Тенденции развития средств обеспечения информационной безопасности

Введение

    В современном мире, информационные технологии и системы, приобретая глобальный характер и охватывая все сферы социальной деятельности человека, оказывают все большее влияние на общество. Создание технологий и индустрии сбора, переработки, анализа информации и её доставки конечному пользователю порождает ряд сложных проблем. Одной из таких проблем является надежное обеспечение сохранности и установленного статуса информации, в том числе - актуальности, полноты, непротиворечивости и конфиденциальности, а также безопасность самих систем и технологий.

    Под информационной безопасностью систем понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации.

    В связи с этим, обеспечение защиты информационных ресурсов и принятие мер по борьбе против несанкционированного доступа к информации является одной из важнейших требований при создании современных информационных и коммуникационных систем. И данная справка посвящается некоторым аспектам защиты информационных ресурсов и развития средств обеспечения их информационной безопасности.

    На сегодняшний день в Республике Узбекистан уделяется особое внимание задачам и проблемам обеспечения информационной безопасности на государственном уровне. Об этом свидетельствуют законы Республики Узбекистан, указы и постановления Президента Республики Узбекистан, постановления Правительства и руководящие документы министерств и ведомств, связанные с регулированием различных аспектов в области информационных технологий.

    Учитывая вышесказанное, на сегодняшней день построение системы, обеспечения информационной безопасности, и ее функционирование должны осуществляться с учетом традиционных и новых угроз со следующими основными принципами которые заключаются в:

  • обеспечение законности;
  • системном и комплексном подходе;
  • обеспечение своевременности и непрерывности защиты;
  • экономической целесообразности и достаточности защиты;
  • минимизации полномочий и персонализации ответственности;
  • использование открытых алгоритмов и механизмов защиты, также обеспечение гибкости системы защиты;
  • обеспечение постоянного контроля и т.д.

Факторы и источники угроз информационной безопасности

    Ни одна сфера жизни цивилизованного государства не может эффективно функционировать без развитой информационной инфраструктуры. Безопасность информации выдвигается на первый план и становится элементом национальной безопасности. Защита информации, несомненно, должна рассматриваться как одна из приоритетных государственных задач. Происходящие в стране преобразования оказывают непосредственное влияние на ее информационную безопасность. Возникают новые факторы, которые нужно учитывать при оценке состояния информационной безопасности и определении ключевых проблем в этой области.

    Всю совокупность факторов можно разделить на политические, экономические и организационно-технические.

    К политическим факторам следует отнести:

  • становление новой государственности на основе принципов демократии, законности, информационной открытости;
  • изменение геополитической обстановки вследствие фундаментальных перемен в различных регионах мира, сведения к минимуму вероятности мировой ядерной и обычной войн;
  • информационная экспансия США и других развитых стран, осуществляющих глобальный мониторинг мировых политических, экономических, военных, экологических и других процессов, распространяющих информацию в целях получения односторонних преимуществ;
  • нарушение информационных связей вследствие образования независимых государств на территории бывшего СССР;
  • низкая общая правовая и информационная культура в обществе.

    Среди экономических факторов наиболее существенными являются:

  • переход на рыночные отношения в экономике, появление множества отечественных и зарубежных коммерческих структур - производителей и потребителей информации, средств информатизации и защиты информации, включение информационной продукции в систему товарных отношений;
  • критическое состояние отраслей промышленности, производящих средства информатизации и защиты информации;
  • расширяющаяся кооперация с зарубежными странами в развитии информационной инфраструктуры.

    Из организационно-технических факторов определяющими являются:

  • недостаточная нормативно-правовая база информационных отношений, в том числе в области обеспечения информационной безопасности;
  • широкое использование в сфере государственного управления и кредитно-финансовой сфере незащищенных от утечки информации импортных технических и программных средств для хранения, обработки и передачи информации;
  • рост объемов информации, передаваемой по открытым каналам связи, в том числе по сетям передачи данных и межмашинного обмена.

    Оценка состояния информационной безопасности и определение ключевых проблем в этой области должны базироваться на анализе источников угроз.

    Источники угроз можно разделить на внешние и внутренние.

    К внешним источникам относятся:

  • политика иностранных государств в области глобального информационного мониторинга, распространения информации и новых информационных технологий;
  • деятельность иностранных разведывательных и специальных служб;
  • деятельность иностранных политических и экономических структур, направленная против интересов государства;
  • преступные действия международных групп, формирований и отдельных лиц;
  • стихийные бедствия и катастрофы.

