Поможем написать учебную работу
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Введение. 3
Обеспечение сетевой безопасности. 3
Активные СЗИ. 3
Межсетевой экрн ФПСУ-IP 3
“ФПСУ-IP/Клиент” 3
Пассивные СЗИ. 3
Обеспечение криптографической безопасности. 3
Обеспечение безопасности автоматизированных систем. 3
Организация антивирусной безопасности. 3
Список используемой литературы 3
Я прошел практику в Северо-Западном банке Сбербанка России, в отделе информационной безопасности управления безопасности (ОИБУБ). Отдел занимается общей координацией деятельности по обеспечению информационной безопасности и проведением проверок (плановых и внезапных) подразделений банка. Общее представление о целях, задачах, основных принципах и общих требованиях по обеспечению информационной безопасности я получил в первый день практики из документа «Политика информационной безопасности Сбербанка России». Этот документ формирует базу для понимания и построения системы информационной безопасности банка.
Далее в в процессе прохождения практики я ознакомился со средствами и способами обеспечения информационной безопасности по следующим направлениям:
Методам и средствам обеспечения сетевой безопасности я уделил наибольшее внимание в силу личных предпочтений.
Определяют и детализируют политику ИБ в этих областях, наряду с другими, нормативные документы:
Я ознакомился со следующими аспектами ОСБ:
- общим обеспечения сетевой безопасности на примере общей схемы архитектуры вычислительных сетей банка.
- организацией защищенного взаимодействия по внешним каналам связи, защиты внутренней сети банка от внешних воздействий с использованием активных средств защиты информации (межсетевый экраны, mail-фильтры и др.).
- проведением аудита текущего состояния сетевого оборудования, а также проверки выполнения правил организации доступа к информационным ресурсам вычислительных сетей, проверки настройки механизмов безопасности операционных систем на рабочих станциях(в частности использования на компьютерах внешних портов и устройств передачи информации, содания разделяемых сетевых ресурсов), с использованием пассивных средств по защите информации (сканеры портов, системы обнаружения атак, снифферы).
Остановлюсь на каждом аспекте подробнее.
ЛВС банка имеет распределенную структуру, что является следствием создания единой вычислительной сети всех структурных подразделений банка. Связь с отделениями осуществляется через собственные каналы связи или через выделенные каналы связи, арендуемые у провайдеров.
Одним из важных аспектов политики обеспечения безопасности на периметре сети является физическое отделение сети интернет от внутренней сети банка.
Для доступа в интернет сотрудников банка, а также получения какой либо информации(например почтовых вложений) организована система «интернет-киосков» - машин, отделенных от сети банка и подключенных к сети интернет. Любой документ, получаемый из интернета сначала проходит антивирусную проверку на них, предварительный просмотр и далее при необходимости переноситься на компьютер работника/попадает во внутреннюю сеть.
Также для обеспечения защиты периметра сети созданы специальные DMZ зоны (демилитаризованные зоны). Это особый сегмент сети, в котором находятся сервера, отвечающие исключительно на запросы от внешних клиентов и организаций или, при необходимости, наоборот - инициирующие запросы «наружу». Они ограничены в доступе к основным сегментам внутренней сети банка с помощью межсетевого экрана. При этом не существует прямых соединений между внутренней сетью и внешними клиентами и организациями: любые соединения возможны только через DMZ. В итоге, для работой с удаленными клиентами осуществляется по такому длинному пути:
Локальная сеть МЭ DMZ МЭ открытые каналы связи (МЭ) - клиент.
Весь информационный обмен между внутренней сетью банка и удаленными сегментами по открытым каналам связи фильтруется аппаратными фаерволами зарубежных производителей (CISCO,HUAWEI) и отечественной разработкой «ФПСУ-IP» ™. Точнее, ФПСУ это не просто фаервол, это целый комплекс систем защиты информации от несанкционированного доступа и шифрования , аббревиатура которого расшифровывается как “Фильтр пакетов сетевого уровня IP” фирмы “АМИКОН”. В этот комплекс входит межсетевой экран и VPN-построитель «ФПСУ-IP» ™.
