• Активное сетевое оборудование
  • Пассивное сетевое оборудование
    Короба REHAU
    Шкафы 10"
  • Построение сетей
  • Сетевые технологии
    TurboCell
    Рекомендованые расстояния для Gigabit
  • Безопасность
  • Телефония
    УАТС Меридиан
    УПАТС Alcatel OmniPCX
  • Выполненные проекты
  • Заказ АТС

  • НИП "ИНФОРМЗАЩИТА" Информационная безопасность. Как обосновать?

         Анализ российской прессы последних лет показывает, что вопросам обеспечения информационной безопасности уделяется очень много внимания. Описываются различные технологии, рассказывается о новых продуктах и решениях и т.д. Но изменению существующей ситуации это не приводит. Компании как не использовали средства защиты, так и не используют до сих пор. При этом если спросить любого грамотного технического специалиста, нужно ли обеспечивать информационную безопасность, то он однозначно ответит утвердительно. В чем же скрыт парадокс? В своей статье я постараюсь объяснить его и найти способы решения указанной проблемы.
    Зачем надо защищаться?
          Ответов на этот вопрос может быть множество, в зависимости от структуры и целей Вашей компании. Для одних первой задачей является предотвращение утечки информации (маркетинговых планов, перспективных разработок и т.д.) конкурентам. Другие могут пренебречь конфиденциальностью своей информации и сосредоточить свое внимание на ее целостности. Например, для банка важно в первую очередь обеспечить неизменность обрабатываемых платежных поручений. Например, чтобы злоумышленник не смог несанкционированно дописать в платежку еще один нолик или изменить реквизиты получателя. Для третьих компаний на первое место поднимается задача обеспечения доступности и безотказной работы информационных систем компании. Например, для провайдера Interner-услуг; компании, имеющей Web-сервер, или оператора связи, первейшей задачей является именно обеспечение безотказной работы всех (или наиболее важных) узлов своей информационной системы. Расставить такого рода приоритеты можно только в результате анализа деятельности компании [1].
         Когда речь заходит об обеспечении безопасности любого предприятия первое, с чего начинается решение этого вопроса, - это физическая защита. Системы контроля доступа, охранные видеокамеры, датчики, системы сигнализации и т.п. Все это приобретается и устанавливается в большом количестве. Однако когда дело доходит до информационной безопасности, то руководство скептически относится к средствам, ее реализующим. Если турникет, видеокамеру или огнетушитель можно потрогать руками, и целесообразность их применения видна невооруженным взглядом, то применение различных систем защиты информации (систем обнаружения атак, систем анализа защищенности и т.д.) необходимо очень тщательно обосновывать. Связано это с тем, что мир физической безопасности понятен любому человеку, в т.ч. и руководству компании. Однако, как только речь заходит об информационных технологиях, то со стороны руководства сразу же возникает непонимание. И связано это с тем, что технические специалисты (которым не надо объяснять необходимость средств защиты) и руководство компании говорят на разных языках. Первые оперируют техническими понятиями, а вторые - понятиями экономическими. Именно поэтому, чтобы доказать необходимость приобретения средств защиты, технические специалисты должны освоить новый язык общения, понятный руководящему составу. Чтобы не быть голословным, хочу привести некоторые статистические данные, которые лишний раз подтверждают, что одной из основных причин, по которой тормозится обеспечение информационной безопасности в организации - это недостаток поддержки со стороны руководства, возникающий вследствие непонимания необходимости этого процесса.
         
    В 1999 году две организации ICSA и SAIC провели опрос 745 респондентов, задав им один-единственный вопрос: "Какое самое большое препятствие возникает перед вами при обеспечении информационной безопасности?" Ответы распределились следующим образом:

    Препятствие Число организаций (в процентах)
    Ограничение бюджета 29
    Недостаток поддержки со стороны руководства 14
    Недостаток квалификации сотрудников и осведомленности конечного пользователя 10
    Некомпетентность персонала, отвечающего за информационную безопасность 9
    Несоответствие внутренней политики безопасности 8
    Нехватка полномочий 8
    Техническая сложность 6
    Непонятные обязательства 4
    Отсутствие хороших средств защиты 3
    Другое 9

