Файл: Курс лекций по дисциплине Сертификация информационных систем. Предназначено для студентов специальности Информационные системы и программирование.pdf

58 1. Мониторинг клавиатуры. Система записывает все нажимаемые клави- ши, включая системные (CTRL, SHIFT, ALT, CAPS LOCK), кроме этого, могут быть записаны название окна, в которое производился ввод, язык раскладки и т. д. Это позволяет контролировать использование конфиденциальной ин- формации, восстанавливать забытые пароли, отслеживать объем проделанной работы (для стенографисток). Программа, занимающаяся только перехватом нажатий клавиш, называется кейлоггер. Для Windows кейлоггеры создаются с помощью так называемых хуков, когда между нажатием клавиши и отправкой сообщения окну о факте нажатия вклинивается сторонняя функция, которая отмечает факт нажатия клавиши. В Unix-подобных системах, использующих
Х-сервер, кейлаггеры реализуются посредством функции XQueryKeymap из библиотеки Xlib.
2. Буфер обмена. Система сохраняет все, что было скопировано в буфер обмена, и почти всегда сопутствующую информацию. Это позволяет предотвра- тить потерю информации, дает возможность обнаружить разглашение конфи- денциальной информации. Windows предоставляет стандартную функцию для этих целей SetClipboardViewer, для Linux это делается через Xlib. Также есть платформонезависимые средства управления буфером обмена, например Qt.
Запоминаются все действия с файлами: копирование, удаление, редакти- рование и программа, через которую действие совершено. Это позволяет уста- новить, какие файлы использовал сотрудник для своей работы, и выявить ви- русную атаку. Для Windows программно это реализуется подменой стандарт- ных функций чтения/записи файла в соответствующих DLL. В Linux этого можно достичь, перехватывая системные вызовы.
3. Печать файлов. Через принтер может утечь конфиденциальная инфор- мация, достаточно распечатать важный документ и вынести с предприятия, по- этому сохраняются названия печатаемых файлов, время и дата печати. Также печатаемые файлы могут сохраняться как в виде исходного файла, так и в виде графического файла. В Windows для таких целей предусмотрен Print Spooler
API, позволяющий управлять очередью печати. Для Linux теневое копирование файлов печати реализуется с помощью CUPS.
2. Брандмауэры
Фаервол или брандмауэр — это своеобразный защитный экран между се- тью Интернет и самим компьютером, который представляет собой комплекс программ для выявления и блокировки хакерских атак (рис. 11).
Брандмауэр — это система или комбинация систем, позволяющие разде- лить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую. Как правило, эта гра- ница проводится между локальной сетью предприятия и Интернет, хотя ее можно провести и внутри локальной сети предприятия. Брандмауэр таким об- разом пропускает через себя весь трафик. Для каждого проходящего пакета брандмауэр принимает решение пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения, ему необходимо определить набор
8 / 10

59
правил. О том, как эти правила описываются и какие параметры используются при их описании, речь пойдет ниже.
Рис. 11
Межсетевой экран
Как правило, брандмауэры функционируют на какой-либо UNIX-плат- форме — чаще всего это BSDI, SunOS, AIX, IRIX и т. д., реже — DOS, VMS,
WNT, Windows NT. Из аппаратных платформ встречаются INTEL, Sun SPARC,
RS6000, Alpha, HP PA-RISC, семейство RISC процессоров R4400-R5000. По- мимо Ethernet многие брандмауэры поддерживают FDDI, Token Ring, 100Base-
T, 100VG-AnyLan, различные серийные устройства. Требования к оперативной памяти и объему жесткого диска зависят от количества машин в защищаемом сегменте сети, но чаще всего рекомендуется иметь не менее 32 Мб ОЗУ и
500 Мб на жестком диске.
Как правило, в операционную систему, под управлением которой работа- ет брандмауэр, вносятся изменения, цель которых — повышение защиты само- го брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствую- щие файлы конфигурации. На самом брандмауэре не разрешается иметь счетов пользователей (а значит, и потенциальных дыр), только счет администратора.
Некоторые брандмауэры работают только в однопользовательском режиме.
Многие брандмауэры имеют систему проверки целостности программных ко- дов. При этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются при старте программы во избежание подмены программ- ного обеспечения.
Все брандмауэры можно разделить на три типа:
– пакетные фильтры (packet filter);
– серверы прикладного уровня (application gateways);
– серверы уровня соединения (circuit gateways).
Все типы могут одновременно встретиться в одном брандмауэре.
Пакетные фильтры. Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая IP-адреса, флаги или номера TCP-портов в заголовке этого пакета. IP-адрес и номер порта — это информация сетевого и транспортного уровней соответственно, но пакетные фильтры используют и информацию прикладного уровня, так как все стандарт- ные сервисы в TCP/IP ассоциируются с определенным номером порта.
9 / 10