    Внутренними источниками угроз являются:

  • противозаконная деятельность политических и экономических структур в области формирования, распространения и использования информации;
  • нарушения установленных регламентов сбора, обработки и передачи информации;
  • преднамеренные действия и непреднамеренные ошибки персонала информационных систем;
  • отказы технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах.
  • стихийные бедствия и катастрофы.

    При этом необходимо понимать, что эти угрозы в настоящее время носят не умозрительный характер, а каждой из них соответствуют целенаправленные конкретных действий.

Риски информационной безопасности

    Риск информационной безопасности определяется как произведение финансовых потерь (ущерба), связанных с инцидентами безопасности, и вероятности того, что они будут реализованы. Данное определение подходит при рассмотрении различных архитектур информационных систем. Информация может существовать в различных формах. Она может быть написана на бумаге, храниться в электронном виде, пересылаться по почте или с использованием электронных средств, транслироваться на экране или обсуждаться в разговоре. Какие бы формы информация ни принимала, она всегда должна быть защищена соответствующим образом.

    Всеобщая «соединенность» и Интернет вещей создают неконтролируемые риски

    На подходе – гигабитные мобильные соединения, с появлением которых начнут стремительно развиваться Интернет вещей и новые классы приложений, обрабатывающих огромные объемы данных о местонахождении, погоде, работе промышленного оборудования. Поскольку сетевые соединения сегодня обходятся дешево и широко распространены, появилась возможность повсеместно размещать датчики – формируется глобальная экосистема встроенной электроники, которую практически невозможно полноценно защитить.

    На фоне всех этих проблем, все чаще стал звучать термин «темный Web» или «темный Интернет». Уже сейчас там можно найти весь комплект запрещенной или нежелательной информации, на пример — продажа оружия и наркотиков, порнография, услуги по похищению и убийству людей и т. п. Угрозой является то что, он не индексируется обычными поисковыми сервисами и на данный момент, в нем очень проблематично найти пользователя. Кроме этого с развитием информационных технологий и микроэлектроники, на сегодня предоставляются огромные возможности по подключению к Интернет практически любых гаджетов, так называемых «Интернет вещей», из которых можно собрать сложную систему, выполняющую команды управляющего устройства, в качестве которого может выступать компьютер, планшет или смартфон.

    Проведенные исследования американских специалистов показали, что, к 2020 году количество оборудования подключенных к интернет может достичь 50ти миллиардов. В результате анализа различных источников, можно с уверенностью сказать, что в ближайшем будущем востребованность в защите «Интернет вещей» используемых в различных отраслях жизнедеятельности человека и защиты от незаконного сервиса предлагаемого «темным Интернетом» будет стремительно возрастать.

    Во многих организациях внедряют решения Интернета вещей без должных мер безопасности и управления рисками. Разумеется, никто не ведет речь о том, что организациям нужно вообще отказаться от таких решений, но следует знать, где именно используются соединенные устройства и к каким данным у них есть доступ, чтобы принимать соответствующие меры безопасности.

    Беспокойства, прежде всего, вызывает критически важная инфраструктура. Если говорить о технике «умных» городов, системах управления производственными процессами и т. д. – все они базируются на Интернете вещей. Целиком все защитить невозможно, но и избавляться от встроенных систем не нужно. Необходимо внедрить средства безопасности, которые позволят реагировать и сдерживать как можно больше угроз. Нужно реалистично взглянуть на доступные возможности в области управления применением устройств Интернета вещей.

Тенденции в области информационной безопасности которые наблюдаются в последнее время в мире и в Узбекистане (в плане угроз и средств защиты)

    Тенденции в целом общие для всех участников информационного пространства. Это рост проникновения информационных технологий во все сферы жизни, повышение сложности информационных систем, и как следствие, повышение зависимости от таких систем. То есть одновременно с удобствами технологиями появились и неизвестные ранее риски. Особенно хорошо заметен взрывной рост технологий, если почитать публикации прошлых лет - виден рост скоростей передачи данных, производительности, объемов хранения, сложности систем. Также стремительно возрастает и сложность обеспечения информационной безопасности.

    Тенденции в области построения систем защиты информации

    Обеспечению целостности, доступности и конфиденциальности информации при ее обработке в автоматизированных системах, уделяют много внимания. Сложность в том, что кроме требований конфиденциальности, одновременно необходимо обеспечивать максимальную степень ее целостности и высокую степень доступности. Для защиты информации нужен целый комплекс мер. По возможности большинство операций должно быть автоматизировано. При проектировании, разработке и эксплуатации систем должны соблюдаться основополагающие принципы: разделение полномочий, использование минимально необходимого уровня доступа, а также, там, где это необходимо – принципы двойного контроля.