         Согласно аналогичному опросу, проведенному в 1999 году изданием InformationWeek среди 2700 респондентов в 49 странах мира, ответы распределились следующим образом:
    Препятствие Число организаций (в процентах)
    Нехватка времени 17
    Сложность технологий 16
    Темпы изменения технологий 11
    Недостаток поддержки со стороны руководства 11
    Плохо определенная политика безопасности 10
    Финансовые затраты 8
    Плохое взаимодействие между отделами и управлениями 8
    Низкая осведомленность конечного пользователя 8
    Низкая квалификация персонала 6
    Временные и людские затраты 5

    Мир физический и мир виртуальный
          Хочется сразу отметить, что в настоящий момент складывается парадоксальная ситуация. У всех на слуху находятся межсетевые экраны и антивирусные системы. Именно они и приобретаются в первую очередь в случае появления в бюджете статьи на средства защиты информации. Но при этом, эти средства уже не удовлетворяют современным требованиям, предъявляемым к защитным системам. Они не отражают, и даже не обнаруживают, целый ряд очень опасных атак [2]. Поэтому только этими средствами нельзя ограничиваться. Они обеспечивают необходимый, но явно недостаточный уровень защиты корпоративных ресурсов. Дополнить их могут такие средства, как системы анализа защищенности, системы обнаружения атак, обманные системы и т.д.
          Для того чтобы проникнуть в тайны компании нет необходимости перелезать через высокие заборы и обходить периметровые датчики, вторгаться в защищенные толстыми стенами помещения, вскрывать сейфы и т.п. Достаточно проникнуть в информационную систему и в течение нескольких секунд или минут перевести сотни тысяч долларов на чужие счета или вывести из строя какой-либо узел корпоративной сети. Все это приведет к огромному ущербу. Причем не только к прямому ущербу, который может выражаться в цифрах со многими нулями, но и к косвенному. Например, выведение из строя того или иного узла приводит к затратам на восстановление его работоспособности, которые заключаются в обновлении или замене программного обеспечения, зарплате обслуживающего персонала. А атака на публичный Web-сервер компании и замена его содержимого на любое другое может привести к снижению доверия к фирме и, как следствие, потере части клиентуры и снижению доходов.
          По сравнению с физической безопасностью компьютерная безопасность находится еще в младенчестве. С каждым новым достижением в области информационных технологий появляются новые аспекты обеспечения информационной безопасности. При этом у уже существующих решений появляются новые грани, на которые приходится смотреть под новым углом зрения. Физическая защита - относительно статическая область, состоящая из систем разграничения доступа, систем сигнализации и, возможно, оборудования для наблюдения, позволяющих идентифицировать и предотвратить физическое вторжение в защищаемую область. В свою очередь, компьютерная безопасность ориентирована не на физический мир, а на киберпространство, где преступники должны быть определены только при помощи серии нулей и единиц [3]. Все это приводит к непониманию со стороны руководства в необходимости приобретения различных средств защиты. И это несмотря на то, что за последний год число компьютерных преступлений возросло на порядок. И ущерб, нанесенный в результате несанкционированных компьютерных посягательств, измеряется миллионами долларов. При этом злоумышленник может находиться за сотни километров от своей жертвы, в т.ч. и другой стране.
          Чтобы обосновать приобретение средств защиты, необходимо объяснить их назначение простым и понятным языком. Самым простым способом сделать это, является привидение аналогий из мира физической безопасности. О межсетевых экранах и антивирусных системах я говорить много не буду. Это одни из немногих средств защиты, которые понятным всем. Перейду к другим решениям - технологиям анализа защищенности и обнаружения и отражения угроз. Эти технологии известны многим специалистам в области физической безопасности. Они представлены такими средствами физической безопасности, как системы сигнализации и оповещения. В свою очередь эти системы делятся на два категории: постоянного и периодического действия. Первые системы, к которым можно отнести пожарную и охранную сигнализацию, охранное телевидение и т.п., непрерывно следят за объектом защиты. Системы периодического действия работают по другому принципу - они анализируют состояние объекта защиты в заданные моменты или через определенные промежутки времени. Типичным примером таких средств является периодический обход территории охранниками. К средствам отражения можно отнести ограждение территории, замки и решетки и т.п.
          Однако информационная система - это тоже своего рода здание, только виртуальное, которое необходимо защищать. И использовать для этого можно те же механизмы физической безопасности, но спроецированные с учетом особенностей информационных технологий. Например, несанкционированный вход в обычное здание блокируется охранником или турникетом. В виртуальном здании для этого используется межсетевой экран или система аутентификации, которые проверяют входящий (и исходящий) в систему трафик на соответствие различным критериям.
          Однако злоумышленник для несанкционированного проникновения в здание может подделать пропуск (в виртуальном мире подделать адрес) или пролезть через окно (в виртуальном мире через модем). И никакой охранник или турникет не защитит от этого. И тут на первый план выходят средства обнаружения угроз в виде различных датчиков, идентифицирующих различные угрозы.
          По своему функциональному назначению датчики охранной сигнализации делятся на три типа [5]:
    • Контролирующие пространство помещений (объемные датчики);
    • Контролирующие периметр объекта защиты (линейные датчики);
    • Контролирующие отдельные предметы (точечные датчики).

