Как обеспечить информационную безопасность

На модерации Отложенный

В данной статье рассмотрены наиболее простые способы обеспечения информационной безопасности малого предприятия с помощью технических и программных средств. Автор описывает основные направления, по которым должно проводиться обеспечение информационной безопасности, а также в форме, понятной неспециалисту, раскрывает некоторые технические вопросы защиты от наиболее распространённых угроз. Статья ориентирована в первую очередь на руководителей высшего и среднего звена, но также будет полезна и другим категориям читателей.

Введение

Термин «информационная безопасность» не так давно вошёл в широкое употребление, хотя деятельность современного предприятия невозможно представить себе без персональных компьютеров. Этому есть простое объяснение: объём обрабатываемой и хранящейся в электронном виде информации для среднего предприятия в миллионы раз выше по сравнению с «бумажной». На компьютерах устанавливается сложное в настройке программное обеспечение, создаются трудные для восстановления схемы взаимодействия компьютеров и программ, рядовые пользователи обрабатывают огромные массивы данных.

Понятно, что любое нарушение работы выстроенной технологической цепочки приведёт к определённым потерям для предприятия. Таким образом, под информационной безопасностью (ИБ) будем понимать защищенность информационной среды предприятия от внешних и внутренних угроз её формированию, использованию и развитию.

На крупных предприятиях существуют специальные службы с немалым бюджетом, в задачи которых входит обеспечение ИБ, выявление, локализация и устранение угроз ИБ предприятия. Они используют специальное дорогостоящее программное и аппаратное обеспечение, подчас настолько сложное в обслуживании, что требуется особая подготовка персонала для работы с ним. Задачи руководства ИБ в таких организациях часто сводятся к выпуску директив с ключевыми словами: «углубить», «расширить», «повысить», «обеспечить» и т.д. Вся работа по обеспечению ИБ выполняется незаметно для руководства сотрудниками соответствующих служб, и описание методов их работы - это тема для отдельной большой статьи.

В то же время ИБ малых предприятий с не очень большим числом рабочих мест для специалистов (часто не более 50) уделяется не слишком много внимания. Однако существующая организационно-техническая обстановка на данный момент такова, что большинство существующих угроз ИБ, в силу хорошей защищённости от них больших предприятий, становятся актуальными как раз для предприятий меньшего размера. Обычно такие предприятия имеют весьма скромный IT-бюджет, позволяющий приобрести только необходимое оборудование, ПО и содержать одного системного администратора. По этой причине в данной статье мы рассмотрим именно методы обеспечения ИБ, не требующие больших затрат и легко реализуемые системным администратором средней квалификации.

В первую очередь построим модель угроз ИБ для малого предприятия.

1. Угрозы информационной безопасности

Только понимание всего спектра угроз позволит построить эффективную систему защиты. Для начала рассмотрим упрощённую классификацию угроз.

По отношению к предприятию угрозы делятся на внутренние и внешние. Соответственно, хакерская атака на компьютеры компании будет рассматриваться как внешняя угроза, а занесение вируса в сеть сотрудниками - как внутренняя. К внутренним угрозам также относят кражу информации сотрудниками.

По намеренности угрозы бывают преднамеренными и непреднамеренными. Например, к непреднамеренным угрозам можно отнести случайное удаление данных сотрудником. Устранить от преднамеренные угрозы сложнее, так как вредоносное ПО или человек, угрожающие предприятию, имеют чёткий план действий по преодолению возможной защиты.

По цели можно выделить угрозы, направленные на получение данных, уничтожение данных, изменение или внесение данных, нарушение работы ПО, контроль над работой ПО и прочие. Скажем, одной из наиболее частых хакерских атак на компьютеры предприятий является получение закрытых сведений для дальнейшего их незаконного использования (пароли к интернет-банкам, учётным записям электронной почты и т.д.). Такую угрозу можно классифицировать как внешнюю преднамеренную угрозу, направленную на получение данных.

Следует также понимать, что нельзя защититься от всех мыслимых и немыслимых угроз ИБ хотя бы потому, что невозможно предусмотреть действия злоумышленников, не говоря уж обо всех ошибках пользователей. Однако существует ряд общих методов защиты, которые позволят сильно понизить вероятность реализации широкого спектра угроз и обезопасить предприятие от различного рода атак и ошибок пользователей. Далее мы подробнее рассмотрим наиболее эффективные из них.

2. Использование межсетевого экрана для обеспечения ИБ

Одним из наиболее эффективных методов защиты сети предприятия от внешних угроз является использование межсетевого экрана - программного или аппаратного маршрутизатора, совмещённого с firewall (особой системой, осуществляющей фильтрацию пакетов данных).

