ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СЕТЕЙ Администрирование информационных систем ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ Лекция 20
Основные задачи администрирования ИС Основная цель организации администрирования ИС – реализация на процедурном уровне задачи обеспечения политики информационной безопасности. Инструменты администрирования – программные и аппаратные средства, обеспечивающие выполнение политики безопасности.
Политика безопасности среднего уровня К среднему уровню относят вопросы, относящиеся к отдельным аспектам информационной безопасности. Например, организация доступа сотрудников в сеть Интернет или установка и использование ПО. К среднему уровню относят вопросы, относящиеся к отдельным аспектам информационной безопасности. Например, организация доступа сотрудников в сеть Интернет или установка и использование ПО. Политика среднего уровня для каждого аспекта должна освещать: Политика среднего уровня для каждого аспекта должна освещать: описание аспекта; описание аспекта; область применения; область применения; позиция организации по данному вопросу; позиция организации по данному вопросу; роли и обязанности; роли и обязанности; законопослушность; законопослушность; точки контакта. точки контакта.
Политика безопасности нижнего уровня Политика безопасности нижнего уровня относится к работе конкретных информационных сервисов. Политика безопасности нижнего уровня относится к работе конкретных информационных сервисов. Такая политика включает в себя два аспекта: Такая политика включает в себя два аспекта: цели; цели; правила достижения заданных целей. правила достижения заданных целей. Политика безопасности данного уровня быть выражена полно, четко и конкретно. Например, определять сотрудников, имеющих право на работу с конкретной информационной системой и данными. Политика безопасности данного уровня быть выражена полно, четко и конкретно. Например, определять сотрудников, имеющих право на работу с конкретной информационной системой и данными. Из целей выводятся правила безопасности, описывающие кто, что и при каких условиях может выполнять те или иные процедуры с информационными сервисами. Из целей выводятся правила безопасности, описывающие кто, что и при каких условиях может выполнять те или иные процедуры с информационными сервисами.
Административный уровень защиты информации После формулирования политики безопасности, составляется программа обеспечения информационной безопасности. Программа безопасности также структурируется по уровням. В простом случае достаточно двух уровней: верхнего (центрального) – охватывающего всю организацию; нижнего (служебного) – относящегося к отдельным услугам или группам однородных сервисов.
Программа верхнего уровня Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации. Цели такой программы: Управление рисками (оценка рисков, выбор эффективных решений); Координация деятельности в области информационной безопасности Стратегическое планирование Контроль деятельности в области информационной безопасности. Контроль деятельности в области ИБ должен гарантировать, во-первых, что действия организации не противоречат законам, во-вторых, что состояние безопасности в организации соответствует требованиям и реагировать на случаи нарушений.
Программы служебного уровня Цель программы нижнего уровня – обеспечить надежную и экономичную защиту конкретного сервиса или группы однородных сервисов. Цель программы нижнего уровня – обеспечить надежную и экономичную защиту конкретного сервиса или группы однородных сервисов. На нижнем уровне осуществляется выбор механизмов защиты, технических и программных средств. На нижнем уровне осуществляется выбор механизмов защиты, технических и программных средств. Ответственность за реализацию программ нижнего уровня обычно несут администраторы соответствующих сервисов. Ответственность за реализацию программ нижнего уровня обычно несут администраторы соответствующих сервисов.
Модель многослойной защиты Использование многослойной модели защиты позволяет: Уменьшить шанс успеха атаки Уменьшить шанс успеха атаки Увеличить вероятность обнаружения атаки Увеличить вероятность обнаружения атаки Политики, процедуры Физическая защита Защита ОС, аутентификация, управление обновлениями Брандмауэры, управление карантином доступа Охрана, замки и запирающие устройства Сегментация сети, IPSec Защита приложений, антивирусы ACL, шифрование, EFS Документы по безопасности, обучение пользователей Периметр сети Внутренняя сеть Компьютер Приложения Данные
Описание уровня данных Документы Каталоги Файлы приложений
Документы Каталоги Просмотр, изменение и удаление информации Считывание данных каталогов Подмена и искажение файлов приложений Угрозы на уровне данных
Задачи администрирования – уровень данных На уровне данных задача администрирования – управление доступом к данным. На уровне данных задача администрирования – управление доступом к данным. Политики управления доступом – дискреционная, мандатная, ролевая. Политики управления доступом – дискреционная, мандатная, ролевая. Инструменты управления доступом – списки прав доступа (ACL), метки доступа, биты защиты и т.п. Инструменты управления доступом – списки прав доступа (ACL), метки доступа, биты защиты и т.п. Доступ к данным регулируется на уровне файловой системы – доступ к файлам, на уровне объектов БД – доступ к таблицам, представлениям. Доступ к данным регулируется на уровне файловой системы – доступ к файлам, на уровне объектов БД – доступ к таблицам, представлениям. Шифрование данных – установка и администрирование PKI. Шифрование данных – установка и администрирование PKI. Обеспечение регулярного резервного копирования. Обеспечение регулярного резервного копирования.