         Как это не странно, но и в виртуальном здании применяются те же самые датчики. Называются они сенсорами системы обнаружения атак. Единственное отличие от датчиков охранной сигнализации в наличии двух категорий вместо трех:

    • Контроль сетевого сегмента (аналог объемного датчика). В случае применения данного сенсора совместно с межсетевым экраном или иным средством защиты периметра сети сенсор системы обнаружения атак, функционирующий на уровне сети выполняет роль линейного датчика.
    • Контроль отдельного узла информационной системы (аналог точечного датчика).

         Аналог механизма охранной сигнализации и оповещения периодического действия тоже присутствует в виртуальном мире. Это системы анализа защищенности, которые по требованию администратора безопасности или по расписанию проводят ряд проверок заданных компонентов информационной системы. Можно провести следующую аналогию с анализом защищенности - охранник, периодически обходящий все этажи здания в поисках открытых дверей, незакрытых окон и других проблем. Также действует и система анализа защищенности. Только в качестве здания выступает информационная система, а в качестве незакрытых окон и дверей - уязвимости ("слабости") этой системы.
    Хард или софт
         
    Ну и, наконец, хотелось бы остановиться еще на одном аспекте выбора средств защиты. В последнее время наряду с чисто программными решениями, широкое распространение получили и программно-аппаратные решения (т.н. security appliance). И хотя на первый взгляд такие аппаратные реализации существенно дороже, это только на первый взгляд. Стоимость аппаратного обеспечения составляет порядка $5000-12000. Стоимость решения, основанного на применении только программного обеспечения, выполняющего аналогичные функции, может быть существенно выше. И это несмотря на то, что само ПО стоит меньше. Такой эффект достигается за счет того, что для программного обеспечения системы защиты необходим компьютер (желательно brandname), лицензионный дистрибутив операционной системы и сопутствующее программное обеспечение, а также затраты на установку и настройку всего комплекса. Для программно-аппаратного решения этих "дополнительных" затрат не существует, т.к. они уже включены в стоимость железа.
         
    Первоначально средства сетевой безопасности периметра реализовались как дополнительные механизмы фильтрации в маршрутизаторах. Такие устройства стоят от 4000 до 9000 долларов. Затем стали появляться другие решения, основанные на применении выделенных компьютеров для решения задач сетевой безопасности. Эти решения были более функциональными, чем фильтрующие маршрутизаторы, но и требовали больших затрат на приобретение (от 12000 до 20000) и поддержание их работоспособности.
         
    В середине 90-х годов стали появляться интегрированные решения, объединяющие в себе возможности первых двух названных технологий. Эти решения, которые называются security appliance, поставлялись, как специальные устройства, использующие обычные операционные системы, "урезанные" для выполнения только защитных функций. Удобство такого решения заключалось в том, что администратор или оператор защиты взаимодействовал с защитным устройством через графический интерфейс (GUI), минуя операционную систему. Стоимость таких систем составляет от 5000 до 12000 долларов.
         
