Средства защиты от несанкционированного доступа (СЗИ от НСД)

Средства защиты информации

Средство защиты информации (или СЗИ) – техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

В первой главе приводилась классификация средств защиты информации. В разделе 5.1 приводится более полное ее рассмотрение с примерами.

Классификация средств защиты информации

Все средства защиты можно классифицировать следующим образом:

¾ Средства защиты от несанкционированного доступа (НСД):

· Средства авторизации;

· Мандатное управление доступом;

· Избирательное управление доступом;

· Управление доступом на основе ролей;

· Протоколирование (или аудит).

¾ Системы мониторинга сетей:

· Системы обнаружения и предотвращения вторжений (IDS/IPS);

· Системы предотвращения утечек конфиденциальной информации (DLP-системы).

¾ Анализаторы протоколов;

¾ Антивирусные средства;

¾ Межсетевые экраны;

¾ Криптосредства;

¾ Системы резервного копирования.

¾ Системы бесперебойного питания:

· Источники бесперебойного питания;

· Резервирование нагрузки;

· Генераторы напряжения.

¾ Системы аутентификации:

· Пароль;

· Ключ доступа;

· Сертификат;

· Биометрия.

Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

¾ Средства предотвращения взлома корпусов и краж оборудования (опечатывание корпуса).

¾ Инструментальные средства анализа систем защиты:

· Мониторинговый программный продукт.

Средства защиты от несанкционированного доступа (СЗИ от НСД)

Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами.

Согласно Руководящему документу «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» от 30 марта 1992г. устанавливается семь классов защищенности средств вычислительной техники (далее СВТ) от НСД к информации (Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем). Самый низкий класс — седьмой, самый высокий — первый.

Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:

первая группа содержит только один седьмой класс;
вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
четвертая группа характеризуется верифицированной защитой и содержит только первый класс.

Выбор класса защищенности СВТ для автоматизированных систем, создаваемых на базе защищенных СВТ, зависит от грифа секретности обрабатываемой в АС информации, условий эксплуатации и расположения объектов системы.

Перечень показателей по классам защищенности СВТ приведен в таблице 5.1.1.1.

Обозначения:

"-" – нет требований к данному классу;

"+" – новые или дополнительные требования;

"=" – требования совпадают с требованиями к СВТ предыдущего класса.

Таблица 5.1.1.1 – Требования к показателям защищенности СВТ

Наименование показателя	Класс защищенности
Наименование показателя	6	5	4	3	2	1
Дискреционный принцип контроля доступа	+	+	+	=	+	=
Мандатный принцип контроля доступа	-	-	+	=	=	=
Очистка памяти	-	+	+	+	=	=
Изоляция модулей	-	-	+	=	+	=
Маркировка документов	-	-	+	=	=	=
Защита ввода и вывода на отчуждаемый физический носитель информации	-	-	+	=	=	=
Сопоставление пользователя с устройством	-	-	+	=	=	=
Идентификация и аутентификация	+	=	+	=	=	=
Гарантии проектирования	-	+	+	+	+	+
Регистрация	-	+	+	+	=	=
Взаимодействие пользователя с КСЗ¹	-	-	-	+	=	=
Надежное восстановление	-	-	-	+	=	=
Целостность КСЗ	-	+	+	+	=	=
Контроль модификации[1]	-	-	-	-	+	=
Контроль дистрибуции	-	-	-	-	+	=
Гарантии архитектуры	-	-	-	-	-	+
Тестирование	+	+	+	+	+	=
Руководство для пользователя	+	=	=	=	=	=
Руководство по КСЗ	+	+	=	+	+	=
Тестовая документация	+	+	+	+	+	=
Конструкторская (проектная) документация	+	+	+	+	+	+

Приведенные в данном разделе наборы требований к показателям каждого класса являются минимально необходимыми.

Седьмой класс присваивают СВТ, к которым предъявлялись требования по защите от НСД к информации, но при оценке защищенность СВТ оказалась ниже уровня требований шестого класса.

