Главная | Пиротехника

Наша совместная команда Banwar.org

Связаться с нами

  • (097) ?601-88-87
    (067) ?493-44-27
    (096) ?830-00-01

Статьи

Забезпечення інформаційної безпеки малого підприємства простими засобами

  1. анотація
  2. Вступ
  3. 1. Загрози інформаційної безпеки
  4. 2. Використання брандмауера для забезпечення ІБ
  5. 3. Захист електронної пошти
  6. 4. Антивірусний захист
  7. 5. Налаштування комп'ютерів користувачів
  8. 6. Використання Proxy-сервера
  9. 7. Захист інформаційного простору організації

анотація

У даній статті розглянуті найбільш прості способи забезпечення інформаційної безпеки малого підприємства за допомогою технічних і програмних засобів. Автор описує основні напрямки, за якими має проводитися забезпечення інформаційної безпеки, а також у формі, зрозумілою неспеціалісту, розкриває деякі технічні питання захисту від найбільш поширених загроз. Стаття орієнтована в першу чергу на керівників вищої та середньої ланки, але також буде корисна і іншим категоріям читачів.

Вступ

Термін "Інформаційна безпека" не так давно увійшов у широкий вжиток, хоча діяльність сучасного підприємства неможливо уявити собі без персональних комп'ютерів. Цьому є просте пояснення: обсяг оброблюваної і зберігається в електронному вигляді інформації для середнього підприємства в мільйони разів вище в порівнянні з "паперової". На комп'ютерах встановлюється складне в налаштуванні програмне забезпечення, створюються важкі для відновлення схеми взаємодії комп'ютерів і програм, рядові користувачі обробляють величезні масиви даних. Зрозуміло, що будь-яке порушення роботи вибудуваної технологічного ланцюжка приведе до певних втрат для підприємства. Таким чином, під інформаційною безпекою (ІБ) будемо розуміти захищеність інформаційного середовища підприємства від зовнішніх і внутрішніх загроз її формування, використання та розвитку.

На великих підприємствах існують спеціальні служби з чималим бюджетом, в завдання яких входить забезпечення ІБ, виявлення, локалізація і усунення загроз ІБ підприємства. Вони використовують спеціальне дороге програмне і апаратне забезпечення, часом настільки складне в обслуговуванні, що потрібна особлива підготовка персоналу для роботи з ним. Завдання керівництва ІБ в таких організаціях часто зводяться до випуску директив з ключовими словами: "поглибити", "розширити", "підвищити", "забезпечити" і т.д. Вся робота по забезпеченню ІБ виконується непомітно для керівництва співробітниками відповідних служб, і опис методів їх роботи - це тема для окремої великої статті.

У той же час ІБ малих підприємств з невеликим числом робочих місць для фахівців (часто не більше 50) приділяється не надто багато уваги. Однак існуюча організаційно-технічна обстановка на даний момент така, що більшість існуючих загроз ІБ, в силу гарної захищеності від них великих підприємств, стають актуальними як раз для підприємств меншого розміру. Зазвичай такі підприємства мають досить скромний IT-бюджет, що дозволяє придбати тільки необхідне обладнання, програмне забезпечення та утримуватиме одного системного адміністратора. З цієї причини в даній статті ми розглянемо саме методи забезпечення ІБ, які не потребують великих витрат і легко реалізовані системним адміністратором середньої кваліфікації.

В першу чергу побудуємо модель загроз ІБ для малого підприємства.

1. Загрози інформаційної безпеки

Тільки розуміння всього спектру загроз дозволить побудувати ефективну систему захисту. Для початку розглянемо спрощену класифікацію загроз.

По відношенню до підприємства загрози поділяються на внутрішні і зовнішні. Відповідно, хакерська атака на комп'ютери компанії буде розглядатися як зовнішня загроза, а занесення вірусу в мережу співробітниками - як внутрішня. До внутрішніх загроз також відносять крадіжку інформації співробітниками.

За намеренности загрози бувають навмисними і ненавмисними. Наприклад, до ненавмисним загрозам можна віднести випадкове видалення даних співробітником. Усунути від навмисні загрози складніше, так як шкідливі програми та людина, що загрожують підприємству, мають чіткий план дій з подолання можливого захисту.

За мети можна виділити загрози, спрямовані на отримання даних, знищення даних, зміна або внесення даних, порушення роботи ПО, контроль над роботою ПО і інші. Скажімо, однією з найбільш частих хакерських атак на комп'ютери підприємств є отримання закритих відомостей для подальшого їх незаконного використання (паролі до інтернет-банкам, облікових записів електронної пошти і т.д.). Таку загрозу можна класифікувати як зовнішню навмисну ​​загрозу, спрямовану на отримання даних.