    К достоинству таких решений можно отнести:

    • Простота внедрения в технологию обработки информации. Поскольку такие устройства поставляются уже с предустановленной и настроенной операционной системой и защитными механизмами, необходимо только подключить его к сети, что выполняется в течение нескольких минут.
    • Производительность. За счет того, что из операционной системы исключаются все "ненужные" сервисы и подсистемы, устройство работает более эффективно с точки зрения надежности и скорости.
    • Простота управления. Данные устройства могут управляться с любой рабочей станции Windows 9x, NT, 2000 или Unix. Взаимодействие консоли управления с устройством осуществляется либо по стандартным протоколам, например, Telnet или SNMP, либо при помощи специализированных или защищенных протоколов, например, Ssh или SSL.
    • Отказоустойчивость и высокая доступность.
    • Сосредоточение на защите. Решение только задач обеспечения сетевой безопасности не приводит к трате ресурсов на выполнению других функций, например, маршрутизации и т.п. Обычно, попытка создать универсальное устройство, решающее сразу много задач, ни к чему хорошему не приводит.

         В отчете, опубликованном независимой консалтинговой компанией Gartner Group в июне 1997 года, было написано, что к 2002 году 80% компаний с доходами от 20 до 200 миллионов долларов выберут именно аппаратные решения (appliance), а не программные. Основная причина такого выбора - обеспечение такого же высокого уровня защиты, как и в программных решениях, но за меньшие деньги. И вторая причина - простота и легкость интеграции таких решений в корпоративную систему.
         
    Однако сразу необходимо отметить, что для большинства российских компаний программно-аппаратные все же пока еще очень дороги, несмотря на указанные выше аспекты. Связано это с тем, что многие компании не приобретают компьютер специально для системы защиты, а пытаются использовать уже существующие (как правило, устаревшие) компьютеры. Кроме того, развитие компьютерного пиратства привело к тому, что и программное обеспечение на эти компьютеры ставится нелицензионное. Ну, и наконец, стоимость оплаты труда отечественных специалистов на порядок ниже, чем за рубежом. Все это приводит к тому, что в России основной упор делается именно на программных решениях, несмотря на то, что программно-аппаратные решения считаются более эффективными. Остается надеяться, что со временем ситуация изменится в лучшую сторону.
    Что выбрать?
         
    Итак, вроде бы вы смогли разъяснить руководству необходимость приобретения средств защиты. Что выбрать? Универсальных рецептов тут нет. Все зависит от тех целей, которые вы перед собой ставите. Можно привести только некоторые общие рекомендации. Во-первых, затраты на обеспечение информационной безопасности не должны превышать стоимость защищаемого объекта или величину ущерба, который может возникнуть вследствие атаки на защищаемый объект. Основная проблема - это посчитать стоимость такого ущерба. Можно привести следующую упрощенную модель оценки ущерба.
         
    Исходные данные:

    • Время простоя вследствие атаки, tП (в часах)
    • Время восстановления после атаки, tВ (в часах)
    • Время повторного ввода потерянной информации, tВИ (в часах)
    • Зарплата обслуживающего персонала (администраторов и т.д.), ZО (в долларах США за месяц)
    • Зарплата сотрудников атакованного узла или сегмента, ZС (в долларах США за месяц)
    • Число обслуживающего персонала (администраторов и т.д.), NО
    • Число сотрудников атакованного узла или сегмента, NС
    • Объем продаж атакованного узла или сегмента, O (в долларах США за год)
    • Стоимость замены оборудования или запасных частей, ПЗЧ (в долларах США)
    • Число атакованных узлов или сегментов, I
    • Число атак в год, n
         Стоимость потерь от снижения производительности сотрудников атакованного узла или сегмента будет равна
    ПП =

    Cтоимость восстановления работоспособности атакованного узла или сегмента состоит из нескольких составляющих:

    ПВ = ПВИ + ППВ + ПЗЧ, где

    ПВИ - стоимость повторного ввода информации
    ППВ - стоимость восстановления узла (переустановка системы, конфигурация и т.д.)