60
Для описания правил прохождения пакетов составляются таблицы типа:
Действие тип пакета адрес источн. порт источн. адрес назнач. порт назнач. флаги.
Поле «действие» может принимать значения «пропустить» или «отбро- сить».
Тип пакета — TCP, UDP или ICMP.
Флаги — флаги из заголовка IP-пакета.
Поля «порт источника» и «порт назначения» имеют смысл только для
TCP и UDP-пакетов.
Серверы прикладного уровня. Брандмауэры с серверами прикладного уровня используют серверы конкретных сервисов — TELNET, FTP и т. д.
(proxy server), запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до брандмауэра и от бранд- мауэра до места назначения.
Полный набор поддерживаемых серверов различается для каждого кон- кретного брандмауэра, однако чаще всего встречаются серверы для следующих сервисов: терминалы (Telnet, Rlogin), передача файлов (Ftp), электронная почта
(SMTP, POP3), WWW (HTTP), Gopher, Wais X Window System (X11), принтер
Rsh, Finger новости (NNTP) и т. д.
Использование серверов прикладного уровня позволяет решить важную задачу — скрыть от внешних пользователей структуру локальной сети, вклю- чая информацию в заголовках почтовых пакетов или службы доменных имен
(DNS). Другим положительным качеством является возможность аутентифика- ции на пользовательском уровне (аутентификация — процесс подтверждения идентичности чего-либо; в данном случае это процесс подтверждения, действи- тельно ли пользователь является тем, за кого он себя выдает).
При описании правил доступа используются такие параметры, как назва- ние сервиса, имя пользователя, допустимый временной диапазон использова- ния сервиса, компьютеры, с которых можно пользоваться сервисом, схемы ау- тентификации. Серверы протоколов прикладного уровня позволяют обеспечить наиболее высокий уровень защиты — взаимодействие с внешним миром реали- зуется через небольшое число прикладных программ, полностью контроли- рующих весь входящий и выходящий трафик.
Функции брандмауэров.
1. Блокировка внешних атак. В идеале брандмауэр должен блокировать все известные типы атак, включая сканирование портов, IP-спуффинг, DoS и
DDoS, подбор паролей и пр.
2. Блокировка утечки информации. Даже если вредоносный код проник в компьютер (не обязательно через сеть, а, например, в виде вируса на купленном пиратском CD), брандмауэр должен предотвратить утечку информации, забло- кировав вирусу выход в сеть.
3. Контроль приложений. Неизбежное наличие открытых дверей (т. е. от- крытых портов) является одним из самых тонких мест в блокировке утечки информации, а один из самых надежных способов воспрепятствовать проник- новению вирусов через эти двери — контроль приложений, запрашивающих
10 / 10

61
разрешение на доступ. Кроме банальной проверки по имени файла весьма же- лательна проверка аутентичности приложения.
4. Поддержка зональной защиты. Работа в локальной сети часто подра- зумевает практически полное доверие к локальному контенту. Это открывает уникальные возможности по использованию новейших (и, как правило, потен- циально опасных) технологий. В то же время уровень доверия к интернет-кон- тенту значительно ниже, а значит, необходим дифференцируемый подход к анализу опасности того или иного содержания.
5. Протоколирование и предупреждение. Брандмауэр должен собирать строго необходимый объем информации. Избыток (равно как и недостаток) сведений недопустим. Возможность настройки файлов регистрации и указания причин для привлечения внимания пользователя приветствуются.
6. Максимально прозрачная работа. Эффективность и применяемость системы часто обратно пропорциональны сложности ее настройки, админист- рирования и сопровождения. Несмотря на традиционный скепсис в отношении
«мастеров» (wizards) по настройке и прочих буржуйских штучек, даже опытные администраторы не пренебрегают ими просто в целях экономии времени.
Нельзя забывать и об оборотной стороне медали — о недостатках, причем не отдельных решений, а всей технологии в целом.
Сетевые сканеры (брандмауэры, фаерволы) обеспечивают сетевую безо- пасность, в зависимости от функциональности контролируют входящий и ис- ходящий интернет-трафик, контролируют сетевую активность приложений, за- щищают от хакеров, загрузки вредоносного ПО.
Главное предназначение фаервола — защита сети или отдельно взятого узла от нежелательного доступа и фильтрация данных. Фаерволы имеют много разновидностей, выполняющих специфические задачи фильтрации и ограниче- ния доступа.
Персональный фаервол имеет при использовании как плюсы, так и минусы.
К основным плюсам можно отнести, конечно, значительное повышение уровня безопасности и контроль доступа к системам сети, а из основных мину- сов можно выделить блокирование нужных пользователю служб и снижение пропускной способности за счет фильтрации данных и сосредоточения всех со- единений в одном месте.
Outpost Firewall Free — бесплатный файервол для защиты персонального компьютера от хакерских атак. Кроме защиты от внешнего проникновения из сети Outpost Firewall Free позволяет проводить защиту от нелегальной утечки конфиденциальной информации посредством установленных на компьютере приложений. В отличие от других файерволов, Outpost Firewall Free начинает защищать вас сразу после установки программы.
Файерволы:
– Comodo Firewall Pro — лучший бесплатный фаервол;
– Jetico Personal Firewall 1.0.1.61;
– PC tools firewall plus;
– Safety Net 3.61.0002.
Другие неэффективны в отношении тестов утечки.
1 / 10