Описание уровня приложений Данный уровень включает как клиентскую, так и серверную часть приложения Данный уровень включает как клиентскую, так и серверную часть приложения Требуется поддержка функционирования Требуется поддержка функционирования Клиентские приложения: Microsoft Outlook, Microsoft Office Suite Серверные приложения: Web Servers, Exchange Server, SQL Server
Нарушения на уровне приложений Потеря функциональности приложения Потеря функциональности приложения Исполнение вредоносного кода Исполнение вредоносного кода Чрезмерная нагрузка на приложение – DoS атака Чрезмерная нагрузка на приложение – DoS атака Нежелательное использование приложения Нежелательное использование приложения
Задачи администрирования – уровень приложений На уровне приложений основные задачи администрирования – определение прав пользователей на запуск и управление процессами. На уровне приложений основные задачи администрирования – определение прав пользователей на запуск и управление процессами. Установление прав доступа к прикладным программам и процессам. Установление прав доступа к прикладным программам и процессам. Управление групповыми политиками на ограничение использования ПК. Управление групповыми политиками на ограничение использования ПК.
Описание уровня хоста Включает отдельные ПК пользователей сети Включает отдельные ПК пользователей сети Часто играет специальную роль в ИС Часто играет специальную роль в ИС Обеспечение ИБ хоста требует баланса между защищенностью и удобством работы пользователя Обеспечение ИБ хоста требует баланса между защищенностью и удобством работы пользователя
Уязвимости уровня хоста Использование небезопасной конфигурации ОС Использование уязвимостей ОС Распространение вирусов Несанкционированный доступ
Задачи администрирования – уровень хоста На уровне хоста основные задачи администрирования – определение прав пользователей на работу с компьютером (разграничение входа). На уровне хоста основные задачи администрирования – определение прав пользователей на работу с компьютером (разграничение входа). Определение ограничений на выполнение программ и приложений в вычислительной системе. Определение ограничений на выполнение программ и приложений в вычислительной системе.
Описание уровня ЛВС Wireless Network Отдел продаж Финансовый отдел Отдел кадров Отдел маркетинга
Нарушения уровня ЛВС НСД к системе Доступ к сетевому трафику НСД в Wireless Networks НСД к портам Перехват сетевых пакетов
Задачи администрирования – уровень локальной сети На уровне локальной сети основные задачи администрирования – определение прав пользователей на работу в сети (многофакторная аутентификация). На уровне локальной сети основные задачи администрирования – определение прав пользователей на работу в сети (многофакторная аутентификация). Использование инфраструктуры открытых ключей – PKI для шифрования трафика. Использование инфраструктуры открытых ключей – PKI для шифрования трафика. Использование служб каталогов для публикации ресурсов и разграничения прав доступа. Использование служб каталогов для публикации ресурсов и разграничения прав доступа. Сегментация сети и администрирование сетевых служб. Сегментация сети и администрирование сетевых служб.
Бизнес партнер Удаленный офис Описание уровня периметра сети LAN Периметр сети включает следующие соединения: Internet Удаленный офис Бизнес партнеры Удаленные пользователи Wireless networks Интернет-приложенияInternet Удаленный офис Бизнес партнеры Удаленные пользователи Wireless networks Интернет-приложения Удаленный пользователь Internet Головной офис LAN Internet Services LAN Wireless Network
Угрозы на уровне периметра сети включают: Угрозы на уровне периметра сети Бизнес партнер Удаленныйофис Удаленный офис LAN Удаленный пользователь Internet Головнойофис Головной офис LAN Internet Services LAN Атаки на корпоративную сеть Атаки на уд. пользователей Атаки со стороны бизнес- партнеров Атаки со стороны удаленного Офиса Атаки со стороны служб Интернет Атаки из Интернет Атаки на корпоративную сеть Атаки на уд. пользователей Атаки со стороны бизнес- партнеров Атаки со стороны удаленного Офиса Атаки со стороны служб Интернет Атаки из Интернет Wireless Network
Защита на уровне периметра сети Защита периметра сети включает Защита периметра сети включает: Бизнес партнер Удаленный офис Wireless Network LAN Удаленный пользователь Internet Головнойофис Головной офис LAN Internet Services LAN Файерволлы Блокирование портов Трансляция портов и IP адресов VPNТуннелирование VPN карантин Файерволлы Блокирование портов Трансляция портов и IP адресов VPNТуннелирование VPN карантин
Задачи администрирования – уровень периметра сети На уровне периметра сети основные задачи администрирования – определение прав пользователей доступ в сеть Интернет из локальной сети и доступ к локальной сети из Интернет. На уровне периметра сети основные задачи администрирования – определение прав пользователей доступ в сеть Интернет из локальной сети и доступ к локальной сети из Интернет. Использование инфраструктуры открытых ключей – PKI для шифрования трафика. Использование инфраструктуры открытых ключей – PKI для шифрования трафика. Администрирование инфраструктурных сетевых служб для работы в сети Интернет. Администрирование инфраструктурных сетевых служб для работы в сети Интернет. Администрирование веб-сервисов. Администрирование веб-сервисов.