    ПВИ =

    ППВ =

    Упущенная выгода от простоя атакованного узла или сегмента составляет:

    U = ПП + ПВ + V, где

    V =

    Таким образом, общий ущерб от атаки на узел или сегмент корпоративной сети организации составит:

    ОУ =


    Врезка 1. Пример расчета ущерба, возникающего следствие атаки на защищаемый объект

    Время простоя вследствие атаки, tП (в часах) = 2 часа
    Время восстановления после атаки, tВ (в часах) = 8 часов
    Время повторного ввода потерянной информации, tВИ (в часах) = 8 часов
    Зарплата обслуживающего персонала (администраторов и т.д.), ZО (в долларах США за месяц) = $400
    Зарплата сотрудников атакованного узла или сегмента, ZС (в долларах США за месяц) = $600
    Число обслуживающего персонала (администраторов и т.д.), NО = 1
    Число сотрудников атакованного узла или сегмента, NС = 4
    Объем продаж атакованного узла или сегмента, O (в долларах США за год) = $100000
    Стоимость замены оборудования или запасных частей, ПЗЧ (в долларах США) = $0
    Число атакованных узлов или сегментов, i = 1
    Число атак в год, n = 5

    Зарплата сотрудника в час = 600 / 192 = 3.125
    Зарплата обслуживающего персонала в час = 400 / 192 = 2.083
    ПП = 4 * 3.125 * 2 = $25

    ПВИ = 0

    ППВ = 1 * 2.083 * 8 = $16.664

    ПЗЧ = 0

    ПВ = $16.664

    V = 100000 / 2080 * (2 + 8 + 0) = $480.77

    U = 25 + 16.664 + 480.77 = $522.43

    ОУ = 522.43 * 5 = $2612.17
         
    Данная модель поможет приблизительно оценить финансовые затраты, возникающие вследствие атак на какие-либо ресурсы организации, и поможет остановить свой выбор на защитных средствах, стоимость которых не превышает расчетной цифры. Однако все это голые цифры, которые редко интересуют конечных пользователей. Поэтому я бы хотел привести несколько примеров, когда стоит применять те или иные решения.
         В зависимости от масштаба компании можно выделить три основных класса сетей:

    • Enterprise, т.е. центральная сеть компании, которая может насчитывать сотни и тысячи узлов;
    • ROBO (Regional Office/Branch Office), т.е. сеть регионального филиала, насчитывающего несколько десятков или сотен узлов;
    • SOHO (Small Office/Home Office), т.е. сети небольших филиалов или домашние (мобильные) компьютеры, подключаемые к центральной сети.

         Можно также выделить три основных сценария обеспечения информационной безопасности для этих классов сетей, различающихся различными требованиями по обеспечению защиты информации.
         
    При первом сценарии минимальный уровень защищенности обеспечивается за счет возможностей, встроенных в сетевое оборудование, установленное на периметре сети (например, в маршрутизаторах). В зависимости от масштабности защищаемой сети эти возможности (защита от подмены адресов, минимальная фильтрация трафика, доступ к оборудованию по паролю и т.д.) реализуются в магистральных маршрутизаторах (например, Cisco 7500 или Nortel BCN), маршрутизаторах региональных подразделений (например, Cisco 2500 или Nortel ASN) и маршрутизаторах удаленного доступа (например, Cisco 1600 или 3Com OfficeConnect). Практически никаких дополнительных финансовых затрат на этот сценарий не требуется.
         
    Второй сценарий, обеспечивающий средний уровень защищенности, реализуется уже при помощи дополнительно приобретенных средств защиты, к которым могут быть отнесены несложные межсетевые экраны и системы обнаружения атак, и т.п. В центральной сети может быть установлен межсетевой экран (например, CheckPoint Firewall-1), на маршрутизаторах могут быть настроены простейшие защитные функции, обеспечивающие первую линию обороны (списки контроля доступа и обнаружение некоторых атак), весь входящий трафик проверяется на наличие вирусов и т.д. Региональные офисы могут защищаться более простыми моделями межсетевых экранов. При отсутствии в регионах квалифицированных специалистов рекомендуется устанавливать в них программно-аппаратные комплексы, управляемые централизованно и не требующие сложной процедуры ввода в эксплуатацию (например, CheckPoint VPN-1 Appliance на базе Nokia IP330).
         
