Тел.: +996550559825, +996700511045, +996312379145

Информация ценилась во все времена. Чтобы владеть ею происходили убийства, войны. В наши дни она имеет не меньшую ценность. Эта ценность может определяться не только количеством труда потраченного на ее создание, но и количеством прибыли, полученной от ее возможной реализации. Поэтому очень популярен промышленный шпионаж между родственными предприятиями не считая военного шпионажа. Развитие вычислительных сетей, в ряде случаев, способствует хищению информации. Существует огромное количество фактов подтверждающих это. Человеческий фактор играет не меньшую роль в деле хищения, порчи информации. В этой статье мы попытаемся указать на возможные каналы утечки ее и сформулировать общие подходы в деле защиты информации в организации.

 

Рис. 1 Возможные каналы утечки информации из помещения

На рис. 1 показаны возможные пути хищения информации. Как видно из него существуют следующие виды утечки информации:

    1. Радиоизлучение монитора.
    2. Микрофонный эффект, закладки в телефонном аппарате.
    3. Стекло вибрация, видеонаблюдение.
    4. Вибрация стен, перекрытий, систем отопления, вентиляции, дверей.
    5. Анализ передаваемых данных (электромагнитное излучение, использование атак по сети, паразитное радиоизлучение, вирусы).
    6. Прослушивание телефонного и факс-модемного трафика.
    7. Жучки, направленные микрофоны.
    8. Доступ посторонних лиц.
    9. Человеческий фактор.

К другим способам получения необходимых данных можно отнести:

    1. Анализ открытых источников информации.
    2. Анализ деятельности предприятий, его продукции, отходов и так далее.
    3. Шантаж.
    4. Слежка.

Первые семь перечисленных пунктов возможно устранить техническими средствами защиты. Восьмой - нормативными актами, а девятый, самый сложный, почти не возможно. Но рассмотрим все по порядку, сделав одно допущение – в помещении не могут находиться “жучки”, “закладки” в аппаратуре.

Радиоизлучение монитора. Перехват изображения монитора достаточно распространенный способ хищения информации. Это становится возможным в связи с его паразитным излучением, прием которого возможен до 50 м. Основной защитой можно считать экранирование помещения, металлический корпус ПЭВМ, а также использования устройств маскирующих побочное электромагнитное излучение, например, генератор радиошума ГШ-1000, который зашумляет диапазон частот от 0,1 до 1000 МГц.

Микрофонный эффект. Акустические колебания микрофона или обмоток звонка возникают при положенной трубке и могут быть сняты с телефонного кабеля, например, на АТС. Таким образом, для защиты от такого перехвата можно использовать устройства, подавляющие эти колебания, например, “Гранит-Х”.

Видеонаблюдение за пом6ещением. Это возможно как через окно, так и с помощью вмонтированных камер в предметы помещения (мы это исключили), либо в вещи постороннего человека, попавшего в закрытое помещение. Основная защита – это использование жалюзей на окнах, и досмотр посторонних лиц.

Считывание вибрации стекла. Такое удаленное действие возможно с помощью лазера. Основная защита: использование двойных стекл, а также не ведение секретных переговоров там, где это не безопасно.

Аналогичный способ утечки можно реализовать путем считывания вибрации стен, дверей, перекрытий. Защита от этого – установка устройств виброакустической защиты, например, “Заслон-2М”.

Сегодня существуют устройства, способные раскодировать факс-модемную передачу, с записи ее на магнитофон, либо непосредственно с телефонной линии. Запретить это не возможно, так как подключиться к телефонной линии можно на любом участке прохождения телефонного соединения. Единственная защита – это не передавать с помощью подобного оборудования сведений не желательных для разглашения. Если же передача необходима, то они, данные, должны быть зашифрованы. Подобное необходимо делать и на ПЭВМ, работающей с секретной информацией. Ниже представлены некоторые из возможных средств, способствующих предотвращения не санкционирования доступа к информации:

    • разграничение доступа в сети (Dallas Lock (ООО “Конфидент”), “Соболь” (“Информзащита”));
    • электронные замки, обеспечивающие идентификацию пользователей, например, Smart-карты, Touch memory;
    • средства шифрования файлов на дисках: Crypton LITE (“Анкад”), Secret Disk (Аладин), PTS DiskGuard (Техинформконсалтинг);
    • парольный доступ.