Ни для кого не секрет, что данные в сети, будь то локальная сеть или Интернет, передаются относительно небольшими пакетами. Каждый пакет несёт в себе признак используемого протокола, адреса источника и приёмника, а так же номера соответствующих портов. Последние - это числа, по которым операционная система распознаёт, какое приложение получит конкретный пакет данных. Например, при загрузке страницы с сервера http://ya.ru интернет-браузер получает данные с веб-сайта по протоколу HTTP. При этом обмен данными между компьютером и сервером происходит по более низкоуровнему протоколу TCP/IP, а пересылаемые от сервера к компьютеру пакеты данных имеют номер порта приёмника, скажем, 1121, а номер порта источника - всегда 80. Конечно, в реальной сети идёт постоянный обмен данными, и взаимодействие компьютеров всегда намного сложнее, однако этот простой пример доказывает, что если даже для несведущего человека вполне ясно, откуда и куда идёт выбранный пакет данных, то человек искушённый извлечёт из него куда больше информации. По этой причине нельзя позволять пакетам, курсирующим в локальной сети, попадать в Интернет. Также нельзя разрешать некоторым пакетам из Интернета попадать в локальную сеть предприятия.

На каждом предприятии доступ компьютеров в Интернет по локальной сети обеспечивается с помощью отдельно стоящего компьютера (его ещё называют сервером доступа). Иногда это специализированный компьютер, но чаще всего обычный, расположенный близко к устройству, обеспечивающему выход в Глобальную сеть (например, модему). К сожалению, стандартные средства операционных систем не позволяют вести гибкую настройку маршрутизации и фильтрования пакетов, поэтому на таком компьютере следует разместить специальное ПО: маршрутизатор и firewall. Это ПО не так дорого, но если имеется возможность поставить специализированное оборудование, например фирмы Cisco, то этим не следует пренебрегать: подобные аппаратные маршрутизаторы отличаются большей надёжностью.

Настройка ПО гораздо проще конфигурирования специализированного оборудования и может быть выполнена системным администратором средней квалификации. При этом следует запретить трансляцию пакетов, содержащих адрес приёмника в диапазоне адресов локальной сети предприятия или равный широковещательному адресу, в Интернете. Также следует запретить трансляцию пакетов, не содержащих адреса локальной сети предприятия, из Интернета в локальную сеть. Это позволит оградить сеть предприятия от прослушивания извне, а также минимизировать возможности для передачи в локальную сеть враждебных пакетов. Время работы маршрутизатора, когда осуществляется трансляция пакетов, следует выбрать равным времени работы организации плюс небольшой временной резерв для задерживающихся в офисе или пришедших раньше времени сотрудников.

Настройка firewall потребует более серьёзного подхода, но также не должна вызвать затруднений: следует разрешить обмен данными с Интернетом только по тем протоколам, которые реально используются на предприятии. Например, это могут быть протоколы HTTP, HTTPS, SMTP, POP3, DNS, ICQ и т.д. Попытка обмена данными по неразрешённым протоколам должна блокироваться firewall и записываться им в журнал. Особо следует отметить, что требуется обязательно запретить обмен пакетами NETBIOS с Интернетом, так как этот протокол очень слабо защищён от взлома.

Собственно говоря, межсетевой экран готов: он не пропускает наружу внутренние пакеты локальной сети предприятия и блокирует доступ к ней чужих компьютеров.

Практика показывает, что при определённой сноровке системного администратора, межсетевой экран может быть введён в эксплуатацию в течение рабочего дня.

Также необходимо отметить, что при вводе межсетевого экрана в эксплуатацию следует сначала испытать его на одном компьютере, чтобы проверить настройки и уровень обеспечения безопасности с помощью, скажем, специализированных сайтов вроде http://www.auditmypc.com

3. Защита электронной почты

Следует уделить особое внимание защите электронной почты, так как вредоносные программы часто рассылают сами себя ничего не подозревающим пользователям.

Обязательно следует поставить антивирус на корпоративный сервер электронной почты. При выборе антивирусного пакета нужно руководствоваться следующими принципами:

- антивирус должен уметь переименовывать исполняемые файлы (в которых не найдено вируса), делая невозможным их автоматический запуск пользователем, например, файл с именем «picture.jpg .exe»[1] будет переименован в файл с именем «picture.jpg .exe.tmp», что сделает невозможным запуск его пользователем без сохранения на диск и переименования;

- антивирус должен уметь проверять архивированные файлы;

- антивирус должен уметь проверять HTML-код на предмет вредоносных сценариев и приложений Java, а также вредоносных ActiveX-компонентов.