Семейство комплексов «ФПСУ-IP» разработано ООО “АМИКОН” при участии ООО Фирма “ИнфоКрипт”, целиком базируется на отечественных разработках и стандартах. Предназначено для межсетевого экранирования и разграничения доступа в Intranet/Extranet на сетевом и транспортном уровнях, построения частных сетей на базе общедоступных, оптимизации и повышения пропускной способности каналов связи. Комплекс обладает широким спектром предоставляемых сервисов, в том числе с применением технологии VPN (виртуальные частные сети) на базе построения множественных защищенных туннелей для обмена данными. Качество и надежность комплекса подтверждены сертификатом ФСТЭК (сертификат № 1091 от 31.10.2005г., по 3 классу защищенности в соответствии с РД на межсетевые экраны). В качестве криптоядра комплексов используется сертифицированное ФСБ (сертификат № СФ/124-0888 от "01" июня 2006г., по уровню КС1) средство криптографической защиты информации (СКЗИ «Туннель/Клиент»). Комплексы успешно выдержали разносторонние испытания в независимых организациях и приняты в качестве базовых VPN-средств рядом крупных заказчиков, имеющих сильно распределенные и разнородные сети передачи данных.
Межсетевой экран программно-аппаратного комплекса ФПСУ-IP является программно-техническим средством защиты от несанкционированного доступа к информации. Он аппаратно подключается в разрыв цепи между защищаемой локальной подсетью и остальными абонентами таким образом, чтобы все входящие и исходящие из подсети межсетевые потоки данных проходили через МЭ ФПСУ-IP. Благодаря такому способу подключения не требуется никаких дополнительных настроек сетевого оборудования (в ФПСУ реализован стандартный механизм ARP-proxy) (за исключением нескольких особых случаев, связанных с режимом сокрытия топологии сети (опцией IP-пакетов Source route и Record route)).
Важной функцией с точки зрения целостности данных, защиты их от изменения является контроль целостности информации на жестком диске компьютера. Программное обеспечение МЭ функционирует в собственной изолированной и функционально замкнутой операционной среде, создаваемой подсистемой ACCESS-TM SHELL, которая осуществляет контроль за неизменностью определенных областей данных. Администратор имеет возможность осуществить дополнительный контроль целостности программных и информационных частей МЭ с использованием специальной подсистемы контроля целостности модулей МЭ ФПСУ-IP, в том числе путем сравнения с эталонными контрольными суммами, указанными в формуляре на СКЗИ ″Туннель 2.0″. Проверка ПО ФПСУ-IP происходит по хранящимся на НЖМД (IDE Flash Disk) контрольным эталонным суммам или по специальному файлу-заданию с контрольными суммами, считываемого с внешнего носителя.
В процессе практики я ознакомился с основными функциями ФПСУ по реализации межсетевого экранирования (фильтрации IP-пакетов по определенным критериям) и построения VPN-туннелей с аналогичными МЭ ФПСУ-IP для организации защищенных режимов передачи данных.
Остановлюсь на них подробнее.
Главный принцип работы межсетевого экрана ФПСУ-IP - "все, что не описано запрещено". Описать же можно фильтрацию по следующим критериям пакетов:
• IP-адреса отправителя и получателя;
• идентификационные данные клиентов;
• используемые протоколы транспортного уровня;
• разрешенные режимы работы абонентов;
• разрешенные связи абонентов и маршрутизаторов по конкретным протоколам управления;
• разрешенные информационные взаимодействия абонентов (по пересекающейся совокупности параметров: протоколам, TCP/UDP-портам, интервалам времени дней недели и т.п.), приписанных к соответствующим логическим группам (до 64 групп на каждом комплексе).
При построения корпоративной распределенной сети, сегменты которой вследствие своей удаленности соединяются арендуемыми у провайдеров выделенными каналами связи на выходе из каждой сети ставится ФПСУ-IP, обеспечивающий связь с другим сегментом (через ФПСУ-IP на его входе) с помощью создания туннеля связи с шифрованием.
Шифрование канала имеет огромную важность, т.к.при передачи данных в удаленные сегменты данные передаются по выделенным каналам связи провайдеров . Провайдер несет юридическую ответственность за конфиденциальность передаваемых данных, однако нельзя исключать возможность снятия информации. В случае же ее шифрования полученная информация не будет иметь коммерческой ценности, т.к. вследствие использования современных алгоритмов шифрования (используется средство криптографической защиты информации (СКЗИ) "Туннель 2.0", что позволяет осуществлять шифрование передаваемой информации в соответствии с ГОСТ 28147-89. ) восстановление исходных данных невозможно за разумный промежуток времени.
