На чтение: ≈ 8 мин.Когда говорят об информационной безопасности сетевых систем, то имеют в виду широкий спектр проблем: от стихийных бедствий и перебоев с электропитанием до искушенных злоумышленников, которые используют вычислительные системы для своей выгоды, или шпионов, которые охотятся за государственными и коммерческими секретами. В телекоммуникационной сети системы открытого образования могут существовать сегменты с разной степенью защищенности: свободно доступные (различные серверы), с ограниченным доступом и закрытые для доступа.
Наибольшую опасность для системы открытого образования представляют «неофициальные» (и соответственно незащищенные) Web-серверы. Однако даже санкционированные и правильно установленные серверы и другое оборудование и программное обеспечение интернет-сетей потенциально уязвимы. Системные администраторы могут случайно оставить «лазейки»: при настройке таблиц маршрутизации межсетевых экранов, при создании приложений или при установке на сервере защиты уровня межпрограммного взаимодействия.
Для организации защиты при подключении к интернету целесообразно использовать типовой узел подключения. Его основным достоинством является то, что он практически не привязан к структуре и составу подсоединяемых локальных и корпоративных сетей. Подобный узел должен содержать межсетевой экран и специальное средство – сетевой процессор безопасности, который составляет основу автоматизированного рабочего места администратора безопасности.
Обычно функции защиты подключаемых к интернет сетей возлагаются на межсетевые экраны, которые проводят анализ входящего и исходящего трафика. На основе заложенных в них правил безопасности они принимают решение о разрешении или запрещении передачи данных.
Сетевой процессор безопасности обеспечивает следующие функции защиты:
– фильтрацию трафика по адресам и портам источника и приемника, а также на прикладном уровне (функции экрана);
– трансляцию и анализ адресов, обрабатываемых IP-пакетов с функцией IP-представителя;
– шифрацию IP-пакетов и организацию виртуальных защищенных каналов в сетях общего пользования;
– расширенный аудит с выводом результатов анализа журналов наблюдения на рабочее место администратора безопасности;
– мониторинг безопасности и удаленное управление сетью.
Каков же примерный перечень основных систем, которые должны быть установлены в интернет-сети единой образовательной информационной среды и которые требуют отдельного и тщательного администрирования?
Средства управления доступом в соответствии с установленной политикой безопасности. Это потребует разработки специальных серверов и применения защищенных оперативных систем как базы для функционирования средств защиты (межсетевых экранов, систем мониторинга, криптосистем), а также для контроля доступа к базам данных.
Межсетевые экраны, защищающие интернет-сеть в классическом варианте на границе интернет-сети и открытых сетей и применяемые для защиты отдельных доменов в интернет-сети с особой политикой безопасности.
Средства сетевого аудита. В случае распределенной конфигурации интернет-сети становится возможен перехват пользовательских имени и пароля техническими средствами. Кроме аутентификации пользователей, в интернет-сети должна производиться также аутентификация машин-клиентов. Высокая степень защиты достигается заменой стандартных открытых сервисов на сервисы, шифрующие параметры пользователя/машины-клиента. Немаловажен и аудит событий, происходящих в распределенной информационной среде.
Средства аудита хоста. Сюда относятся, например, средства анализа защищенности оперативной системы хоста. Они позволяют производить ревизию подсистемы разграничения доступа, механизмов идентификации и аутентификации, средств мониторинга, аудита и других компонентов с точки зрения соответствия их конфигурации требуемому уровню защищенности интернет-сети. Этими средствами производится также контроль целостности программного обеспечения и проверка наличия уязвимостей системных и прикладных служб. Вторая категория систем аудита хоста состоит из сканеров – программ тестирования, которые выявляют слабые места на удаленном или локальном компьютере.
Анализаторы сетевого трафика и средства мониторинга сетевой безопасности, выявляющие в интернет-сети пакеты злоумышленников и средства прослушивания каналов связи. Сюда же относятся и программы, позволяющие обнаруживать попытки внедрения в интернет-сеть извне, получившие название средств обнаружения вторжений (Intrusion Detection Tools).
Криптографические утилиты и библиотеки, шифрующие программно или аппаратно особо важную конфигурационную (например, настройки межсетевых экранов, сетевой оперативной системы и т.п.) и идентификационную информацию, а также передаваемые по открытым каналам связи, хранимые и обрабатываемые в интернет-сети данные.
Антивирусное программное обеспечение, защищающее от проникновения вирусов интернет-сеть в целом, отдельные рабочие станции, серверы группового программного обеспечения, Web-узел, флоппи-дисководы.
Перечисленные средства определяют наиболее важные направления обеспечения безопасности информационных ресурсов системы образования.
Следует отметить, что на сегодняшний день ни один производитель не в состоянии обеспечить весь комплекс мер, гарантирующий информационную безопасность информационных ресурсов системы образования. Поэтому решение этой проблемы возможно только путем системной интеграции.
Анатолий МАЛЮК, заведующий кафедрой защиты информации МИФИ, Москва
Выбор читателей
Комментарии