Компьютерные сети Под вычислительной (компьютерной) сетью понимается совокупность компьютеров, объединенных коммуникационной системой и снабженных необходимым программным обеспечением, позволяющим пользователям и приложениям получать доступ к ресурсам удаленных компьютеров. Под вычислительной (компьютерной) сетью понимается совокупность компьютеров, объединенных коммуникационной системой и снабженных необходимым программным обеспечением, позволяющим пользователям и приложениям получать доступ к ресурсам удаленных компьютеров.
Сетевые операционные системы Сетевая операционная системы – комплекс программных модулей, предназначенный для повышения эффективности аппаратных ресурсов компьютера путем рационального управления его ресурсами и разделения ресурсов между множеством выполняемых в сети процессов. Сетевая ОС обеспечивает пользователю некоторую виртуальную вычислительную систему, упрощающую работу с ней.
Функциональные компоненты сетевой ОС Основные компоненты сетевой ОС: Основные компоненты сетевой ОС: Средства управления локальными ресурсами компьютера реализует все функции ОС автономного компьютера (управление процессами, оперативной памятью, управление внешней памятью, пользователями и т.п.) Средства управления локальными ресурсами компьютера реализует все функции ОС автономного компьютера (управление процессами, оперативной памятью, управление внешней памятью, пользователями и т.п.) Сетевые средства, разделяемые на три компонента: Сетевые средства, разделяемые на три компонента: Серверная часть ОС – средства предоставления локальных ресурсов и сервисов в общее пользование Серверная часть ОС – средства предоставления локальных ресурсов и сервисов в общее пользование Клиентская часть ОС – средства запроса на доступ к удаленным ресурсам и сервисам Клиентская часть ОС – средства запроса на доступ к удаленным ресурсам и сервисам Транспортные средства ОС, совместно с коммуникационной системой обеспечивающие передачу сообщений между компьютерами Транспортные средства ОС, совместно с коммуникационной системой обеспечивающие передачу сообщений между компьютерами
Взаимодействие двух компьютеров в сети
Сетевые службы и сервисы Сетевой службой называется совокупность серверной и клиентской частей ОС, предоставляющих доступ к конкретному типу ресурса компьютера через сеть. Сетевой службой называется совокупность серверной и клиентской частей ОС, предоставляющих доступ к конкретному типу ресурса компьютера через сеть. Сервис – интерфейс между потребителем услуг (пользователем или приложением) и поставщиком услуг (службой) Сервис – интерфейс между потребителем услуг (пользователем или приложением) и поставщиком услуг (службой)
Типы сетевых ОС В зависимости от распределения функций между компьютерами, они могут выступать в роли выделенного сервера или клиентского узла В зависимости от распределения функций между компьютерами, они могут выступать в роли выделенного сервера или клиентского узла Сеть может быть построена по следующим схемам: Сеть может быть построена по следующим схемам: На основе компьютеров, совмещающих функции клиента и сервера – одноранговая сеть На основе компьютеров, совмещающих функции клиента и сервера – одноранговая сеть На основе клиентов и серверов – сеть с выделенными серверами На основе клиентов и серверов – сеть с выделенными серверами Сеть, включающая узлы разных типов – гибридная сеть. Сеть, включающая узлы разных типов – гибридная сеть.
Модели сетевых служб и распределенных приложений Выделяют три основных параметра организации работы приложений в сети: Выделяют три основных параметра организации работы приложений в сети: Способ разделения приложения на части, выполняющиеся на разных компьютерах сети; Способ разделения приложения на части, выполняющиеся на разных компьютерах сети; Выделение специализированных серверов в сети, на которых выполняются некоторые общие для всех приложений функции; Выделение специализированных серверов в сети, на которых выполняются некоторые общие для всех приложений функции; Способ взаимодействия между частями приложений, работающих на разных компьютерах. Способ взаимодействия между частями приложений, работающих на разных компьютерах.