62
PrivateFirewall — это бесплатный персональный фаервол, обеспечиваю- щий отличную многоуровневую проактивную защиту системы от разнообраз- ных сетевых угроз и опасности, исходящей от потенциально опасного про- граммного оборудования. Пользователь сам сможет установить правила безо- пасности для Интернета и локальных сетей.
Windows 7 Firewall Control — небольшой бесплатный фаервол, защи- щающий систему от нежелательной входящей и исходящей сетевой активно- сти, контролирующий доступ приложений к Интернету.
2 / 10

63
ЛЕКЦИЯ 8. АВТОМАТИЗИРОВАННЫЕ
СРЕДСТВА АУДИТА
1. Аудит безопасности: виды и этапы
Для того чтобы гарантировать эффективную защиту от информационных атак злоумышленников, компаниям необходимо иметь объективную оценку те- кущего уровня безопасности АС. Именно для этих целей и применяется аудит безопасности.
Аудит безопасности — это процесс сбора и анализа информации об АС, необходимой для последующего проведения качественной или количественной оценки уровня защиты от атак злоумышленников.
Как правило, для проведения аудита привлекаются внешние компании, которые предоставляют консалтинговые услуги в области информационной безопасности. Инициатором процедуры аудита может являться руководство предприятия, служба автоматизации или служба информационной безопасно- сти. В ряде случаев аудит также может проводиться по требованию страховых компаний или регулирующих органов. Аудит безопасности проводится груп- пой экспертов, численность и состав которой зависят от целей и задач обследо- вания, а также сложности объекта оценки.
В настоящее время можно выделить следующие основные виды аудита
информационной безопасности:
– экспертный аудит безопасности, в процессе которого выявляются не- достатки в системе мер защиты информации на основе имеющегося опыта экс- пертов, участвующих в процедуре обследования;
– оценка соответствия рекомендациям Международного стандарта
ISO 17799, а также требованиям руководящих документов ФСТЭК (Гостехко- миссии);
– инструментальный анализ защищенности АС, направленный на выявле- ние и устранение уязвимостей программно-аппаратного обеспечения системы;
– комплексный аудит, включающий в себя все вышеперечисленные фор- мы проведения обследования.
Каждый из вышеперечисленных видов аудита может проводиться по от- дельности или в комплексе в зависимости от тех задач, которые необходимо решить предприятию. В качестве объекта аудита может выступать как АС ком- пании в целом, так и ее отдельные сегменты, в которых проводится обработка информации, подлежащей защите.
В общем случае аудит безопасности, вне зависимости от формы его про- ведения, состоит из четырех основных этапов, каждый из которых преду- сматривает выполнение определенного круга задач (рис. 12).
На первом этапе совместно с заказчиком разрабатывается регламент, ус- танавливающий состав и порядок проведения работ. Основная задача регла- мента заключается в определении границ, в рамках которых будет проведено обследование. Регламент является тем документом, который позволяет избе-
3 / 10

64
жать взаимных претензий по завершении аудита, поскольку четко определяет обязанности сторон.
Рис. 12
Основные этапы аудита безопасности
На втором этапе, в соответствии с согласованным регламентом, осуще- ствляется сбор исходной информации. Методы сбора информации включают интервьюирование сотрудников заказчика, заполнение опросных листов, ана- лиз предоставленной организационно-распорядительной и технической доку- ментации, использование специализированных инструментальных средств.
Третий этап работ предполагает проведение анализа собранной инфор- мации с целью оценки текущего уровня защищенности АС заказчика.
На четвертом этапе по результатам проведенного анализа проводится разработка рекомендаций по повышению уровня защищенности АС от угроз информационной безопасности.
2. Сбор исходных данных для проведения аудита
Качество проводимого аудита безопасности во многом зависит от полно- ты и точности информации, которая была получена в процессе сбора исходных данных. Поэтому информация должна включать в себя: существующую орга- низационно-распорядительную документацию, касающуюся вопросов инфор- мационной безопасности, сведения о программно-аппаратном обеспечении АС, информацию о средствах защиты, установленных в АС, и т. д. Более подроб- ный перечень исходных данных представлен в таблице 5.
Таблица 5
Перечень исходных данных,
необходимых для проведения аудита безопасности
Тип информации
Описание состава исходных данных
Организационно- распорядительная документация по во- просам информаци- онной безопасности политика информационной безопасности АС; руководящие документы (приказы, распоряжения, инструкции) по вопросам хранения, порядка доступа и передачи информации; регламенты работы пользователей с информационными ресурсами АС
Информация об ап- паратном обеспече- нии хостов перечень серверов, рабочих станций и коммуникационного обору- дования, установленного в АС; информация об аппаратной конфигурации серверов и рабочих стан- ций; информация о периферийном оборудовании, установленном в АС
4 / 10