Ну и конечно, доступ в помещения, где ведется работа с конфиденциальной или секретной информацией, должен быть ограничен, там должны находиться лишь люди работающие с закрытой информацией, обслуживающей спецаппаратуру, которые должны пройти соответствующую проверку. В случае необходимости, в выделенное для этих целей помещение, могут попасть посторонние, например, уборщицы, слесари, электрики и другие, но дежурный по помещению не должен оставлять их одних.

Для регламентации доступа в спецпомещения, а также правила работы, охраны, составляются документы, в соответствии с которыми и осуществляется защита конфиденциальной или секретной информации.

После подготовки помещения для работы в нем с закрытой информацией его необходимо сертифицировать в надлежащих органах на право работы с необходимым грифом.

Особое внимание следует уделить кадрам. Прежде всего, с закрытой информацией должны работать люди, которые прошли соответствующую проверку и которым доверят руководство. Также эти люди должны быть специалистами в своем деле, то есть обязаны пройти соответствующее обучение, так как дилетанты способны загубить хорошо поставленную работу и допустить утечку информации. И третье, оплата работы сотрудников этого подразделения должна хорошо оплачиваться, что позволит исключить продажу секретов третьей стороне. По статистике, пособничество в утечке информации своими сотрудниками составляет до 80 % от всех других видов хищения информации. Довольно свеж пример недавнего громкого судебного разбирательства о шпионаже с участием некоего Хоупа. Поэтому на оплату труда сотрудников работающих с закрытой информацией следует обратить большое внимание руководителям предприятия.

Следование правилам по работе с закрытой информацией, разработанным на предприятии также позволит предотвратить утечку информации для которых используется анализ открытых источников информации и деятельности предприятия.

Таким образом, мы рассмотрели возможные способы утечки информации и меры для ее предотвращению, и поняли, что защититься возможно, но остается еще один аспект – это утечка информации при организации корпоративной сети.

Потребность этого возникает сейчас все чаще и чаще. Некоторые предприятия разрастаются, появляется потребность по объединению локальных сетей, но возникает проблема защиты информации от ее утечки, повреждению, модификации уничтожению. Информационные технологии несут в себе не только удобство, но и новые угрозы, связанные с перечисленным выше. Для этой цели используются следующие средства:

  • антивирусные средства;
  • межсетевые экраны;
  • системы обнаружения атак;
  • анализаторы системных журналов;
  • криптомаршрутизаторы;
  • системы анализа уязвимостей.

Антивирусные средства

Сегодня никого не удивишь существованием компьютерных вирусов. Нетрудно вспомнить такие вирусы как “I love you”, “Анна Курникова”, “Чернобыль” … Большинство пользователей ПЭВМ теперь знают, что при получении электронной почты ее необходимо проверить на наличие вирусов, аналогично поступать при получении посторонних файлов. Но тем не менее, периодически приходят сообщения об очередном массовом заражении очередной заразы. Этому, прежде всего, способствует всемирная сеть Интернет.

Если обратиться к истории, то можно увидеть, что одним из первых был создан вирус, который распространялся по глобальной сети, был создан в 1988 году. Его написал аспирант факультета информатики Корнелльского университета Роберт Моррисан-младшим. В течении нескольких часов 2 ноября 1988 года было заражено более 6000 компьютеров. Для заражения виру, названный “червь Морриса”, использовал изъяны в sendmail и finger. Цель написания была благородна – проверка уязвимостей серверов, включенных в Интернет, но из-за допущенной ошибки смог саморазмножаться в сети, а также существенно уменьшить быстродействие зараженных рабочих станций.

