Аспекти на информационната сигурност в Интернет

Драгомир Паргов Развитието и все по-широкото внедряване на информационните и комуникационни технологии естествено води до повишаване на риска от неоторизиран достъп до данни и ресурси на компютърните мрежи. Проблемът става особено актуален при свързване на корпоративна мрежа, в която се съхранява и обработва конфиденциална информация, към Интернет. Както е известно, компютърната мрежа Интернет осигурява глобална инфраструктура, но за съжаление предоставя услуги с ниска степен на сигурност и надеждност. Проблеми със сигурността на информацията (неоторизиран достъп, модификация или разрушаване на ресурси) могат да възникнат в резултат на: проследяване и достъп до електронната поща; използване слабостите на адресирането; използване на постоянни пароли в открит вид. В този контекс са приведени и следните примери: Специалисти на Агенцията за отбранителни информационни системи (Defense Information Systems Agency, DISA) в продължение на 2 г. (1994-1995 г.) са атакували около 8000, свързани с Интернет, компютри на Министерството на отбраната на САЩ. Процентът на успешните атаки е бил 88%, като от тях само 5% са разбрали за това. Подобни съобщения, за атаки (външни и вътрешни) към корпоративни мрежи, са вече факт и за нашата страна. В доклад на Института по компютърна сигурност в Сан Франциско, съвместно с Отдела по компютърна сигурност на ФБР, на тема “Изследване върху компютърната престъпност и електронната сигурност” се посочва, че в 64% от 520-те наблюдавани от Института места (правителствени, финансови, образователни и фирмени сайтове) се забелязват пробиви в сигурността, като загубите се изчисляват на около $136 млн. Броят на атаките през Интернет се е увеличил от 37% през 96 г. на 57% през 99 г., като в 23% от случаите е открадната поверителна информация. Според IT статистиците, разпространението и пораженията на вируса с кодовото наименование “ILOVEYOU” в началото на месец май т.г. може би са с най-голямо покритие в кратката, но бурна история на компютърното вирусоразпространение. Проучване на британската антивирусна лаборатория Message Labs сочи, че в световен мащаб почти няма голяма правителствена или търговска организация, незасегната от вируса. Всяка организация, комерсиална, държавна или научен институт, се нуждае от защита на своята информация от потенциални заплахи и злоупотреби, независимо дали са целенасочени или случайни. Ето защо успоредно с развитието и глобализацията на ИТ се налага да се разработват специализирани устройства и софтуер и на тяхна основа да се изграждат системи за защита на информацията. В средата на Интернет съвременните ключови технологии подобряват съществено качеството на предоставяните услуги, преди всичко по отношение на сигурността и надеждността. Компютърната защита е задължителен елемент и позволява на съвременните ИС при изпълнението на приложните задачи да запазват цялостността, наличността и конфиденциалността на ресурсите на компютърната система, в това число хардуера, софтуера, фърмуера, информацията и комуникационната инфраструктура. Доколкото сигурността на информациятта е най-важният и определящ компонент на компютърната защита се налага и понятието информационна сигурност. Водещите решения в тази област са на компаниите, положили основите на Интернет технологията, включително Cisco Systems, Hewlett-Packard, Sun Microsystems, Netscape. Не по-малко значение имат и средствата и решенията за информационна сигурност, предлагани от специализиралите се в тази проблемна област фирми като Check Point Software, Internet Security Systems, RSA Data Security, Trend Micro, Vasco Data Security, и много други. Решенията Системите за информационна сигурност представляват сложен комплекс от продукти, технологии и решения на различни по характер задачи, но с подчертано изискване за интегриране в единен комплекс. Фирмите, работещи в тази проблемна област, предлагат широк спектър от продукти и технологии за сигурност в Интернет/Интранет, екстранет и мрежи с отдалечен достъп. При реализацията на проекти с подобен род продукти и технологии системните интегратори трябва да отделят особено внимание на възможността за интегриране и централизирано управление на отделните модули на системата за информационна сигурност, като се съблюдават следните принципи: Стандартизация и отвореност – предлаганите решения трябва да се основават на международни стандарти, протоколи за сигурност и препоръки, така че разработваните системи да са отворени към бъдещо развитие. Част от поддържаните стандарти включват: - IPSEC (IPSecurity) с редица допълнителни протоколи: - RSA и MD5 за идентификация; - DES и 3DES за IPSEC криптиране; - SSL (Secure Sockets Layer) за защита на комуникационния канал по врема на сесия; - X.509 стандарт, дефиниращ синтаксиса и семантиката на цифровите сертификати; - TACACS и RADIUS протоколи за автентикация; - S/MIME (Secure Multipurpose Internet Mail Extension) – защитно разширение на стандарта за електронна поща MIME Internet, базирано на технология на RSA Data Security с протоколи за криптографска защита - ЕlGamal (схема с публичен ключ), Digital Signature Standart (DSS) и Secure Hash Algorithm (SHA); - SET (Secure Electronic Transaction) - протокол за защитени транзакции при разплащане с електронни карти; - LDAP (Lightweight Directory Access