Слід також розуміти, що не можна захиститися від всіх мислимих і немислимих загроз ІБ хоча б тому, що неможливо передбачити дії зловмисників, не кажучи вже про всі помилки користувачів. Однак існує ряд загальних методів захисту, які дозволять сильно знизити ймовірність реалізації широкого спектру загроз і убезпечити підприємство від різного роду атак і помилок користувачів. Далі ми докладніше розглянемо найбільш ефективні з них.

2. Використання брандмауера для забезпечення ІБ

Одним з найбільш ефективних методів захисту мережі підприємства від зовнішніх загроз є використання брандмауера - програмного або апаратного маршрутизатора, поєднаного з firewall (особливою системою, що здійснює фільтрацію пакетів даних).

Ні для кого не секрет, що дані в мережі, будь то локальна мережа або Інтернет, передаються відносно невеликими пакетами. Кожен пакет несе в собі ознака використовуваного протоколу, адреси джерела і приймача, а також номери відповідних портів. Останні - це числа, за якими операційна система розпізнає, яка програма отримає конкретний пакет даних. Наприклад, при завантаженні сторінки з сервера http://ya.ru/ інтернет-браузер отримує дані з веб-сайту по протоколу HTTP. При цьому обмін даними між комп'ютером і сервером відбувається по більш низкоуровнего протоколу TCP / IP, а пересилаються від сервера до комп'ютера пакети даних мають номер порту приймача, скажімо, 1 121, а номер порту джерела - завжди 80. Звичайно, в реальному мережі йде постійний обмін даними, і взаємодія комп'ютерів завжди набагато складніше, однак цей простий приклад доводить, що якщо навіть для недосвідченого людини цілком ясно, звідки і куди йде обраний пакет даних, то людина досвідчений витягне з нього куди більше інформації. З цієї причини не можна дозволяти пакетам, що курсує в локальній мережі, потрапляти в Інтернет. Також не можна дозволяти деяким пакетам з Інтернету потрапляти в локальну мережу підприємства.

На кожному підприємстві доступ комп'ютерів в Інтернет по локальній мережі забезпечується за допомогою окремо стоїть комп'ютера (його ще називають сервером доступу). Іноді це спеціалізований комп'ютер, але частіше за все звичайний, розташований близько до пристрою, що забезпечує вихід в Глобальну мережу (наприклад, модему). На жаль, стандартні засоби операційних систем не дозволяють вести гнучку настройку маршрутизації і фільтрування пакетів, тому на такому комп'ютері слід розмістити спеціальне ПЗ: маршрутизатор і firewall. Це ПЗ не так дорого, але якщо є можливість поставити спеціалізоване обладнання, наприклад фірми Cisco, то цим не слід нехтувати: подібні апаратні маршрутизатори відрізняються більшою надійністю.

Налаштування ПО набагато простіше конфігурації спеціалізованого обладнання і може бути виконана системним адміністратором середньої кваліфікації. При цьому слід заборонити трансляцію пакетів, що містять адресу приймача в діапазоні адрес локальної мережі підприємства або рівний широковещательному адресою, в Інтернеті. Також слід заборонити трансляцію пакетів, які містять адреси локальної мережі підприємства, з Інтернету в локальну мережу. Це дозволить захистити мережу підприємства від прослуховування ззовні, а також мінімізувати можливості для передачі в локальну мережу ворожих пакетів. Час роботи маршрутизатора, коли здійснюється трансляція пакетів, слід вибрати рівним часу роботи організації плюс невеликий часовий резерв для затримуються в офісі або прийшли завчасно співробітників.

Налаштування firewall зажадає більш серйозного підходу, але також не повинна викликати труднощів: слід дозволити обмін даними з Інтернетом тільки по тим протоколам, які реально використовуються на підприємстві. Наприклад, це можуть бути протоколи HTTP, HTTPS, SMTP, POP3, DNS, ICQ і т.д. Спроба обміну даними по недозволеним протоколам повинна блокуватися firewall і записуватися їм в журнал. Особливо слід відзначити, що потрібно обов'язково заборонити обмін пакетами NETBIOS з Інтернетом, так як цей протокол дуже слабо захищений від злому.

Власне кажучи, міжмережевий екран готовий: він не пропускає назовні внутрішні пакети локальної мережі підприємства і блокує доступ до неї чужих комп'ютерів.

Практика показує, що при певній вправності системного адміністратора, міжмережевий екран може бути введений в експлуатацію протягом робочого дня.

3. Захист електронної пошти

Слід приділити особливу увагу захисту електронної пошти, так як шкідливі програми часто розсилають самі себе нічого не підозрюють користувачам.