Подобные программы создаются и сейчас. И для распространения, также используют бреши в системах защиты серверов. Кроме программ, которые занимаются порчей, уничтожением данных, порчей аппаратного обеспечения, замедлением работы компьютера, существуют вирусы, которые стараются ничем не выдать своего присутствия, а потихоньку собирают информацию, например, пароли, ведут контроль за нажатием клавиш пользователя ПЭВМ, а затем передают найденную информацию на заранее определенный адрес, либо совершают какие-либо определенные действия. Эти вирусы относятся к так называемым “троянским коням”. И наконец, программы, которые позволяют получить доступ на удаленной машине, используя бреши в используем операционной системе. Последние два типа вирусов наиболее опасны.

Основным средством защиты от вирусов можно считать использование антивирусов, лучше если это будет две независимые программы, например Dr.Web, AVP. Антивирусные средства рекомендуется установить на ПЭВМ и на почтовом сервере, либо заставить сканировать весь трафик, а также правильная политика безопасности, включающая обновление используемых программ и антивирусных средств, так как антивирусные средства пассивны и не в состоянии гарантировать 100 % защиту от неизвестных вирусов, поможет избежать вирусного заражения.

Межсетевые экраны

Межсетевой экран (МЭ) (firewalls) или брандмауэр предназначен для контроля над исходящей и входящей в систему информацией, то есть он занимается фильтрацией потока данных на заранее оговоренных условиях. Эти условия задаются системным администратором сети и способствует предотвращению атак со стороны внешней сети. Кроме внешних МЭ существуют и внутренние, которые занимаются контролем над потоком между сегментами локальной сети.

Межсетевые экраны можно классифицировать по тому на каком уровне они работают: канальном, сетевом, транспортном, прикладном. В зависимости от уровня различаются и задачи МЭ. Чем ниже уровень, тем выше производительность и ниже стоимость. Чем выше уровень, тем больше задач способен решать межсетевой экран. Например, при фильтрации на сетевом уровне возможно просмотреть структуру локальной сети из глобальной.

Кроме фильтрации МЭ должны вести журналы и учет, позволять производить администрирование и настройку правил фильтрации, применять средства аутентификации, а также, по возможности, использовать средства шифрования. Основные требования к межсетевым экранам записаны в Руководящем документе Государственной технической комиссии при Президенте России “Межсетевые экраны. Защита от несанкционированного доступа к информации. Классификация межсетевых экранов”. – М.: “Военное издательство”. – 1997.

Сегодня на российском рынке МЭ присутствует огромное количество их наименований, но рекомендуется при их выборе исходить из того, что приобретаемые средства должны быть сертифицированы Гостехкомиссией при Президенте РФ или ФАПСИ. В табл. 1 представлены некоторые из сертифицированных межсетевых экранов.

Как видно из таблицы все МЭ разделены на классы. Всего установлено 5 классов защищенности. Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации. Например, для автоматизированных систем (АС):

    • 2 класс, работа с грифом СС;
    • 3 класс, работа с грифом С.

 

Таблица 1. Сертифицированные межсетевые экраны

Название МЭ

Класс защищенности по руководящему документу (РД) и номер сертификата

СКЗИ от НСД в сетях передачи данных по протоколу TCP/IP - МЭ “Пандора” (на базе МЭ “Gauntlet” версии 3.1.1.)