Кроме основных функций, у ФПСУ-IP есть ряд дополнительных возможностей.
Так ФПСУ возможно безопасно дистанционно контролировать и управлять работой межсетевого экрана из любого фрагмента сети. Эта возможность предоставляется нескольким (максимально четырем) зарегистрированным на МЭ администраторам. Безопасность достигается сложной системой двусторонней идентификации и аутентификации.
С помощью ФПСУ интересно решается такая проблема, как удаленное конфигурирование маршрутизаторов.
Роутеры, используемые для маршрутизации между удаленными сегментами сети находятся в незащищенном ФПСУ сегменте сети (со стороны общей сети они стоят до ФПСУ), соответственно конфигурацию роутеров возможно было бы производить извне, не уполномоченными на то лицами. Для решения этой проблемы была использована схема, при которой для конфигурировании удаленного роутера создается защищенный канал между ФПСУ-IP на выходе сети, из которой ведется управление конфигурацией роутера и ФПСУ-IP на входе сети, маршрутизируемой конфигурируемым роутером. А далее управляющая информация с этого ФПСУ-IP (защищенная от подмены вследствие защищенности канала между ФПСУ-IP) уже поступает на конфигурируемый роутер. Соответственно на маршрутизаторе разрешен управляющий трафик со стороны ФПСУ и запрещен со стороны общей сети.
Интересной мне показалась также возможность разделения по заданным администратором критериям общего потока посылаемых через VPN-туннель данных. Данные разделяются на несколько (до восьми) различных потоков в ip-пакете в поле номера передаваемого протокола устанавливаются различные номера, по которым маршрутизатор соотносит их с прописанными в нем правилами приоритетов для различных видов IP трафика).
Еще несколько возможностей ФПСУ-IP добавляют дополнительные аппаратные надстройки, например подсистема автоматического старта, обеспечивающая автоматическое возобновление работы после сбоев электропитания. Или при комплектации дополнительной третьей сетевой картой, два межсетевых экрана ФПСУ-IP могут работать в режиме горячего резервирования. В этом режиме МЭ подключаются к локальной сети параллельно и объединяются между собой, при этом обмен информации между ними происходит в защищенном режиме. На каждый момент времени один МЭ является активным, выполняя все функциональные операции, а второй находится в резерве в режиме ожидания, периодически проверяя работоспособность первого. В случае отсутствия ответа от активного компонента или при возникновении аппаратных неполадок на нем резервный МЭ в течение 3 секунд автоматически принимает управление работой МЭ на себя. Передача функций резервному МЭ может также осуществляться вручную.
Однако отсутствует функции разделении нагрузки между ФПСУ, при перегрузке работающего ФПСУ(и как следствие возможном замедлении в работе) второй будет считать его функционирующим исправно и будет также оставаться в неактивном режиме.
В комплекс ФПСУ-IP помимо межсетевого экрана входит “ФПСУ-IP/Клиент” это программно-аппаратный комплекс, обеспечивающий безопасный информационный обмен между удаленным абонентским пунктом (рабочей станцией) и защищенной комплексом ФПСУ-IP сетью через открытые сети передачи данных. Комплекс ФПСУ-IP/Клиент устанавливается на рабочей станции удаленного пользователя и выполняет функции межсетевого экрана и VPN построителя для информационных взаимодействий «рабочие станции защищенные сервера»
Особенностью технологии ФПСУ-IP/Клиент является отсутствие привязки по IP-адресу что позволяет работать с любого ПК в сети, и при этом обеспечивается строгая двухсторонняя аутентификация всех взаимодействий РС и ФПСУ-IP (обеспечивается средствами комплекса ФПСУ-IP).
МЭ «ФПСУ-IP/Клиент» состоит из программного обеспечения пользователя, содержащего, в том числе перехватчики пакетов на уровне NDIS семейства Windows, а также из устройства «VPN-key», хранящего уникальный идентификатор клиента, ключевую и служебную информацию.
Назначение персонального средство защиты информации VPN-key®
ООО «АМИКОН» совместно с ООО «ИнфоКрипт» разработало модификацию специализированного USB-устройства VPN-Key® с аппаратной реализацией ЭЦП на базе российских криптографических алгоритмов. Данное устройство реализует функции формирования и проверки электронной цифровой подписи и шифрования информации, а также генерацию соответствующих криптографических ключей.