Далее необходимо установить пользователям e-mail-клиент, который не умеет показывать вложенные в письма HTML-страницы (например, Thunderbird).

Таких совершенно бесплатных программ для просмотра электронной почты найдётся более десятка. Эта не всегда популярная у пользователей мера требует пояснения: дело в том, что существует целый класс вредоносных программ, именуемых «червями», которые распространяются, заражая компьютеры пользователей, часто посредством вложенного в письмо кода.

Подменяя стандартное сообщение e-mail-клиента о том, следует ли запустить вложенное в письмо приложение, с помощью встроенного в HTML-код сценария с каким-нибудь безобидным на первый взгляд текстом вроде «Показать страницу ?», они принуждают пользователя разрешить выполнение вредоносной программы. Конечно, мы защитили антивирусом свой корпоративный сервер, но пользователи могут ходить на незащищённые серверы электронной почты, а запрещать им это не всегда разумно. Установив же e-mail-клиент, который не способен выполнить вредоносную программу, мы немного повысим уровень безопасности.

Также можно поставить транзитный сервер, который будет фильтровать весь проходящий через него трафик электронной почты с помощью антивируса, но это потребует гораздо больших материальных и временных затрат.

4. Антивирусная защита

Как уже упоминалось, на корпоративный сервер электронной почты необходимо установить антивирусное ПО. Также стоит установить антивирус на файловый сервер организации и осуществлять проверку его содержимого каждые сутки, например, в 0:00 часов, когда эта проверка не помешает нормальной работе пользователей.

На компьютеры пользователей следует установить антивирусное ПО, которое будет непрерывно проверять все загружаемые файлы. Это позволит избежать заражения компьютеров пользователей известными вирусами. Хорошим выбором в этом случае будет бесплатная система, например AVG. Однако обновляется она исключительно с сайта компании-разработчика, а если 50 компьютеров одновременно будут загружать обновления с сайта, то сеть предприятия может оказаться перегруженной. Поэтому требуется принять определённый способ обновления антивирусного ПО: либо это будет последовательное обновление с каждого компьютера (настраивается временем запуска обновления), либо обновление с корпоративного сервера (что требует определённой ежедневной работы системного администратора).

5. Настройка компьютеров пользователей

Одной из базовых составляющих ИБ предприятия является настройка и компоновка определённым ПО компьютеров пользователей. Поскольку в подавляющем большинстве случаев на локальном рабочем месте установлена ОС Windows, то рассмотрим настройки и ПО применительно к данному виду ОС.

■ Разделить пользователей на тех, кто имеет доступ к компьютеру на уровне администратора (например, сам системный администратор), и тех, кто имеет доступ только уровня пользователя, и соответствующим образом настроить учётные записи. Это позволит избежать потерь времени на восстановление системы в случае, если пользователь по ошибке совершил действие, приводящее к выводу из строя ОС.

■Запретить работу удалённого рабочего стола и удалённое администрирование. Вместо этого лучше установить систему удалённого управления, имеющую более высокий уровень защиты, например RemoteAdmin.

■ Установить E-mail-клиент, блокирующий HTML-вложения, и антивирус.

■ Установить интернет-браузер, либо дополнения к браузеру, либо специализированное ПО, например AdAware, которые будут блокировать попытки вредоносных сценариев установить на компьютер ненужное ПО при просмотре заражённых страниц.

■ Установить локальный firewall, например AgnitumOutpostFirewallPro, и настроить его так, чтобы разрешить доступ к сети только определённым приложениям. Следует особо отметить, что с помощью межсетевого экрана невозможно запретить доступ к сети определённых приложений, так как ПО межсетевого экрана не может определить приложение, желающее получить доступ к ней. Проще говоря, он имеет дело с уже выпущенными в сеть пакетами. Задача же локального firewallв данном случае - не допустить работы с ней несанкционированных приложений.

Например, в 2006 году случилась повальная эпидемия - массовые заражения «червем», реализовавшим атаку на одно из уязвимых мест Windows- на 445 порт. Этот «червь» рассылал исполняемый код по сети на все компьютеры в зоне досягаемости, заражал их и рассылал свой код дальше. Однако в теле червя имелась ошибка, которая приводила к перезагрузке компьютера после успешной репликации (рассылке) червя на другие компьютеры. Отсутствие локального firewallна компьютерах приводило к тому, что через несколько минут все компьютеры предприятия синхронно перезагружались, не давая войти в пользовательский сеанс и запустить антивирусное ПО. Загруженное в защищённом режиме антивирусное ПО удаляло червя, но при последующей перезагрузке происходило повторное заражение, и процесс повторялся. Глобальные firewall провайдеров и межсетевые экраны не могли обезопасить локальные компьютеры пользователей. В итоге деятельность целых предприятий была парализована на целый день.