Сертификат СЗИ №73 выдан 16.01.1997 г. Гостехкомиссией России. (По классу 3Б АС)

Сертификат СЗИ №183 выдан 10.06.1998 г. Гостехкомиссией России. (По классу 3 МЭ)

Автоматизированная система разграничения доступа - МЭ “Black Hole” версии BSDI-OS

Сертификат СЗИ №79 выдан 30.01.1997 г. Гостехкомиссией России. (По классу 3Б АС)

Сертификат СЗИ №184 выдан 10.06.1998 г. Гостехкомиссией России. (По классу 3 МЭ)

МЭ “Застава”

3 по РД “МЭ” - № 145, 3 по РД “МЭ” - № 155

Аппаратно-программный комплекс МЭ “Застава-Джет” под управлением ОС Solaris 2.5.1.

Сертификат СЗИ №146 выдан 14.01.1998 г. Гостехкомиссией России. (По классу 2 СВТ при условии выполнения “Спец. требований и рекомендаций по защите информации, составляющих государственную тайну, по техническим каналам” и аттестации рабочих мест. Сертифицирован единичный экземпляр).

МЭ “CyberGuard” версии 4.0

Сертификат СЗИ №171 выдан 24.04.1998 г. Гостехкомиссией России. (По классу 3 СВТ)

МЭ “AltaVista Firewall 97”

Сертификат СЗИ №173 выдан 17.04.1998 г. Гостехкомиссией России. (По классу 3 МЭ)

Аппаратно-программные комплексы на базе маршрутизаторов Bay Networks: Advanced Remote Node, Access Stack Node 2 (ASN2), BackBone Node (BN)

4 по РД “МЭ” - № 175

Система защиты информации FireWall-1 версии 3.0b

4 по РД “МЭ” - № 190

Межсетевой экран FireWall/Plus for Windows NT

4 по РД “МЭ” - № 194

Межсетевой экран Cisco PIX FireWall

3 по РД “МЭ” - № 197, 3 по РД “МЭ” - № 222

Программный комплекс “Межсетевой экран Застава-Джет-РС”

2 по РД “МЭ” - № 200

Программный комплекс “Межсетевой экран FireWall-1/VPN-1” версии 4.0, Service Pack 2

4 по РД “МЭ” - № 230

Аппаратно-программные комплекс “МЭ WatchGuard”

4 по РД “МЭ” - № 236

Система защиты информации Квеб 1.3

3 по РД для “МЭ” - № 401

Программно-аппаратный комплекс ФПСУ-IP

по 3 классу для МЭ - № 233

Системы обнаружения вторжений

Система обнаружения вторжений (СОВ) (Intrusion Detection System) предназначены для регистрации враждебного трафика, обнаружения атак, сигнализации системного администратора о уже начавшейся атаке и ее отражении. Подобные средства появились не так давно и поэтому в России пока не производятся. В табл. 2 [1] представлены некоторые из существующих на мировом рынке СОВ.

Системы обнаружения вторжений делятся на три типа:

    • уровень хоста;
    • уровень сети;
    • процедурные.

Системы первого типа занимаются ведением журнала регистрации, наблюдением за процессами, а также контролем за целостностью двоичного кода.

Таблица 2. Краткая характеристика продуктов СОВ

Компания-производитель

Продукт

Тип продукта

Платформа

Anzen Computing

Anzen Flight Jacket

Уровня сети

Устройство

Axent Technologies

NetProwler

Intruder Alert

То же

Уровень хоста

Windows NT

AIX, Digital Unix, HP-UX, Irix, NCR, NetWare, Solaris, SunOS, SVR 4, Windows NT

Cisco System

Cisco Secure IDS 4210/4230

Cisco Secure IDS Module

Cisco IOS Firewall Feature Set

Уровня сети

То же

То же

Устройство

Cayalyst 6000

Неприменимо

Computer Associates International

ETrust Intrusion Detection

То же

Windows NT

CyberSafe

Centrax Host Engine

Centrax Network Engine

Уровень хоста

Уровня сети

AIX, Solaris, Windows NT/2000

AIX, Solaris, Windows NT/2000

Enterasys Networks

Dragon Sensor

Dragon Squire

То же

Уровень хоста

BSD, HP-UX, Linux, Solaris

BSD, HP-UX, Linux, Solaris

Hiverworld

Armor

Уровня сети

Устройство

Intrusion.com

SecureNet Pro

Kane Security Enterprise

То же

Уровень хоста

Linux

Solaris, Cisco IOS, Cisco Secure IDS, Check Point Firewall-1, RealSecure, Windows NT