Protocol) – стандартно приложение за directory servers. Етапност – този принцип изисква да се започва с не много скъпа, но достатъчно надеждна архитектура на системата за защита, която да осигури определено ниво на сигурност за конкретната организация; Използване на водещи технологии и доказани решения, на базата на продукти от фирми лидери в разглежданата област; Защита на инвестициите – при преминаване към по-сложни и сигурни системи за защита направените инвестиции в техника и програмно осигуряване трябва да се запазят чрез интегриране на съществуващото оборудване в новите решения, като се прегрупират наличните устройства или чрез ъпгрейд се създаде ново качество. В комплексните системи за информационна сигурност на много институции, в това число в опорната мрежа на държавната администрация, в Булбанк, Първа инвестиционна банка и др. вече са изградени системи за защита тип Firewall и виртуални частни мрежи (VPN). В реализираните проекти VPN включват три основни функции: защита от неоторизиран достъп (firewalling), тунелиране (tunneling) и криптиране на данните (encryption). Съвременните решения в тази област са насочени към изграждане на виртуални локални частни мрежи. Допълвайки възможностите на съществуващите частни мрежи, виртуалните локални частни мрежи са задължителна предпоставка за постигане на глобален и универсален достъп от всички части на света до компютърната мрежа на компанията, качество и услуга, изключително нужни на новата развиваща се Интернет икономика. През 1999 г. Cisco Systems Inc. обяви своята Enterprise Virtual Private Network (E-VPN) стратегия и пакет от решения за виртуални частни мрежи. Разработвайки петте основни компонента, задължителни за успешното създаване на една VPN – разширяема платформа, сигурност, определен пакет от задължителни услуги, приложения и лесно управление, тази стратегия задава една отворена, но същевременно съобразена със стандартите на индустрията архитектура, осигуряваща разширяеми решения и пълен комплект от мрежови услуги. По такъв начин се предоставят възможности на компаниите да осигурят плавно преминаване от класическите WAN мрежи към защитена, разширяема и лесно управляема VPN архитектура. При реализацията на проектите и избора на продукти и технологии се съблюдават следните технологични изисквания: Осигуряване на глобална сигурност на всички нива на информационната система; Мащабируемост; Висока надеждност; Централизирано управление и контрол на всички процеси, касаещи сигурността. Eдин oт основните аспекти npи изгражданe нa cиcтeмите за защита aкцeнтиpa въpxy вътрешната cигypнocт, тъй като е добре извеcтно, че no-голямaтa чacт oт aтaките идвaт “oтвътpe”. На съвременния етап на развитие на ИТ този проблем е особено актуален и еднакво важен, както за информационните системи на финансови къщи, банки, други компании, така и за тези на държавната администрация. В световната практика вече се налагат технологии и решения за контрол и защита, както от външни атаки, така и в рамките на вътрешната LAN. Intrusion Detection Systems разпознават атаки и реагират в реално време, като автоматично npеконфигуpиpaт зaщитнитe cтeни вътpe в LAN и нa вxoдa на мрежатa, с цел разрушаване на връзката и защита на системата от външни и вътрешни злоумишленици. В този аспект на IT пазара се налагат продукти, реализиращи новата защитна технология, т.нар. активна проверка (Active Audit), която включва: Сканиране на мрежата за откриване на слаби места; Симулация на мрежата за откриване на проблеми и пропуски в конфигурирането; Активно засичане на пробиви в защитата. С подобни функционални възможности е и реализацията на технологичния продукт “Protect, Detect and React” (PDR) от фамилията Ключови Технологии. В основата на системите за защита на информацията и един от най-важните им компоненти е политиката за информационна сигурност на ведомството или фирмата. Изграждането на системата за защита започва с дефинирането на глобална политика за информационна сигурност на компанията, която точно и ясно определя правата за достъп до информация. Ведомствената политика за сигурност се състои в разработване и утвърждаване на общи и частни правила и процедури за сигурност на отделните потребители, отдели и/или дирекции, както и на правила и механизми на взаимодействието помежду им, като включва: Определяне на достъпните ресурси и услуги; Контрол на достъпа; Правила за локална и отдалечена идентификация и автентикация; Използуване на криптографски методи и устройства за защита на данните и контрол на достъпа; Защита от вируси; Изготвяне на ръководство по сигурността; Обучение и подготовка на потребителите. Разработването и въвеждането на глобална политика за сигурност на ведомството изисква точно регламентиране на всички аспекти на функциониране на информационната система като цяло и в частност на системата за защита на информацията. Необходимо е да се извърши конкретно и точно описание на организационната структура и длъжностните привилегии на персонала с оглед осигуряване на достъп само до касаещата го информация, както и приемане на правила и процедури за съблюдаване на обща и индивидуална сигурност. Глобализацията на ИТ и изграждането на съвременните Интернет/Интранет и екстранет мрежи налага формиране на ново noведeниe към системите за сигурност. Дефинирането и въвеждането на централизирана обща политика изисква от