■ Настройки локального firewall следует защитить паролем.

Также стоит отметить, что штатный брандмауэр Windows обеспечивает весьма слабую защиту, так как его настройки могут быть изменены вредоносным ПО без ведома пользователя.

■ После завершения настройки компьютера пользователя необходимо создать точку восстановления системы на случай сбоя.

6. Использование Proxy-сервера

В некоторых случаях имеет смысл установить корпоративный Proxy-сервер с доступом к ресурсам Интернета по паролю. Во-первых, это позволит незначительно сократить интернет-трафик, так как дублирующаяся информация будет кэширована Proxy-сервером. Во-вторых, это позволит скрыть от посторонних глаз внутренние имена и адреса компьютеров, так как Proxy-сервер осуществляет выборку веб-страниц от своего имени, рассылая затем информацию потребителям внутри предприятия по списку. И в-третьих, это позволит выявлять нарушителей, подключившихся к сети предприятия с целью получения доступа в Интернет.

Отдельные организации пытаются с помощью Proxy-сервера ограничивать доступ сотрудников к Internet, но это нельзя считать хорошей практикой, так как нанесённый деятельности предприятия вред и потраченное системным администратором или сотрудниками лишнее время могут перевесить выгоды от такой экономии.

7. Защита информационного пространства организации

Локальная сеть, рабочие файлы, электронная почта, Интернет, базы данных - всё это составляет единое информационное пространство предприятия. Для его защиты требуется комплексный подход, включающий использование описанных выше средств и требующий соблюдения политики безопасности на всех уровнях деятельности предприятия.

В первую очередь это постоянный мониторинг состояния компьютеров пользователей и локальной сети. Существуют специальные утилиты, следящие за состоянием сети и выдающие предупреждения при обнаружении определённых событий, касающихся ИБ предприятия. Например, недорогая утилита NetBoy может быть использована для мониторинга загрузки сети, обнаружения запрещённых протоколов, чужих компьютеров и других событий, которые могут оказать влияние на работу сети.

Следует по возможности отказаться от применения беспроводных сетей на предприятии, поскольку имеющиеся в продаже недорогие точки доступа не обеспечивают нужного уровня безопасности, а применение криптостойких алгоритмов шифрования при передаче данных подпадает под государственное регулирование, и для этого необходимо получать соответствующие разрешения и лицензии.

Также необходимо строго разграничить доступ пользователей к определённым данным, чтобы ни один пользователь, за исключением доверенных лиц, не имел полного доступа ко всей информации разом. Скажем, в СУБД это делается путем наложения ограничений на выборку определённых полей и строк из БД.

Документооборот предприятия лучше всего вести целиком в электронном виде, минимизировав хождение бумажных документов: в некоторых случаях выкрасть или скопировать бумажный документ гораздо проще, чем взломать корпоративный сервер.

Устанавливая пользователям жёсткие диски малого объёма, необходимо всячески поощрять их к хранению информации на файловом сервере предприятия или в хранилище данных: гораздо легче сделать резервную копию этой информации, провести сканирование на вирусы и восстановить потерянные сведения.

Одним из неплохих вариантов организации хранения данных будет установка системы управления версиями документов и файлов. Существуют очень хорошие бесплатные системы, вроде CVS или Subversion, которые позволяют восстанавливать файл определённой версии или вести мониторинг изменений, то есть пользователь не перезаписывает файл, а добавляет новую версию файла, не удаляет файл, а добавляет новую версию каталога и т.д.

Не стоит забывать и про обучение пользователей: если возможно, пусть системный администратор еженедельно проводит 30-минутный семинар для пользователей предприятия, на котором ненавязчиво рассказывает об основных правилах ИБ и возможных угрозах, с которыми могут столкнуться рядовые пользователи. Несколько живых примеров из повседневной практики помогут лучше усвоить урок и получить удовольствие от этого семинара, а руководство будет иметь дополнительную возможность контролировать ИБ организации.

Заключение

Описанные способы обеспечения ИБ предприятия являются малозатратными и достаточно эффективными, чтобы обезопасить предприятие от множества угроз ИБ как извне, так и изнутри. Хотя существуют и другие способы, вроде тотальной слежки за сотрудниками, их эффективность значительно ниже и не попадает под категорию простых средств. Кроме того, не стоит забывать, что обеспечение ИБ не должно наносить вред деятельности предприятия или создавать помехи для работы сотрудникам, ведь в конечном счёте любые бизнес-процессы предприятия должны быть направлены на обеспечение основной деятельности, а не вспомогательных служб.