Internet Security System

RealSecure Server Sensor

RealSecure OS Sensor

RealSecure Network Sensor

Гибридный

Уровень хоста

Уровня сети

Windows NT

AIX, HP-UX, Solaris, Windows NT

Solaris, Windows NT

Network Associates

CyberCop Monitor

Гибридный

Windows NT

Network ICE

BlackICE Sentry

Уровень сети

Windows NT

Network Flight Recorder

NTF

То же

Устройство

Свободно распространяемые

Snort

Pakemon

Shadow

То же

То же

То же

Unix, Windows NT

Unix

Unix

Системы уровня сети занимаются тем, что анализируют проходящий трафик, сравнивают его с известными сигнатурами атак и принимают решение о вторжении в случае совпадения кода. В этом случае делается запись журнале и извещается системный администратор. Ну и конечно же СОВ пытается сама противодействовать атаке.

Процедурная же модель систем обнаружения вторжений занимается тем же, что и система сетевого уровня, а также фиксирует и исследует проходящую работу, пытаются адаптироваться к данной сети.

Система обнаружения вторжений является неплохим дополнением к МЭ и в ряде случаев занимаются облегчением труда системных администраторов, но в тоже время обладает существенным недостатком, коим обладают и антивирусные сканеры: СОВ не способны обнаружить неизвестные вторжения, пока не будут обновлены сигнатуры.

Анализаторы системных журналов

Назначение этих продуктов определяется из названия, они предназначены для облегчения работы с журналами, если системным администратор ленится, либо не успевает их просматривать.

Криптомаршрутизаторы

При построении территориально-распределенной корпоративной сети, в которой происходит передача секретной или конфиденциальной информации (данные, голос, видеоконференции) необходимо обеспечить не возможность прослушивания этого трафика, а также для невозможности попасть в закрытую сеть из внешней, используется криптование передаваемой информации, которое осуществляется криптомармрутизаторами.

Сеть построенная подобным образом носит название виртуальной частной сети (VPN). Ее построение возможно как на базе импортных средств, так и на отечественных. Но, во-первых, ряд стран ограничивает ввоз в Россию криптографических средств, во-вторых, российское законодательство, по понятным причинам, никогда не сертифицирует ввозимые средства для работы с государственной тайной, и в-третьих, в России уже достаточно много существует сертифицированных Гостехкомиссией и ФАПСИ средств. В табл. 3 приведен далеко не полный их список.

Таблица 3

 

“ШИП”, “Игла-П”

“КРИПТОН-IP”

Net-PRO

“IP-Gateway”

ПО “Сервис безопасности”

“Брус-К”

”Континент-К”

Защита гос. тайны

Нет

Да (“С”)

Нет

Нет

Нет

Нет

Протоколы

IP, Frame Relay, X.25

IP, Ipsec

IP

IP, Ipsec

IP, Ipsec

IP

Операционная система

Free BSD

MS DOS 5.0

Free BSD

Win95/98/Me/2000/NT, Linux

-

Н/д

Метод шифрования

ГОСТ 28147-89

ГОСТ 28147-89

ГОСТ 28147-89, SSL

ГОСТ 28147-89

ГОСТ 28147-89

ГОСТ 28147-89

Сокрытие внутренней сети

Да

Да

Да (разделение трактов)

Да

Н/д

Да

Межсетевой экран

Да

Н/д

Н/д

Да

Нет

Да

Производитель

Разные

“ЭЛВИС+”

ЗАО “Сигнал”

ОАО “ИнфоТеКС”

НТЦ “Атлас”

НИП “Информзащита”

Основные преимущества криптомаршрутизаторов заключаются в следующем:

    • скрытие структуры защищенной сети;
    • полная прозрачность для конечных пользователей;
    • защита защищаемой сети от атак из вне;
    • эффективная защита передаваемой информации, что позволяет использовать открытые каналы связи, например, Интернет, правда законодательство России запрещает использовать публичные сети для передачи по ним информации содержащей сведения, составляющие государственную тайну;
    • целостность данных;
    • защиту от анализа трафика;
    • маштабируемость сети.