    Оптимальный способ – внедрить решение, которое будет защищенно хранить пароли так, что они останутся неизвестными самим пользователям, и регулярно выполнять проверку и ротацию. Генерирующие сложные много символьные пароли, которые записываются без оповещения пользователя в его смарт-карту для доступа к корпоративным информационным ресурсам, используются в ряде государственных структур уже около 10 лет и оправдали себя с точки зрения информационной безопасности.

    В организации необходимо начать более надежную защиту не только системы, но и самих привилегированных пользователей – их «поставят на учет», будут следить за их действиями и блокировать доступ к системам, которые им не требуются для работы. Система управления привилегиями жестко ограничит в возможностях. Мониторинг событий информационной безопасности: несвоевременное выявление инцидентов значительно снижает успех проводимого расследования. Здесь на помощь специалистам приходят SIEM-системы. Исключение избыточности привилегий в информационных системах. Внедрение строгой парольной политики. Своевременное обновление программного обеспечения - как только разработчики выпустили патч. Для гарантированного обновления всех серверов и рабочих станций можно использовать централизованные средства управления обновлениями. Проверка защищенности веб - приложений и регулярное тестирование на проникновение.

    Одной из тенденций должно стать развитие доли отечественных программных продуктов в связи с вопросами импортозамещения и внешнеполитической ситуацией. Однако насколько это найдет отражение в финансовых показателях - во многом будет зависеть от курса валюты и ценовой политики иностранных вендоров, до сих пор занимающих основную часть отечественного рынка программных решений.

Современные средства обеспечения безопасности информации

    Средства обеспечения безопасности – это ресурсы, обеспечивающие безопасность.

    Рассмотренные методы обеспечения безопасности реализуются на практике за счет применения различных средств защиты, таких, как технические, программные, организационные, законодательные и морально-этические. Можно считать, что средства защиты информации реализуют описанные выше методы её защиты, при этом один и тот же метод может применяться в разных средствах защиты. Например, препятствие по доступу к информации может быть поставлено кодовым замком на двери, персоналом охраны, требованием пароля при входе в компьютерную систему и т.п.

    К основным средствам защиты, используемым для создания механизма защиты, относятся следующие:

  1. Технические средства реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на аппаратные и физические. Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу.
  2. Физические средства реализуются в виде автономных устройств и систем. Например, замки на дверях, где размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации.
  3. Программные средства представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации.
  4. Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование компьютерной информационной системы банковской деятельности, монтаж и наладка оборудования, испытания, эксплуатация).
  5. Правовые средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Комплексные решения обеспечений информационные безопасности

    Под комплексным решением информационной безопасности (системой защиты информации) понимается организованная совокупность специальных органов, служб, средств, методов и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утечке. Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности.

    Безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты на всех этапах обработки информации.

    Рассмотрим подробнее несколько направлений комплекса решений информационной безопасности.

    UTM (Unified threat management) - универсальное устройство, решение в сфере компьютерной безопасности, обеспечивающее мощную комплексную защиту от сетевых угроз. Эта технология появилась примерно в 2004 году как реакция на новые изощренные атаки, с которыми привычные файерволы уже не справлялись. UTM - модификация обыкновенного файервола, продукт «все включено», объединяющий в себе множество функций, связанных с обеспечением безопасности, например: система обнаружения и предотвращения вторжений, межсетевой экран, VPN, антивирус.

    Термин UTM был впервые введен компанией IDC, занимающейся изучением мирового рынка информационных технологий и телекоммуникаций. Преимуществом единой системы безопасности является следующее: вместо того, чтобы администрировать множество отдельных устройств, каждое из которых в отдельности выполняет роль антивируса, контент-фильтра, службы предотвращения вторжений (IPS), спам-фильтра и прочих, предлагается единое UTM-устройство с гибкими настройками, охватывающее все вышеописанные функции.

Программные компоненты

    Firewall

    Комплексный межсетевой экран обеспечивает защиту от атак как на уровне сети, так и на уровне приложений. Поддержка аутентификации позволяет предоставлять доступ к внутренним ресурсам только санкционированным пользователям, настроить различные права доступа для каждого пользователя. Также поддерживает NAT - трансляцию сетевых адресов, позволяя скрывать внутреннюю топологию сети компании.

    IPSEC VPN

    Объединяет в себе функции контроля доступа, аутентификации, шифрования для обеспечения простого и быстрого создания безопасных VPN сетей на основе правил маршрутизации или на основе домена шифрования. Возможность безопасного подключения удаленных пользователей, удаленных объектов и сетей.