    Третий сценарий, позволяющий достичь максимального уровня защищенности, предназначен для серверов eCommerce, Internet-банков и т.д. В этом сценарии применяются высокоэффективные и многофункциональные межсетевые экраны, сервера аутентификации, системы обнаружения атак и системы анализа защищенности. Для защиты центрального офиса могут быть применены кластерные комплексы межсетевых экранов, обеспечивающих отказоустойчивость и высокую доступность сетевых ресурсов (например, CheckPoint VPN-1 Appliance на базе Nokia IP650 или CheckPoint VPN-1 с High Availability Module). Также в кластер могут быть установлены системы обнаружения атак (например, RealSecure Appliance) [6]. Для обнаружения уязвимостей, которые могут быть использованы для реализации атак, могут быть применены системы анализа защищенности (например, семейство SAFEsuite компании Internet Security Systems). Аутентификация внешних и внутренних пользователей осуществляется при помощи серверов аутентификации (например, CiscoSecure ACS). Ну и, наконец, доступ домашних (мобильных) пользователей в ресурсам центральной и региональных сетей обеспечивается по защищенному VPN-соединению. VPN (Virtual Private Network) также используются для обеспечения защищенного взаимодействия центрального и региональных офисов. Функции VPN могут быть реализованы как при помощи межсетевых экранах (например, CheckPoint VPN-1), так и при помощи специальных средств построения VPN (например, Континент-К, созданный НИП "Информзащита").
    Что дальше?
         
    Казалось бы, после того, как средства защиты приобретены, все проблемы снимаются. Однако это не так. Приобретение средств защиты - это только верхушка айсберга. Мало приобрести защитную систему. Самое главное - это ее правильно настроить и эксплуатировать. Поэтому финансовые затраты на приобретении не прекращаются. Необходимо заранее заложить в бюджет такие позиции, как обновление программного обеспечения, поддержку со стороны производителя или поставщика и обучение персонала правилам эксплуатации приобретенных средств. Без соответствующего обновления система защиты со временем перестанет быть актуальной и не сможет отслеживать новые и изощренные способы несанкционированного доступа в сеть компании. А авторизованное обучение и поддержка помогут быстро ввести систему защиты в эксплуатацию и настроить ее на технологию обработки информации, принятую в организации. Если перейти на язык цифр, то примерная стоимость обновления составляет около 15% стоимости программного обеспечения. Стоимость годовой поддержки со стороны производителя, которая, как правило, уже включает в себя обновление ПО, составляет около 20-30% стоимости системы защиты. Таким образом, каждый год вы должны тратить не менее 20-30% стоимости ПО на продление технической поддержки. Ну и, наконец, обучение одного человека на авторизованных курсах зарубежных компаний составляет около 800-1500 долларов США. Стоимость обучения на курсах российских компаний существенно ниже и составляет 150-400 долларов США.
         
    В заключение хочу сказать, что приобретение средств защиты - это не бесполезная трата финансовых средств. Это инвестиции, которые при правильном вложении окупятся с лихвой и позволят вывести ваш бизнес на небывалую высоту.
    Список литературы
    [1] Лукацкий А.В. Защитите свой бизнес. Мобильные системы. ╧12, 1999
    [2] А. Лукацкий. Отмычки к "поясу невинности". Business Online, ╧5, 2000
    [3] А. Лукацкий. Адаптивная безопасность сети. Компьютер-Пресс, ╧8, 1999
    [4] А. Лукацкий. Анатомия распределенной атаки. PCWeek/RE, ╧5, 2000
    [5] В. Алексеенко, Ю. Древс. Основы построения систем защиты производственных предприятий и банков. М.: МИФИ, 1996
    [6] А. Лукацкий. Новые подходы к обеспечению информационной безопасности сети. Компьютер-Пресс. ╧7, 2000

     


     
    sec_inet002017-09-25home

     

     

    sitemap