Способы разделения приложений на части Приложения условно можно разделить на следующие функциональные части: Приложения условно можно разделить на следующие функциональные части: Средства представления данных на экране; Средства представления данных на экране; Логика представления данных на экране (описывает правила и сценарии взаимодействия пользователя с приложениями); Логика представления данных на экране (описывает правила и сценарии взаимодействия пользователя с приложениями); Прикладная логика (правила для принятия решений, вычислительные процедуры и т.п.); Прикладная логика (правила для принятия решений, вычислительные процедуры и т.п.); Логика данных – операции с данными, хранящимися в некоторой базе; Логика данных – операции с данными, хранящимися в некоторой базе; Внутренние операции БД – действия СУБД, вызываемые в ответ на выполнение запросов логики данных; Внутренние операции БД – действия СУБД, вызываемые в ответ на выполнение запросов логики данных; Файловые операции – стандартные операции над файлами и файловой системой. Файловые операции – стандартные операции над файлами и файловой системой.
Двухзвенные схемы Двухзвенные схемы описывают разделение функций приложения между двумя компьютерами: Двухзвенные схемы описывают разделение функций приложения между двумя компьютерами: Централизованная обработка данных; Централизованная обработка данных; Схема «файл-сервер» Схема «файл-сервер» Схема «клиент-сервер» Схема «клиент-сервер»
Централизованная обработка данных Компьютер 1 Компьютер 2 Эмуляция терминала сервера Логика приложений и обращения к БД Операции базы данных Файловые операции клиентсервер Достоинства схемы: Достоинства схемы: Ресурсы клиентского компьютера используются в незначительной степени, загружаются только графические средства ввода-вывода; Ресурсы клиентского компьютера используются в незначительной степени, загружаются только графические средства ввода-вывода; Простота организации программы; Простота организации программы; Недостатки схемы: Недостатки схемы: Недостаточная масштабируемость; Недостаточная масштабируемость; Отсутствие отказоустойчивости. Отсутствие отказоустойчивости.
Схема «файл-сервер» Компьютер 1Компьютер 2 Эмуляция терминала сервера Логика приложений и обращения к БД Операции базы данных Файловые операции клиент сервер сервер Достоинства схемы: Достоинства схемы: Данная схема обладает хорошей масштабируемостью, поскольку дополнительные пользователи и приложения добавляют лишь незначительную нагрузку на центральный узел – файловый сервер. Данная схема обладает хорошей масштабируемостью, поскольку дополнительные пользователи и приложения добавляют лишь незначительную нагрузку на центральный узел – файловый сервер. Недостатки схемы: Недостатки схемы: Во многих случаях возрастает нагрузка, что приводит к увеличению времени реакции на приложения; Во многих случаях возрастает нагрузка, что приводит к увеличению времени реакции на приложения; Клиентский компьютер должен обладать высокой вычислительной мощностью, чтобы справляться с представлением данных, логикой приложений, логикой данных и поддержкой операции БД Клиентский компьютер должен обладать высокой вычислительной мощностью, чтобы справляться с представлением данных, логикой приложений, логикой данных и поддержкой операции БД
Схема «клиент-сервер» Компьютер 1Компьютер 2 Эмуляция терминала сервера Логика приложений и обращения к БД Операции базы данных Файловые операции клиентсервер Достоинства схемы: Достоинства схемы: Данная схема более равномерно распределяет функции между клиентской и серверной частями системы; Данная схема более равномерно распределяет функции между клиентской и серверной частями системы; Клиентский компьютер выполняет функции, специфические для данного приложения; Клиентский компьютер выполняет функции, специфические для данного приложения; Сервер – функции, реализация которых не зависит от специфики приложения, и данные функции могут быть оформлены в виде сетевых служб. Сервер – функции, реализация которых не зависит от специфики приложения, и данные функции могут быть оформлены в виде сетевых служб.
Многозвенные схемы Компьютер 1 Компьютер 2 Компьютер 3 Эмуляция терминала сервера Логика приложений и обращения к БД Операции базы данных Файловые операции клиент Сервер приложений Сервер баз данных Централизованная реализация логики приложения решает проблему недостаточной вычислительной мощности клиентских компьютеров для сложных приложений, упрощает администрирование и поддержку системы; Централизованная реализация логики приложения решает проблему недостаточной вычислительной мощности клиентских компьютеров для сложных приложений, упрощает администрирование и поддержку системы; Упрощается разработка крупных приложений, поскольку четко разделены платформы и инструменты для реализации интерфейса и прикладной логики. Упрощается разработка крупных приложений, поскольку четко разделены платформы и инструменты для реализации интерфейса и прикладной логики.
источники