Файл: Назначение и структура системы защиты информации коммерческого предприятия (Классификация сетевых атак и основные методы защиты от них).pdf
Добавлен: 05.04.2023
Просмотров: 79
Скачиваний: 1
СОДЕРЖАНИЕ
ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ КОММЕРЧЕСКОГО ПРЕДПРИЯТИЯ
1.1 Принцип многоуровневой защиты в построении архитектур информационной безопасности
1.2 Классификация сетевых атак и основные методы защиты от них
ГЛАВА 2. АНАЛИЗ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ
2.1 Краткая характеристика предприятия
2.2 Бизнес-процессы верхнего уровня рассматриваемого предприятия
2.3 Основные этапы построения систем защиты информации
2.4 Конфиденциальная информация предприятия
ВВЕДЕНИЕ
В настоящее время невозможно представить себе серьезную компанию, не использующую в своей работе современные информационные технологии для ведения бизнеса. Одной из непременных составляющих данных технологий является объединение вычислительных ресурсов компании в единую распределенную корпоративную сеть.
Проблема информационной безопасности в корпоративных сетях передачи данных сегодня очень остро стоит перед компаниями любого уровня. Утечка критически важной корпоративной информации, рост объемов паразитного трафика, вымогательство, шантаж и заказные атаки на информационные ресурсы стали в последнее время частым явлением.
Все это обуславливает актуальность темы данной магистерской диссертации, практическое значение которой заключается в разработке конкретных рекомендаций по повышению эффективности защиты информации в распределенной корпоративной сети производственного предприятия.
Объектом диссертации является корпоративная сеть передачи данных научно-производственного холдинга НПО «Ассоциация К».
Предметом диссертации являются методы и средства повышения эффективности защиты информации в распределенной сетевой инфраструктуре.
Цель работы — сформировать перечень конкретных рекомендаций, реализация которых позволит повысить уровень информационной безопасности исследуемого предприятия.
Для достижения поставленной цели в работе должны быть решены следующие задачи:
- раскрытие теоретических аспектов, понятий и методов, специфики защиты информации в корпоративных сетях передачи данных;
- построение модели безопасной корпоративной сетевой инфраструктуры;
- исследование существующей ИТ-инфраструктуры предприятия, используемых средств и методов ее защиты;
- проведение анализа рисков информационной безопасности;
- разработка рекомендацию по повышению уровня защищенности корпоративной сети и оценка их эффективности.
Для решения вышеупомянутых задач следует полагаться на литературу известных специалистов в области информационной безопасности, а также на рекомендации по построению защищенных инфраструктур мировых производителей сетевого оборудования и программного обеспечения.
Диссертация состоит из введения, четырех глав, имеющих подразделы, заключения и приложения, представляющего собой полный отчет MSAT.
ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ КОММЕРЧЕСКОГО ПРЕДПРИЯТИЯ
1.1 Принцип многоуровневой защиты в построении архитектур информационной безопасности
Непрерывно изменяющаяся ситуация в сфере информационной безопасности постоянно ставит перед организациями новые задачи. Быстрое распространение вирусов и шпионских программ, постоянное усложнение сетевых атак, тревожащий рост организованной киберпреступности и шпионажа с использованием Интернета, хищение персональных данных и конфиденциальной информации, более сложные способы инсайдерских атак, развитие новых форм угроз для мобильных систем — вот лишь несколько примеров многообразия и сложности реальных угроз, формирующих современный ландшафт безопасности.
Поскольку сети являются ключевым механизмом ведения бизнеса, при их проектировании и реализации необходимо учитывать проблемы безопасности, чтобы гарантировать конфиденциальность, целостность и доступность данных и системных ресурсов, поддерживающих основные бизнес-процессы компании.
В наши дни для достижения приемлемого уровня безопасности уже не достаточно развернуть точечные продукты на периметре сети. Сложность и изощренность современных угроз требует внедрения интеллектуальных совместно работающих механизмов безопасности во все элементы распределенной инфраструктуры. С учетом этих соображений все чаще используется подход глубокой многоуровневой (эшелонированной) защиты, согласно которому множество уровней защиты распределены по стратегически важным элементам по всей сети и действуют в рамках унифицированной стратегии[1]. Информация о событиях и состоянии систем согласованно используется различными элементами системы информационной безопасности, что позволяет обеспечить более надежный контроль состояния ИТ-инфраструктуры, а ответные действия координируются в рамках общей стратегии управления.