Система анализа уязвимостей

Использование всех предложенных выше средств защиты информации может спасовать перед очередной брешью в операционной системе или же прикладной программой. Устранение ее в кратчайшие сроки не позволит злоумышленнику как-либо навредить вам. Но если сеть очень большая и вы, являясь ее администратором, не всегда способны полностью проконтролировать, то, что устанавливает у себя пользователь, во время ли устанавливается очередная заплата… Для этих целей и существуют системы анализа уязвимостей, которые позволяют выявить бреши в вашей системе безопасности.

Их существует огромное множество. Приведем некоторые из них. NetRecon фирмы Axent Technologies, HakerShield фирмы BindView, Internet Scanner фирмы Internet Security System, Retina фирмы eEye Digital Security, CyberCop Scanner фирмы Network Associates, WebTrends Security Analyzer, System Analyst Integrated Network Tools фирмы World Wide Digital Security, программное обеспечение с открытым кодом Nessus Security Scanner и Security Administrator’s Research Assistant. В [2] приводится подробное тестирование некоторых средств оценки уязвимости.

Большинство этих средств достаточно дорого и кроме того не способны на 100 % дать уверенность в том, что ваша система не лишена уязвимостей. Но они также как СОВ и антивирусы могут обнаружить только известные дыры в операционных системах, и бессильны перед новыми неизвестными атаками. Поэтому, даже если постоянно заниматься обновлением сигнатур, может случиться так, что атака произойдет раньше, чем выйдет очередное обновление. Эти средства хороши, но не являются панацеей от всех бед.

 

Рис. 2 Пример организации защищенной корпоративной сети

Таким образом, защита конфиденциальной или секретной информации на предприятии подразумевает собой комплекс мероприятий, направленных на устранение возможных каналов утечки информации, а именно:

    1. Защита помещения от возможного прослушивания и утечки информации.
    2. Необходимо разработать нормативную базу, которая позволит соблюсти необходимый режим в организации, позволяющий не допустить посторонних лиц к секретам фирмы.
    3. Использование сертифицированных криптографических средств при передаче и хранении секретной информации.
    4. Электрическое разделение корпоративной сети на две независимые: сеть для передачи секретной информации, сеть для передачи открытой информации (см. рис. 2).
    5. Необходимо обучение обслуживающего персонала, его постоянное повышение квалификации.
    6. Защита открытого трафика сети от вторжения с публичной сети:
    • межсетевые экраны;
    • системы обнаружения атак;
    • антивирусные средства;
    • анализаторы системных журналов;
    • системы анализа уязвимостей.

Руководствуясь перечисленным выше, а также используя принцип разумной достаточности, позволит организации исключить возможность утечки секретной информации.

Мухин С.В.

Литература

  1. Грег Шипли, Наблюдение за наблюдателями//Сети и системы связи - #3. – 2001. – С. 98 - 105.
  2. Джефф Форристал, Грег Шипли, Сканеры для обнаружения изъянов в корпоративной сети//Сети и системы связи - #7. – 2001. – С.114 – 124.

 


Выше представлен первоначальный вариант статьи опубликованной в:

Мухин С.В. КАК ОСТАНОВИТЬ УТЕЧКУ ИНФОРМАЦИИ//Мир связи. CONNECT. - #10. - М: - 2001. - с. .