Обов'язково слід поставити антивірус на корпоративний сервер електронної пошти. При виборі антивірусного пакета потрібно керуватися наступними принципами:

Далі необхідно встановити користувачам e-mail-клієнт, який не вміє показувати вкладені в листи HTML-сторінки (наприклад, Thunderbird). Таких зовсім безкоштовних програм для перегляду електронної пошти знайдеться більше десятка. Ця не завжди популярна у користувачів міра вимагає пояснення: справа в тому, що існує цілий клас шкідливих програм, іменованих "хробаками", які поширюються, заражаючи комп'ютери користувачів, часто за допомогою вкладеного в лист коду. Підміняючи стандартне повідомлення e-mail-клієнта про те, чи слід запустити вкладене в лист додаток, за допомогою вбудованого в HTML-код сценарію з яким-небудь нешкідливим на перший погляд текстом на зразок "Показати сторінку?" , Вони примушують користувача дозволити виконання шкідливої ​​програми. Звичайно, ми захистили антивірусом свій корпоративний сервер, але користувачі можуть ходити на незахищені сервери електронної пошти, а забороняти їм це не завжди розумно. Встановивши ж e-mail-клієнт, який неспроможний виконати шкідливу програму, ми трохи підвищимо рівень безпеки.

Також можна поставити транзитний сервер, який буде фільтрувати весь проходить через нього трафік електронної пошти за допомогою антивірусу, але це зажадає набагато більших матеріальних і тимчасових витрат.

4. Антивірусний захист

Як уже згадувалося, на корпоративний сервер електронної пошти необхідно встановити антивірусне ПЗ. Також варто встановити антивірус на файловий сервер організації та здійснювати перевірку його вмісту щодоби, наприклад, в 0:00 годин, коли ця перевірка не завадить нормальній роботі користувачів.

На комп'ютери користувачів необхідно встановити антивірусне ПЗ, яке буде безперервно перевіряти всі компоненти для завантаження. Це дозволить уникнути зараження комп'ютерів користувачів відомими вірусами. Хорошим вибором в цьому випадку буде безкоштовна система, наприклад AVG. Однак оновлюється вона виключно з сайту компанії-розробника, а якщо 50 комп'ютерів одночасно будуть завантажувати оновлення з сайту, то мережу підприємства може виявитися перевантаженою. Тому потрібно прийняти певний спосіб оновлення антивірусного ПЗ: або це буде послідовне оновлення з кожного комп'ютера (налаштовується часом запуску оновлення), або оновлення з корпоративного сервера (що вимагає певної щоденної роботи системного адміністратора).

5. Налаштування комп'ютерів користувачів

Однією з базових складових ІБ підприємства є налагодження і компоновка певним ПО комп'ютерів користувачів. Оскільки в переважній більшості випадків на локальному робочому місці встановлена ​​ОС Windows, то розглянемо настройки і ПО стосовно даному виду ОС.

Розділити користувачів на тих, хто має доступ до комп'ютера на рівні адміністратора (наприклад, сам системний адміністратор), і тих, хто має доступ тільки рівня користувача, і відповідним чином налаштувати облікові записи. Це дозволить уникнути втрат часу на відновлення системи в разі, якщо користувач помилково зробив дію, що приводить до виведення з ладу ОС.

Заборонити роботу віддаленого робочого столу і віддалене адміністрування. Замість цього краще встановити систему віддаленого управління, що має більш високий рівень захисту, наприклад RemoteAdmin.

Встановити E-mail-клієнт, який блокує HTML-вкладення, і антивірус.

Встановити інтернет-браузер, або доповнення до браузеру, або спеціалізоване ПО, наприклад AdAware, які будуть блокувати спроби шкідливих сценаріїв встановити на комп'ютер непотрібне ПО при перегляді заражених сторінок.

Встановити локальний firewall, наприклад AgnitumOutpostFirewallPro, і налаштувати його так, щоб дозволити доступ до мережі тільки певним додаткам. Слід особливо відзначити, що за допомогою брандмауера неможливо заборонити доступ до мережі певних програм, так як ПО брандмауера не може визначити додаток, яка бажає отримати доступ до неї. Простіше кажучи, він має справу з уже випущеними в мережу пакетами. Завдання ж локального firewallв даному випадку - не допустити роботи з нею несанкціонованих додатків.

Наприклад, в 2006 році трапилася пошесть - масові зараження "хробаком", який реалізував атаку на одне з уразливих місць Windows - на 445 порт. Цей "черв'як" розсилав виконуваний код по мережі на всі комп'ютери в зоні досяжності, заражав їх і розсилав свій код далі. Однак в тілі хробака була помилка, яка приводила до перезавантаження комп'ютера після успішної реплікації (розсилці) хробака на інші комп'ютери. Відсутність локального firewallна комп'ютерах призводило до того, що через кілька хвилин все комп'ютери підприємства синхронно перезавантажувалися, не даючи увійти в користувальницький сеанс і запустити антивірусне ПЗ. Завантажене в захищеному режимі антивірусне ПЗ удаляло хробака, але при подальшій перезавантаженні відбувалося повторне зараження, і процес повторювався. Глобальні firewall провайдерів і міжмережеві екрани не могли убезпечити локальні комп'ютери користувачів. В результаті діяльність цілих підприємств була паралізована на цілий день.

