Free BSD |
Win95/98/Me/2000/NT, Linux |
- |
Н/д |
Метод шифрования |
ГОСТ 28147-89 |
ГОСТ 28147-89 |
ГОСТ 28147-89, SSL |
ГОСТ 28147-89 |
ГОСТ 28147-89 |
ГОСТ 28147-89 |
Сокрытие внутренней сети |
Да |
Да |
Да (разделение трактов) |
Да |
Н/д |
Да |
Межсетевой экран |
Да |
Н/д |
Н/д |
Да |
Нет |
Да |
Производитель |
Разные |
“ЭЛВИС+” |
ЗАО “Сигнал” |
ОАО “ИнфоТеКС” |
НТЦ “Атлас” |
НИП “Информзащита” |
Основные преимущества криптомаршрутизаторов заключаются в следующем:
Система анализа уязвимостей
Использование всех предложенных выше средств защиты информации может спасовать перед очередной брешью в операционной системе или же прикладной программой. Устранение ее в кратчайшие сроки не позволит злоумышленнику как-либо навредить вам. Но если сеть очень большая и вы, являясь ее администратором, не всегда способны полностью проконтролировать, то, что устанавливает у себя пользователь, во время ли устанавливается очередная заплата… Для этих целей и существуют системы анализа уязвимостей, которые позволяют выявить бреши в вашей системе безопасности.
Их существует огромное множество. Приведем некоторые из них. NetRecon фирмы Axent Technologies, HakerShield фирмы BindView, Internet Scanner фирмы Internet Security System, Retina фирмы eEye Digital Security, CyberCop Scanner фирмы Network Associates, WebTrends Security Analyzer, System Analyst Integrated Network Tools фирмы World Wide Digital Security, программное обеспечение с открытым кодом Nessus Security Scanner и Security Administrator’s Research Assistant. В [2] приводится подробное тестирование некоторых средств оценки уязвимости.
Большинство этих средств достаточно дорого и кроме того не способны на 100 % дать уверенность в том, что ваша система не лишена уязвимостей. Но они также как СОВ и антивирусы могут обнаружить только известные дыры в операционных системах, и бессильны перед новыми неизвестными атаками. Поэтому, даже если постоянно заниматься обновлением сигнатур, может случиться так, что атака произойдет раньше, чем выйдет очередное обновление. Эти средства хороши, но не являются панацеей от всех бед.
Рис. 2 Пример организации защищенной корпоративной сети
Таким образом, защита конфиденциальной или секретной информации на предприятии подразумевает собой комплекс мероприятий, направленных на устранение возможных каналов утечки информации, а именно:
Руководствуясь перечисленным выше, а также используя принцип разумной достаточности, позволит организации исключить возможность утечки секретной информации.
Мухин С.В.
Литература
Выше представлен первоначальный вариант статьи опубликованной в:
Мухин С.В. КАК ОСТАНОВИТЬ УТЕЧКУ ИНФОРМАЦИИ//Мир связи. CONNECT. - #10. - М: - 2001. - с. .