На сегодняшний день существует достаточно много СЗИ от НСД. Рассмотрим некоторые из них:

· СЗИ от НСД «Dallas Lock 7.7» (ООО «Конфидент»)

Система предназначена для защиты компьютера, подключенного к локальной вычислительной сети, от несанкционированного доступа. СЗИ «Dallas Lock 7.7» может быть установлено на компьютеры, работающие под управлением следующих ОС: Windows ХР (Service Pack не ниже 3), Windows Server 2003 (SP не ниже 2), Windows Vista (SP не ниже 2), Windows Server 2008 (SP не ниже 2), Windows 7. «Dallas Lock 7.7» поддерживает только 32-х битные версии операционных систем.

Система «Dallas Lock 7.7» представляет собой программное средство защиты от несанкционированного доступа к информационным ресурсам компьютеров с возможностью подключения аппаратных идентификаторов.

СЗИ от НСД «Dallas Lock 7.7» обеспечивает:

Защиту информации от несанкционированного доступа на ПЭВМ в ЛВС через локальный, сетевой и терминальный входы.

Разграничение полномочий и аудит действий пользователей по доступу к файловой системе и другим ресурсам компьютера. Разграничения касаются всех пользователей – локальных, сетевых, доменных, терминальных.

· СЗИ от НСД Secret Net 6 (ООО «Код безопасности»)

СЗИ от НСД Secret Net можно использовать для защиты:

конфиденциальной информации и государственной тайны в автоматизированных системах до класса 1Б включительно;

информационных систем персональных данных до класса К1 включительно.

Есть два варианта исполнения в зависимости от класса автоматизированных систем: Secret Net 6 для АС 1Б, Secret Net 6 (вариант К) для АС 1Г.

Secret Net 6 (вариант К) может применяться в ИСПДн К1 без использования дополнительных средств защиты от загрузки с внешних носителей (в зависимости от модели угроз).

Возможности Secret Net 6:

Аутентификация пользователей.

Обеспечение разграничения доступа к защищаемой информации и устройствам.

Доверенная информационная среда.

Контроль каналов распространения конфиденциальной информации.

Контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации.

Централизованное управление политиками безопасности, позволяет оперативно реагировать на события НСД.

Оперативный мониторинг и аудит безопасности.

Масштабируемая система защиты, возможность применения Secret Net (сетевой вариант) в организации с большим количеством филиалов.

· ПАК «Соболь» (версия 3.0.) (ООО «Код Безопасности»)

Электронный замок «Соболь» - это аппаратно-программное средство защиты компьютера от несанкционированного доступа (аппаратно-программный модуль доверенной загрузки).

Электронный замок «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.

Возможности электронного замка "Соболь":

Аутентификация пользователей;

Блокировка загрузки ОС со съемных носителей;

Контроль целостности программной среды;

Контроль целостности системного реестра Windows;

Контроль конфигурации компьютера (PCI-устройств, ACPI, SMBIOS);

Сторожевой таймер;

Регистрация попыток доступа к ПЭВМ.

· СЗИ от НСД «Блокхост-сеть» (ООО «Газинформсервис»)

Сетевая система защиты информации (СЗИ) «Блокхост-сеть» предназначена для комплексной многофункциональной защиты от несанкционированного доступа (НСД) информационных ресурсов локальных / сетевых рабочих станций и серверов, функционирующих под управлением ОС Windows 2000/XP/2003.

Система может использоваться при создании автоматизированных систем до класса защищенности 1В включительно, в том числе – информационных систем персональных данных до класса К1 включительно.

СЗИ от НСД «Блокхост-сеть» обеспечивает защиту от НСД к информации, содержащейся на:

локальном компьютере (без подключения к сети);

сетевом компьютере (как в одноранговой, так и в доменной сети);

рабочих станциях, объединенных в сеть, с установленной на каждой из них клиентской частью СЗИ «Блокхост-сеть».

СЗИ от НСД «Блокхост-сеть» дополняет и усиливает функциональные возможности операционной системы по защите информации.