К пассивным средствам относятся сканеры уязвимостей, системы обнаружения атак(IDS) и такое средство пассивного мониторинга как сниффер.
Сканеры уязвимостей это программные средства, служащие для осуществления диагностики и мониторинга сетевых компьютеров, позволяющее сканировать сети, компьютеры и приложения на предмет обнаружения возможных проблем в системе безопасности. С помощью соответствующего инструментария путем отправления пакетов данных и анализа ответов могут быть исследованы работающие на машине службы (Web-сервер, FTP-сервер и т. д.), установлены номера их версий и используемая операционная система. Работу рассмотренных сканеров можно разбить на 2 шага:
Системы обнаружения атак (IDS - Intrusion detection system) отличаются от сканеров наличием шаблона атаки (нештатной ситуации). Например если обнаружено большое количество запросов на TCP соединение с широким диапазоном различных портов, то, вероятней всего, проводится сканирование портов. Системы предотвращения атак (IPS - Intrusion prevention system) могут взаимодействовать с сетевым оборудованием, так например в вышеописанном примере дать команду на блокировку хоста. Эти системы для поддержания актуального состояния безопасности требуют постоянного обновления сигнатур.
Сниффер сетевой анализатор трафика, предназначенная для перехвата и последующего анализа сетевого трафика, предназначенного для других узлов. Во время работы сниффера сетевой интерфейс переключается в т.н. «режим прослушивания», что и позволяет ему получать все пакеты, проходящие через сетевую карту, в том числе и пакеты, адресованные другим интерфейсам в сети.
Системными администраторами снифферы часто применяются с целью локализовать неисправность сети или ошибку конфигурации сетевых агентов. Анализ прошедшего через сниффер трафика позволяет обнаружить вирусный и закольцованный трафик.
Основными функциями системы криптографической защиты являются шифрование информации на дисках и в каналах связи и генерация и проверка электронной цифровой подписи ,генерация и распределение ключей.
Электронная цифровая подпись (ЭЦП) реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки. ЭЦП (открытый и закрытый ключи) генерируется в ОИБУБ владельцем с помощью специального программного обеспечения и специализированных автоматизированных систем путем криптографического преобразования информации. ЭЦП является аналогом обычной подписи для электронных документов, позволяющим идентифицировать владельца закрытого ключа подписи, а также установить отсутствие искажения информации в электронном документе. Использование ЭЦП в качестве аналога собственноручной подписи предполагает визуальный контроль владельцем ЭЦП содержания электронного документа перед его подписанием и отправкой.
Подписание электронного документа закрытым ключом ЭЦП обеспечивает возможность его передачи по открытым каналам связи. При этом, получатель проверяет авторство электронного документа (его создателя), его целостность и подлинность с помощью соответствующего открытого ключа ЭЦП.
Закрытый ключ ключ, самостоятельно изготавливаемый владельцем электронной цифровой подписи с использованием программного обеспечения по генерации ключей ЭЦП и предназначенный для формирования им электронной цифровой подписи электронных документов. Закрытый ключ хранится на электронном носителе Touch Memory.
Открытый ключ ключ, автоматически формируемый при изготовлении владельцем электронной цифровой подписи закрытого ключа и однозначно зависящий от него. Открытый ключ предназначен для проверки корректности электронной цифровой подписи. Открытый ключ считается принадлежащим владельцу, если он был зарегистрирован в соответствующих библиотеках открытых ключей.
PKI (Public Key Infrastructure) инфраструктура открытых ключей технология аутентификации с помощью открытых ключей, хранящихся в базе центра сертификации, который является основной структурой, формирующей цифровые сертификаты подчиненных центров сертификации и конечных пользователей. Центр сертификации сам формирует собственный секретный ключ, сертификат, содержащий открытый ключ данного центра и подписанный им самим. В чистом виде эта технология не применяется в банке. Применяются базы открытых ключей, которые сопровождаются специальными сотрудниками банка - функционирует удостоверяющий центр, который выдает сертификаты ключей подписей для использования в корпоративных информационных системах.
По сертификату ключа подписи можно установить подлинность ЭЦП и идентифицировать владельца ключа подписи. Удостоверяющий центр управляет выданными сертификатами ключей подписей (может аннулировать действие определенных сертификатов ключей подписей, приостанавливать их действие, вносить их в реестр сертификатов ключей подписей и т.д.), обеспечивает выдачу сертификата ключа подписи на бумажном носителе, предоставляет участникам корпоративных информационных систем иные связанные с применением ЭЦП услуги.