една страна централизираното й спускане до всички интелегентни мрежови устройства – FireWall системи, рутери, сървъри, работни станции и др. От друга страна, появява се необходимост от централизирано управление и наблюдение на системата за сигурност. Новото noведeниe изисква и съответно разделение на правата и задълженията на обслужващия състав. Наред със звената за мрежово администриране, системно администриране и администриране на приложенията, в организационната структура на ведомството трябва да бъде създадено и специализирано звено по администриране на защитата. Специалистите в него изпълняват всички дейности и носят отговорност за защита на информацията, както на компютърната мрежа като цяло, така и на нейните компоненти (сървъри, бази от данни, приложения). Основните им задължения са свързани с цялостно администриране, поддръжка и текущи настройки на използваните апаратни и програмни средства за защита, идентификация и локализиране на опити за “хакерски” и “кракерски” атаки, развитие и усъвършенствуване на защитата и други. Важен аспект на глобалната политика за сигурност е подборът, подготовката и контролът върху работата на специалистите от отдел “Администриране на сигурността”. Както е добре известно абсолютна защита няма. След реализиране на системата за сигурност и въвеждането и в експлоатация е възможно както потребители, така и злоумишленици да открият пътища за умишлено или непредумишлено заобикаляне или разрушаване на защитата. Освен това правилата и процедурите за сигурност остаряват във времето. Така че, необходимо е през определен период от време политиката на ведомството да бъде одитирана и коригирана в съответствие с новите технологии и развитието на използваните продукти. Сред новите направления в разглежданата проблемна област на първо място стоят продуктите, реализиращи технологията Public Key Infrastructure (PKI). Инфраструктурите с публичен ключ позволяват обработка на цифрови сертификати от голям брой различни приложения, от виртуални частни мрежи и защитена електронна поща до защитен достъп до Интернет. Стандартите са съвместими с реализациите на водещите фирми в областта на PKI системите - Baltimore Technologies, Entrust, Microsoft, Netscape, Verisign. Това позволява на клиентите да изберат PKI система, която отговаря най-добре на техните нужди, без да се тревожат, че тя може да се окаже несъвместима с останалата част на наличната им система за сигурност. През месец май т.г. Министерският съвет одобри проектозакона за електронния подпис. С този документ се полагат основите за изграждане на национална инфраструктура на основата на публичните ключове и се създават обективни предпоставки за приложение на цифровите сертификати в е-бизнес, Интернет банкиране, както и в държавното е-управление и някои военни приложения. Налице са предпоставки и условия за изграждане на изцяло защитени информационни системи (Trusted Information Systems) на базата на trusted версии на познати продукти и технологии. В случая се има в предвид защитената версия на операционната система Solaris (Trusted Solaris) с ниво на защитеност Е3 (ITSec) и нива на функционалност F-B1 и F-C2. Тази ОС е съвместима с trusted версията на СУБД Oracle - (Trusted Oracle). Налични са trusted версии и на други продукти и технологии, като гардове (Guards), системи за “Security monitoring and reporting”, системи за “Incidents report and responds” и др. Реализацията на подобен клас решения е подход за преминаване към качествено ново ниво на защита в съвременните информационни и комуникационни системи. Статията е част от доклада “Технологични аспекти и изисквания към системите за информационна сигурност”, изнесен на заседание на “Българската секция по електроника, информационни и комуникационни технологии за нуждите на Националната сигурност на Република България”. В нея е обобщен опитът на специалисти от фирма STAR ALLIANCE при изграждането на системи за защита на информацията. Подготвена е от ст.н.с II ст. д-р Драгомир Паргов, ръководител на отдел ”Информационна сигурност” в АКТ София каре Кой участва в “STAR ALLIANCE” Фирмите АКТ София, CNSys, Paraflow Communications и ТЕКО, интегрирани в новото дружество STAR ALLIANCE, работят в областта на системите за информационна сигурност повече от 4 г. Участвали са в реализацията на редица проекти за изграждане на системи за защита на информацията, в това число на мрежата на държавната администрация, Министерски съвет, Министерство на финансите, БНБ, Булбанк, ОББ и др. В областта на системите за информационна сигурност, в качеството си на системен интегратор, STAR ALLIANCE предлага продукти, технологии и решения на 3COM, Check Point Software Technologies, Cisco Systems, Hewlett-Packard, Internet Security Systems, Microsoft, Oracle, Sun Microsystems, Trend Micro, Vasсo Data Security.

Последни новини

• Двуобхватен маршрутизатор от новата серия amplifi обяви D-Link
• D-Link вдига HD оборотите с нов двулентов високопроизводителен рутер DIR-857
• Мултимедийните системи Aastra 400 обслужват комуникациите на СМБ
• Aastra обявява виртуализирана мултимедийна централа
• Vivacom обяви нови двойни пакети, подсилващи фиксираната телефония.

Активни теми във форума

• » Супер Боб
• » въпрос:Как да изградя мрежа
• » Закони за успех във високите доходи.
• » Сайт за гледане на онлайн телевизия
• » Ето едно саийче, за пари!