    URL Filtering

    Данная служба ограничивает возможность посещения сотрудниками нежелательных сайтов. Имеется поддержка большой базы URL-адресов с разбиением на категории по контенту. При желании можно настраивать черные и белые списки на отдельных пользователей или сервера.

    Antivirus & Anti-Malware

    Работает с протоколами уровня приложений: HTTP, FTP, SMTP и POP3. Осуществляет проверку на вирусы на шлюзе безопасности до их возможного попадания на компьютеры пользователей. Также производит распаковку и сканирование архивированных файлов в режиме реального времени.

    Anti-Spam & Email Security

    Осуществляется блокировка спама на основе проверки репутации IP-адреса, блокировка на основании содержимого, черных и белых списков. Возможно наличие IPS для почты, обеспечивающее защиту от DoS-атак, атак на переполнение буфера. Обеспечивается сканирование содержимого на наличие вредоносного ПО.

    Acceleration and Clustering

    Этот компонент разработан для повышения производительности межсетевого экрана за счет его разгрузки и повышения пропускной способности, балансировки нагрузки на вычислительные ядра. Балансировка траффика между резервными шлюзами обеспечивает отказоустойчивость и перенаправление трафика при отказе одного из шлюзов сети.

    Web Security

    Мониторинг Web-сессий на наличие потенциально исполняемого кода, подтверждение наличия такого кода, идентификация враждебности исполняемого кода, блокирование враждебного кода до достижения им целевого хоста. Возможность сокрытия информации о сервере в HTTP-ответе для предотвращения её получения атакующим.

    Цель создания UTM-системы - предоставить наиболее полный набор утилит для безопасности в одном продукте, простом в использовании. Интегрированные решения наподобие UTM-решений развивались по мере необходимости предупреждать все более новые, сложные, смешанные сетевые угрозы.

    Одно UTM-устройство упрощает управление стратегией безопасности компании. Используется одно устройство вместо нескольких слоев аппаратного и программного обеспечения. Настроить все составляющие и отслеживать их состояние можно из одной консоли. Для предприятий с удаленными офисами и сетями UTM-решения предоставляют централизованную защиту и контроль территориально удаленных сетей.

    Достоинства

  1. Уменьшение количества устройств. Одно устройство, один производитель;
  2. Сокращение количества разнообразного программного обеспечения, а следовательно и расходов на его поддержку;
  3. Простое управление. Расширяемая архитектура, веб-интерфейс для управления настройками;
  4. Более быстрое обучение, необходимое для работы с одним устройством.

    Недостатки

  1. UTM является единой точкой отказа. Тем не менее, вероятность отказа такого устройства невелика;
  2. Возможно влияние на время отклика и пропускную способность сети, если UTM-устройство не поддерживает максимально возможную в сети скорость передачи траффика.

    NGFW (next generation firewall) - "фаервол следующего поколения". Данное устройство очень схоже с UTM, имеет практически такой же функционал. Первоначально создавалось, как попытка объединить фильтрацию по портам и протоколам с функционалом IPS и возможностью обработки траффика на уровне приложений. Со временем были добавлены и другие функции. NGFW создавался для крупных предприятий, в отличие от UTM-решений, которые рассчитывались для среднего бизнеса.

    SIEM (Security information and event management) - объединение двух терминов, обозначающих область применения ПО: SIM (Security information management) - управление информационной безопасностью и SEM (Security event management) - управление событиями безопасности. Технология SIEM обеспечивает анализ в реальном времени событий безопасности, исходящих от сетевых устройств и приложений.

    Понятие управление событиями информационной безопасности (SIEM), введенное Марком Николеттом и Амритом Вильямсом из компании Gartner в 2005 г., описывает функциональность сбора, анализа и представления информации от сетевых устройств и устройств безопасности, приложений идентификации (управления учетными данными) и управления доступом, инструментов поддержания политики безопасности и отслеживания уязвимостей, операционных систем, баз данных и журналов приложений, а также сведений о внешних угрозах. Основное внимание уделяется управлению привилегиями пользователей и служб, сервисам директорий и другим изменениям конфигурации, а также обеспечению аудита и обзора журналов, реакциям на инциденты.