При использовании ЭЦП необходимо соблюдать правила хранения и использования носителя ключа ЭЦП, т.е. обеспечить надежную защиту от НСД для исключения возможности подделки электронных документов при его краже или несанкционированном использовании (например, подписать электронный документ от имени владельца ключа), для снижения уровня своего риска при использовании ЭЦП. Но даже при соблюдении всех условий срок действия ключей ЭЦП не может составлять более 2 лет.
При компрометации или подозрении на компрометацию конфиденциального ключа ЭЦП владелец ключа или другое лицо, установившее факт компрометации, обязано сообщить об этом руководителю своего подразделения и в подразделение защиты информационных технологий. Владелец ключа ЭЦП обязан безотлагательно прекратить эго использование. Администратор криптоключей должен незамедлительно организовать удаление соответствующего открытого ключа из всех баз. По факту компрометации конфиденциального ключа ЭЦП ОИБ проводит расследование. К нарушителям могут применяться любые меры дисциплинарного воздействия. При подозрение на мошенничество с использованием ЭЦП или наличии материального ущерба документы передаются в следственные органы.
ЭЦП широко применяется как при электронном документообороте внутри банка, так и при электронном документообороте с Клиентами банка, заключившими договора на обслуживание. Внедрение электронного документооборота с использованием ЭЦП повышает скорость прохождения банковских документов, а также обеспечивает их подлинность.
Правовые условия применения ЭЦП на территории России, а также общие требования ее применения в сферах государственного управления и в корпоративной информационной системе на территории РФ определены Федеральным законом № 1-ФЗ «Об электронной цифровой подписи». На территории РФ действует государственный стандарт ГОСТ Р 34.10-2001, обеспечивающий алгоритм ЭЦП, основанный на эллиптических кривых. Его стойкость основывается на сложности вычисления дискретного логарифма в группе точек эллиптической кривой, а также на стойкости хэш-функции по ГОСТ Р 34.11-94. После подписывания сообщения М к нему дописывается цифровая подпись и текстовое поле. В текстовом поле могут содержаться, например, дата и время отправки или различные данные об отправителе.
Банк применяет ключи ЭЦП, сформированные в соответствии с данным стандартом.
Основная работа по обеспечению безопасности АС:
В банке также есть хранилище, в которое передаются исходные коды ПО, установленного в банке. Регламент определяется документов «Порядок проведения контрольной компиляции с исходных текстов программ». В нем также определяется порядок доступа к ним (в присутствии представителя производителя АС). Соглашение о передаче исходных кодов прописывается в договоре между банком и разработчиком на поставку АС.
«Положение об администрировании АС», «Требования по обеспечению ИБ в автоматизированных банковских системах СБ РФ» являются нормативной базой для обеспечения ИБ в АС. Аттестация проводится в соответствии с документом «Порядок проведения аттестации АС», аналогичную роль для приёмо-сдаточных испытаний играет «Порядок проведения приёмо-сдаточных испытаний».
Тестирование любых обновлений на корректную работу с используемым в банке ПО, в том числе антивирусных баз, производится на отдельном специально оборудованном стенде, отделённом от локальной сети банка.
При организации системы антивирусной защиты в банке учитываются следующие факторы риска:
Установка и мониторинг работы АВПО, минимизация прав пользователей АРМ, защита от вирусов при электронном документообороте, контроль использования мобильных носителей информации, организация тестирования и обновления антивирусных баз повышает эффективность защитных свойств используемого АВПО.
В банке используется антивирусное ПО трех независимых производителей dr.Web (на «интернте-киосках», AV Kaspersky(АРМ пользователя), Symantec (сервера).
Все установленные на интернет киосках и АРМ пакеты АВПО подключены к соответствующим системам управления и мониторинга АВПО.
Администратор системы управления и мониторинга АВПО производит ежедневный мониторинг выпуска обновлений антивирусных баз АВПО на официальном ресурсе фирмы производителя или поставщика АВПО в сети интернет. База считается устаревшей по прошествии более 10 дней с ее выпуска .
Установка обновлений антивирусного и системного ПО без предварительного тестирования не производится, все обновления тестируются на специально отведенном парке машин на стабильную работу с установленным в банке ПО.
13