Налаштування локального firewall слід захистити паролем.

Також варто відзначити, що штатний брандмауер Windows забезпечує досить слабкий захист, так як його настройки можуть бути змінені шкідливим ПЗ без відома користувача.

Після завершення налаштування комп'ютера користувача необхідно створити точку відновлення системи на випадок збою.

6. Використання Proxy-сервера

У деяких випадках має сенс встановити корпоративний Proxy-сервер з доступом до ресурсів Інтернету за паролем. По-перше, це дозволить трохи скоротити інтернет-трафік, так як дублирующаяся інформація буде кешувати Proxy-сервером. По-друге, це дозволить приховати від сторонніх очей внутрішні імена і адреси комп'ютерів, так як Proxy-сервер здійснює вибірку веб-сторінок від свого імені, розсилаючи потім інформацію споживачам усередині підприємства за списком. І по-третє, це дозволить виявляти порушників, які підключилися до мережі підприємства з метою отримання доступу в Інтернет.

Окремі організації намагаються за допомогою Proxy-сервера обмежувати доступ співробітників до Internet, але це не можна вважати хорошою практикою, так як нанесений діяльності підприємства шкоду і витрачений системним адміністратором або співробітниками зайвий час можуть переважити вигоди від такої економії.

7. Захист інформаційного простору організації

Локальна мережа, робочі файли, електронна пошта, Інтернет, бази даних - все це становить єдиний інформаційний простір підприємства. Для його захисту потрібен комплексний підхід, що включає використання описаних вище засобів і вимагає дотримання політики безпеки на всіх рівнях діяльності підприємства.

В першу чергу це постійний моніторинг стану комп'ютерів користувачів і локальної мережі. Існують спеціальні утиліти, що стежать за станом мережі і видають попередження при виявленні певних подій, що стосуються ІБ підприємства. Наприклад, недорога утиліта NetBoy може бути використана для моніторингу завантаження мережі, виявлення заборонених протоколів, чужих комп'ютерів і інших подій, які можуть вплинути на роботу мережі.

Слід по можливості відмовитися від застосування бездротових мереж на підприємстві, оскільки наявні в продажу недорогі точки доступу не забезпечують потрібного рівня безпеки, а застосування криптостійкі алгоритмів шифрування при передачі даних підпадає під державне регулювання, і для цього необхідно отримувати відповідні дозволи та ліцензії.

Також необхідно строго розмежувати доступ користувачів до певних даними, щоб жоден користувач, за винятком довірених осіб, не мав повного доступу до всієї інформації разом. Скажімо, в СУБД це робиться шляхом накладення обмежень на вибірку певних полів і рядків з БД.

Документообіг підприємства найкраще вести цілком в електронному вигляді, мінімізувавши ходіння паперових документів: в деяких випадках викрасти або скопіювати паперовий документ набагато простіше, ніж зламати корпоративний сервер.

Встановлюючи користувачам жорсткі диски малого обсягу, необхідно всіляко заохочувати їх до зберігання інформації на файловому сервері підприємства або в сховище даних: набагато легше зробити резервну копію цієї інформації, провести сканування на віруси і відновити втрачені відомості.

Одним з непоганих варіантів організації зберігання даних буде установка системи управління версіями документів і файлів. Існують дуже хороші безкоштовні системи, на зразок CVS або Subversion, які дозволяють відновлювати файл певної версії або вести моніторинг змін, тобто користувач не перезаписує файл, а додає нову версію файлу, що не видаляє файл, а додає нову версію каталогу і т.д.

Не варто забувати і про навчання користувачів: якщо можливо, нехай системний адміністратор щотижня проводить 30-хвилинний семінар для користувачів підприємства, на якому ненав'язливо розповідає про основні правила ІБ і можливі загрози, з якими можуть зіткнутися рядові користувачі. Кілька живих прикладів з повсякденної практики допоможуть краще засвоїти урок і отримати задоволення від цього семінару, а керівництво матиме додаткову можливість контролювати ІБ організації.

ТПП Краснодарського краю (06.09.2012 о 16:54) | вгору Сторінки | до списку статей

Новости

Banwar.org
Наша совместная команда Banwar.org. Сайт казино "Пари Матч" теперь доступен для всех желающих, жаждущих волнения и азартных приключений.