СЗИ от НСД «Блокхост-сеть» может использоваться:

при создании контролируемого защищенного доступа к ресурсам рабочей станции в локальной сети организации или автономного ПК;

для обеспечения качественной защиты от несанкционированного доступа к рабочим станциям;

при создании автоматизированных систем – до класса защищенности 1В включительно;

при создании информационных систем персональных данных – до класса К1 включительно.

Также все вышеперечисленные СЗИ от НСД поддерживают персональные идентификаторы, такие как Rutoken, USB-ключи eToken PRO (Java), смарт-карты eToken PRO (Java), смарт-карты eToken PRO.

Системы мониторинга сетей

Системы обнаружения и предотвращения вторжений (IDS/ IPS)

Система обнаружения вторжений (IDS – Intrusion Detection System) - программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей)

Обычно архитектура IDS включает:

сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы;
подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров;
хранилище, обеспечивающее накопление первичных событий и результатов анализа;
консоль управления, позволяющая конфигурировать IDS, наблюдать за состоянием защищаемой системы и IDS, просматривать выявленные подсистемой анализа инциденты.

Существует несколько способов классификации IDS в зависимости от типа и расположения сенсоров, а также методов, используемых подсистемой анализа для выявления подозрительной активности. Во многих простых IDS все компоненты реализованы в виде одного модуля или устройства.

Существуют пассивные и активные IDS. В пассивной IDS при обнаружении нарушения безопасности, информация о нарушении записывается в лог приложения, а также сигналы опасности отправляются на консоль и/или администратору системы по определенному каналу связи. В активной системе, также известной как Система Предотвращения Вторжений (IPS — Intrusion Prevention System), IDS ведет ответные действия на нарушение, сбрасывая соединение или перенастраивая межсетевой экран для блокирования трафика от злоумышленника. Ответные действия могут проводиться автоматически либо по команде оператора.

Классификация IPS:

· Сетевые IPS (Network-based Intrusion Prevention, NIPS): отслеживают трафик в компьютерной сети и блокируют подозрительные потоки данных.

· IPS для беспроводных сетей (Wireless Intrusion Prevention Systems, WIPS): проверяет активность в беспроводных сетях. В частности, обнаруживает неверно сконфигурированные точки беспроводного доступа к сети, атаки человек посередине, спуфинг mac-адресов.

· Поведенческий анализ сети (Network Behavior Analysis, NBA): анализирует сетевой трафик, идентифицирует нетипичные потоки, например DoS и DDoS атаки.

· Система предотвращения вторжений для отдельных компьютеров (Host-based Intrusion Prevention, HIPS): резидентные программы, обнаруживающие подозрительную активность на компьютере.

Достаточно часто встречаются случаи, когда функции системы обнаружения и предотвращения вторжений выполняются другими средствами защиты информации, например межсетевыми экранами или антивирусными средствами. Это говорит о том, что в составе СЗИ есть модули IDS/IPS. Например, антивирус Kaspersky Open Space Security (ЗАО «Лаборатория Касперского»), персональный межсетевой экран ViPNet Personal Firewall (ОАО «ИнфоТеКС»), ПК «ViPNet Client версия 3.1» (ОАО «ИнфоТеКС»), межсетевой экран WatchGuard XTM 21 (WatchGuard Technologies, Inc.).

Но есть и отдельно реализованные IDS/IPS. Например, Security Studio Endpoint Protection HIPS (ООО «Код Безопасности»).

Системы предотвращения утечек конфиденциальной информации (DLP-системы)

Предотвращение утечек (англ. Data Loss Prevention, DLP) — технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.

DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.

Сегодня все больше компаний приходят к выводу, что использование DLP-систем является такой же необходимостью, как использование традиционных средств информационной безопасности: межсетевых экранов, систем обнаружения и предотвращения вторжений, антивирусов и др. В то время как традиционные средства информационной безопасности направлены на защиту от внешних угроз, DLP-системы призваны защитить от внутренних угроз: утечки конфиденциальной информации за пределы корпоративного периметра.

При выборе DLP-системы сначала необходимо знать, насколько хорошо данная система может детектировать конфиденциальную информацию и каков процент ложных срабатываний системы.