    Функциональность

  • Агрегация данных: управление журналами данных; данные собираются из различных источников сетевые устройства и сервисы, датчики систем безопасности, серверы, базы данных, приложения; обеспечивается консолидация данных с целью поиска критических событий;
  • Корреляция: поиск общих атрибутов, связывание событий в значимые кластеры. Технология обеспечивает применение различных технических приемов для интеграции данных из различных источников для превращения исходных данных в значащую информацию. Корреляция является типичной функцией подмножества Security Event Management;
  • Оповещение: автоматизированный анализ коррелирующих событий и генерация оповещений (тревог) о текущих проблемах. Оповещение может выводиться на «приборную» панель самого приложения, так и быть направлено в прочие сторонние каналы: e-mail, GSM-шлюз и тп;
  • Средства отображения (информационные панели): отображение диаграмм помогающих идентифицировать паттерны отличные от стандартного поведения;
  • Совместимость: применение приложений для автоматизации сбора данных, формированию отчетности для адаптации агрегируемых данных к существующим процессам управления информационной безопасностью и аудита;
  • Хранение данных: применение долговременного хранилища данных в историческом порядке для корреляции данных по времени и для обеспечения трансформируемости. Долговременное хранение данных критично для проведения компьютерно-технических экспертиз, поскольку расследование сетевого инцидента вряд ли будет проводиться в сам момент нарушения;
  • Экспертный анализ: возможность поиска по множеству журналов на различных узлах; может выполняться в рамках программно-технической экспертизы.

    Если рассматривать на рынке ИБ в последнее время востребованными становятся комплексные решения, где различные функциональности интегрируются, на пример:

  • Корпоративные межсетевые экраны в настоящее время тесно взаимодействуют с системами обнаружения и предотвращения сетевых атак. Как правило, с ними уже интегрируются и средства построения виртуальных частных сетей. Достаточно известны в данном сегменте программные и аппаратные решения таких компаний, как CiscoSystems, Checkpoint, Microsoft;
  • На рынке антивирусного ПО наблюдается тенденция его интеграции с персональными брандмауэрами. Широко известны в этой области компании Symantec, "Лаборатория Касперского", McAfee, предлагающие продукты, которые отвечают высоким требованиям информационной безопасности.

    Также наблюдается увеличение спроса на системы биометрического контроля и аутентификации. Как показала практика, данные системы достаточно хорошо решают проблемы так называемого человеческого фактора.

    Также проблемы с анонимностью - на сегодня существующие средства обеспечения информационной безопасности, способны обнаруживать простые утечки в своих корпоративных сетях и их блокированию, большинство DLP-решений рассчитано на борьбу с простыми утечками по самым распространенным каналам - электронной почте, ICQ, Web -почте.

Заключение

    Важно знать, что характерной особенностью электронных данных является возможность легко и незаметно искажать, копировать или уничтожать их. Поэтому необходимо организовать безопасное функционирование данных в любых информационных системах, т.е. защищать информацию. Наибольший ущерб информации и информационным системам наносят неправомерные действия сотрудников и компьютерные вирусы. Для защиты информации в компьютерах и информационных сетях широко используются разнообразные программные и программно-технические средства защиты. Они включают различные системы ограничения доступа на объект, сигнализации и видеонаблюдения.

    Как показал анализ, внедрение современных систем происходило постепенно. Для безопасности сети сначала стали использовать межсетевые экраны. Однако, развитие бизнес-процессов требовало обеспечения защищенного удаленного доступа, и вскоре к экранам были добавлены технологии VPN (виртуальных частных сетей). Хакерские атаки приковывали все больше внимания, это стало причиной разработки систем IPS/IDS. По внешнему периметру сеть стали охранять различные усовершенствованные средства антивирусной защиты и борьбы со спамом. Широко подключилась веб-фильтрация. Вскоре стали задействовать контент-фильтрацию, системы DLP и эффективные мероприятия WAN-оптимизаторов. Наиболее практикуемым способом защиты информации стал комплексный подход, куда входит комплекс мероприятий по обеспечению сохранности и защиты информации, объектов и людей, включая организационные, физические, социально-психологические мероприятия и инженерно-технические средства защиты.

    Совместное применение многих инструментов нередко приводило к сложностям в координации управления. Проблемы с интеграцией средств защиты данных в имеющуюся инфраструктуру увеличивались, поскольку использовались продукты разных производителей и с совместимостью устройств возникали различные накладки. Так пришли к идее создания комплексного решения (в одной системе), которая бы объединила многочисленные функции в одном устройстве. На это время платформы стали достаточно производительными, они были способны справляться с несколькими задачами одновременно.

    Появившиеся решения позволили сократить затраты на обеспечение информационной защиты и увеличить сам уровень безопасности. Наполнение многофункциональных устройств были максимально оптимизированы для работы одновременно всех функций, которые в них включены.