Этот подход предусматривает модульный принцип построения системы информационной безопасности, что позволяет ускорить развертывание и способствует внедрению новых решений и технологий по мере развития потребностей бизнеса. Такая модульность расширяет срок использования имеющегося оборудования и обеспечивает защиту произведенных капитальных вложений. В то же время предусмотрен набор инструментальных средств, упрощающих повседневную эксплуатацию и обеспечивающих снижение совокупных эксплуатационных расходов.
Вышеописанный модульный подход удобно рассмотреть на примере архитектуры безопасности корпоративных сетей — Security Architecture for Enterprise Networks (SAFE), разработанной компанией Cisco — крупнейшим производителем сетевого оборудования[2]. Эта архитектура основана на концепции Cisco Security Framework (CSF), которая обуславливает выбор продуктов и функций, обеспечивающих максимальный уровень безопасности, контроля и управления ИТ-инфраструктурой. Данная концепция предусматривает способы выявления текущих направлений угроз, а также отслеживания новых и развивающихся угроз за счет следования лучшим практическим рекомендациям и использования комплексных решений.
Согласно концепции CSF, необходимо по результатам анализа угроз и рисков разработать такие политики безопасности, которые будут способствовать достижению организацией поставленных бизнес-целей и плановых показателей. Алгоритм разработки таких политик следующий:
- определить бизнес-цели и задачи организации;
- выявить возможные угрозы для выделенных целей и задач (пример такого соответствия представлен в таблице 1.1);
- выполнить более глубокий анализ угроз и рисков для определения важности ресурсов, используемых в среде;
- проанализировать возможные риски безопасности для этих ресурсов;
- оценить возможное действие нарушений безопасности на бизнес.
Таблица 1.1 - Бизнес-цели, задачи и возможные угрозы
Защита источников дохода |
Прерывание бизнеса вследствие нарушения безопасности может повлечь за собой немедленные и долговременные потери доходов. |
Соответствие требованиям заказчиков |
Несоответствие ожиданиям заказчиков в части конфиденциальности, безопасности и уровней обслуживания может привести к серьезным убыткам. |
Защита корпоративной идентификационной информации и бренда |
Раскрытие конфиденциальных данных может разрушить тщательно спланированные маркетинговые кампании и повредить репутации бренда. |
Соблюдение требований нормативных документов и стандартов |
Недостаточное соответствие нормативно-правовым требованиям может привести к отзыву лицензий, потере бизнеса, денежным взысканиям и к более серьезным юридическим последствиям. |
Результатом этих шагов является создание политик безопасности и формулирование принципов, которыми определяется приемлемое и безопасное использование каждого сервиса, устройства и системы в рамках ИТ-инфраструктуры организации. В свою очередь, политики безопасности определяют процессы и процедуры, необходимые для достижения бизнес-целей и выполнения задач. Совокупность процессов и процедур определяет операции по обеспечению безопасности. Схематическое изображение этого процесса представлено на рисунке 1.1.
Бизнес-релевантность
Политики безопасности
Факторы безопасности
Функции безопасности
Бизнес-цели и задачи
Угрозы достижению целей и задач
Действия в сфере безопасности
Анализ рисков и угроз
Управление
Контроль
Идентификация
Мониторинг
Корреляция
Повышение устойчивости
Изоляция
Обеспечение выполнения
Рис. 1.1. Графическое представление концепции CSF
Политики безопасности будут настолько эффективны, насколько они улучшают контроль и управление (безопасность — есть функция контроля и управления): без контроля невозможно управление, а без управления нет безопасности. На практике это выражается в выборе условий и методов развертывания платформ и функций для достижения требуемого уровня контроля и управления. В таблице 1.2 представлены шесть мер обеспечения безопасности, которые обеспечивают выполнение политик безопасности и расширяют возможности по контролю и управлению.