Лингвистический анализ первым начал применяться при построении DLP-систем. Поиск осуществляется по ключевым словам и регулярным выражениям. Суть его заключается в том, что создаются списки ключевых слов и регулярных выражений, на основании которых осуществляется обнаружение конфиденциальной информации в потоке данных. Недостатком данного метода является его трудоемкость: он требует существенных трудозатрат на создание и поддержание в актуальном состоянии словарей. А также высокая доля ложных срабатываний (может достигать порядка 50).

Анализ с помощью шаблонов является продолжением предыдущего метода. Он основан на использовании специальных шаблонов, с помощью которых можно выявлять конфиденциальную информацию. Например, шаблон паспортных данных, содержащий имя, фамилию, а также определенную последовательность цифр (серия и номер) или шаблон ИНН, пенсионного свидетельства, кредитной карты.

Поиск по файлам предполагает использование некоторыми DLP-системами атрибутов файла (имя, размер, тип файла) для поиска конфиденциальной информации. Сам по себе этот метод малоэффективен, но является хорошим дополнением к другим методам.

Поиск по цифровым отпечаткам основывается на математическом преобразовании исходных данных, в результате которого создается база цифровых отпечатков конфиденциальных данных. Дальнейший поиск конфиденциальной информации осуществляется за счет сравнения передаваемых данных с отпечатками в базе DLP-системы.

Современные DLP-системы как западных, так и отечественных производителей используют комплекс методов для более точного обнаружения конфиденциальной информации. Однако западные производители основной упор делают на технологию цифровых отпечатков. Данная технология у них хорошо отлажена, и нередко алгоритм вычисления цифровых отпечатков является запатентованной собственностью компании. Другие методы являются дополнением к методам цифровых отпечатков. Если рассматривать отечественные DLP-системы, то в них упор делается в основном на лингвистический анализ, метод цифровых отпечатков является дополнительной возможностью и не всегда работает корректно.

Исторически большинство российских DLP-систем развивалось, основываясь на поиске инцидентов в архиве данных. Система делает теневое копирование (или зеркалирование) всего потока информации с ее последующим анализом на предмет наличия утечек конфиденциальной информации. Иными словами, после того как уже произошел инцидент, система предоставляет администратору возможность контекстного поиска данных, касающихся данного инцидента: кто, когда и как передал конфиденциальную информацию за пределы контролируемой зоны.

Преимуществом такого подхода является полнота собранной информации – ничего не упускается, в архиве трафика можно отыскать практически любые данные, касающиеся утечки конфиденциальной информации. Однако существенным недостатком является неспособность таких DLP-систем предотвращать утечки в реальном времени, поскольку анализ инцидентов происходит уже после того, как утечка произошла. Другим недостатком является необходимость хранения больших объемов данных. При копировании всего трафика объем архива может вырасти очень быстро до террабайтных размеров, а поиск нужной информации в таком объеме может занять от нескольких минут до нескольких часов или даже дней. Работа с такой системой «съедает» людской ресурс: администратор системы тратит часы рабочего времени на анализ инцидентов информационной безопасности.

Если говорить о подходах к построению DLP-систем у западных производителей, то они идут по пути оптимизации затрат на хранение информации. Большинство зарубежных производителей не делает копии всего трафика, вместо этого хранится информация только о тех событиях, которые система отнесла к инцидентам.

На российском рынке DLP-систем лидирующие позиции занимают как решения известных зарубежных производителей, например Websense, так и решения отечественных разработчиков Infowatch, DeviceLock, SeachInform (Белоруссия).

Анализаторы протоколов

Современные анализаторы протоколов должны следить за сетью и собирать подробную статистику об ее работе. Последнее поколение анализаторов протоколов предоставляет возможность всестороннего слежения как за производительностью и загруженностью всей сети, так и за функционированием отдельного приложения индивидуального пользователя. Анализаторы протоколов имеют определенные преимущества перед другими технологиями: анализ и нахождение неисправностей по ходу работы, оценка производительности при планировании сети и решение проблем функционирования сетевых приложений, что недоступно для систем удаленного контроля и управления сетью.