Таблица 1.2 - Меры обеспечения безопасности
Контроль |
Идентификация |
Идентификация и классификация пользователей, сервисов, трафика и оконечных устройств. |
Мониторинг |
Мониторинг производительности, поведения, шаблонов использования, событий и соответствия политике. |
|
Выявление взаимозависимостей |
Сбор, анализ и выявление взаимозависимостей событий в масштабе системы. |
|
Управление |
Повышение устойчивости |
Повышение устойчивости оконечных устройств, сервисов, приложений и инфраструктуры. |
Изоляция |
Изоляция пользователей, систем и сервисов для сдерживания и защиты. |
|
Обеспечение выполнения |
Обеспечение выполнения политики разграничения доступа, политик безопасности и противодействие угрозам безопасности. |
Вышеописанную концепцию следует использовать при создании каждого сегмента сети[3]. При этом определяются наиболее подходящие для конкретной среды технологии и практические рекомендации, чтобы можно было выполнить каждую из шести ключевых мер. Эти технологии и функции в масштабах всей сети обеспечивают контроль сетевых операций, реализуют сетевую политику и решают проблемы аномального трафика. Средствами мониторинга и обеспечения выполнения политик являются стандартные элементы сетевой инфраструктуры, такие как маршрутизаторы и коммутаторы.
1.2 Классификация сетевых атак и основные методы защиты от них
Каждую сетевую атаку можно в общем случае разбить на 5 этапов (таблица 1.3). В реальной ситуации некоторые шаги могут быть пропущены.
Таблица 1.3 - Основные классы сетевых атак
Класс сетевой атаки |
Описание класса |
1. Исследование |
Получение общей информации о компьютерной системе (КС) |
1.1 Социотехника |
Получение информации посредством вежливого втирания в доверие по телефону, электронной почте и т.п. |
1.2 Непосредственное вторжение |
Получение информации посредством физического доступа к оборудованию сети |
1.3 Разгребание мусора |
Получение информации из мусорных корзин или архивов |
1.4 Поиск в WEB |
Получение информации из интернета посредством общедоступных поисковых систем |
1.5 Изучение WHOIS |
Получение информации из регистрационных данных о владельцах доменных имён, IP-адресов и автономных систем |
1.6 Изучение DNS зон |
Получение информации посредством использования сервиса доменных имен |
2. Сканирование |
Получение информации об инфраструктуре и внутреннем устройстве КС |
2.1 Поиск активных устройств |
Получение информации об активных устройствах КС |
2.2 Трассировка маршрутов |
Определение топологии КС |
2.3 Сканирование портов |
Получение информации об активных сервисах, функционирующих в КС |
3. Получение доступа |
Получение привилегированных прав на управление узлами КС |
3.1 Переполнение стека |
Выполнение произвольного кода в результате вызванного злоумышленником сбоя в программном обеспечении |
3.2 Атака на пароли |
Подбор паролей из списка стандартных или по специально сгенерированному словарю, перехват паролей |
3.3 Атаки на WEB - приложения |
Получение доступа в результате эксплуатации уязвимостей в открытых WEB-приложениях КС |
3.4 Сниффинг |
Получение доступа посредством пассивного (прослушивание) и активного (подмена адресатов) перехвата трафика КС |
3.5 Перехват сеанса связи |
Получение доступа вследствие перехвата авторизационных данных текущих сеансов пользователей КС |
4. Полезная нагрузка |
Эксплуатация полученных прав для достижения целей взлома |
4.1 Поддержание доступа |
Установка систем удаленного администрирования |
4.2 DOS-атаки |
Вывод из строя устройств и отдельных сервисов КС |
4.3 Обработка конфиденциальной информации |
Перехват, копирование и/или уничтожение информации |
5. Заметание следов |
Сокрытие факта проникновения в КС от систем защиты |
5.1 Стирание системных логов |
Удаление данных архивов приложений и сервисов КС |
5.2 Сокрытие признаков присутствия в сети |
Туннелирование внутри стандартных протоколов (HTTP, ICMP, заголовков TCP и т.п.) |