Разработка системы защиты информации в ГОУ СПО «Добрянский гуманитарно-технологический техникум им. П.И. Сюзева»

• Принтеры.
• Серверы.
• Рабочие станции.
• Данные пользователей.
• Любые критические данные, необходимые для работы.

      Рассмотрим  угрозы и препятствия, стоящие на пути к безопасности сети. Все их можно разделить на две большие группы: технические угрозы и человеческий фактор.

      Технические угрозы:

1. Ошибки в программном обеспечении.
2. Различные DoS- и DDoS-атаки.
3. Компьютерные вирусы, черви, троянские кони.
4. Анализаторы протоколов и прослушивающие программы («снифферы»).
5. Технические средства съема информации.

      Ошибки  в программном обеспечении.

      Самое узкое место любой сети. Программное  обеспечение серверов, рабочих станций, маршрутизаторов и т. д. написано людьми, следовательно, оно практически всегда содержит ошибки. Чем выше сложность подобного ПО, тем больше вероятность обнаружения в нем ошибок и уязвимостей. Большинство из них не представляет никакой опасности, некоторые же могут привести к трагическим последствиям, таким, как получение злоумышленником контроля над сервером, неработоспособность сервера, несанкционированное использование ресурсов (хранение ненужных данных на сервере, использование в качестве плацдарма для атаки и т.п.). Большинство таких уязвимостей устраняется с помощью пакетов обновлений, регулярно выпускаемых производителем ПО. Своевременная установка таких обновлений является необходимым условием безопасности сети.

      DoS- и DDoS-атаки 

      Denial Of Service (отказ в обслуживании) —  особый тип атак, направленный на выведение сети или сервера из работоспособного состояния. При DoS-атаках могут использоваться ошибки в программном обеспечении или легитимные операции, но в больших масштабах (например, посылка огромного количества электронной почты). Новый тип атак DDoS (Distributed Denial Of Service) отличается от предыдущего наличием огромного количества компьютеров, расположенных в большой географической зоне. Такие атаки просто перегружают канал трафиком и мешают прохождению, а зачастую и полностью блокируют передачу по нему полезной информации. Особенно актуально это для компаний, занимающихся каким-либо online-бизнесом, например, торговлей через Internet.

      Компьютерные  вирусы, троянские кони

      Вирусы  — старая категория опасностей, которая в последнее время  в чистом виде практически не встречается. В связи с активным применением сетевых технологий для передачи данных вирусы все более тесно интегрируются с троянскими компонентами и сетевыми червями. В настоящее время компьютерный вирус использует для своего распространения либо электронную почту, либо уязвимости в ПО. А часто и то, и другое. Теперь на первое место вместо деструктивных функций вышли функции удаленного управления, похищения информации и использования зараженной системы в качестве плацдарма для дальнейшего распространения. Все чаще зараженная машина становится активным участником DDoS-атак. Методов борьбы достаточно много, одним из них является все та же своевременная установка обновлений.

      Анализаторы протоколов и «снифферы»

      В эту группу входят средства перехвата передаваемых по сети данных. Такие средства могут быть как аппаратными, так и программными. Обычно данные передаются по сети в открытом виде, что позволяет злоумышленнику внутри локальной сети перехватить их. Некоторые протоколы работы с сетью (POPS, FTP) не используют шифрование паролей, что позволяет злоумышленнику перехватить их и использовать самому. При передаче данных по глобальным сетям эта проблема встает наиболее остро. По возможности следует ограничить доступ к сети неавторизированным пользователям и случайным людям.

      Технические средства съема информации

      Сюда  можно отнести такие средства, как клавиатурные жучки, различные  мини-камеры, звукозаписывающие устройства и т.д. Данная группа используется в  повседневной жизни намного реже вышеперечисленных, так как, кроме наличия спецтехники, требует доступа к сети и ее составляющим.

      Человеческий  фактор:

1. Уволенные или недовольные сотрудники.
2. Промышленный шпионаж.
3. Халатность.
4. Низкая квалификация.

      Уволенные и недовольные сотрудники

      Данная группа людей наиболее опасна, так как многие из работающих сотрудников могут иметь разрешенный доступ к конфиденциальной информации. Особенную группу составляют системные администраторы, зачаcтую недовольные своим материальным положением или несогласные с увольнением, они оставляют «черные ходы» для последующей возможности злонамеренного использования ресурсов, похищения конфиденциальной информации и т. д.

      Промышленный  шпионаж 

      Это самая сложная категория. Если ваши данные интересны кому-либо, то этот кто-то найдет способы достать их. Взлом хорошо защищенной сети — не самый простой вариант. Очень может статься, что уборщица «тетя Глаша», моющая под столом и ругающаяся на непонятный ящик с проводами, может оказаться хакером весьма высокого класса.

      Халатность

      Самая обширная категория злоупотреблений: начиная с не установленных вовремя  обновлений, неизмененных настроек «по  умолчанию» и заканчивая несанкционированными модемами для выхода в Internet, — в  результате чего злоумышленники получают открытый доступ в хорошо защищенную сеть.

      Низкая  квалификация

      Часто низкая квалификация не позволяет пользователю понять, с чем он имеет дело; из-за этого даже хорошие программы  защиты становятся настоящей морокой  системного администратора, и он вынужден надеяться только на защиту периметра. Большинство пользователей не понимают реальной угрозы от запуска исполняемых файлов и скриптов и считают, что исполняемые файлы -только файлы с расширением «ехе». Низкая квалификация не позволяет также определить, какая информация является действительно конфиденциальной, а какую можно разглашать. В крупных компаниях часто можно позвонить пользователю и, представившись администратором, узнать у него учетные данные для входа в сеть. Выход только один – обучение пользователей, создание соответствующих документов и повышение квалификации. [5] 

 

      § 5. Тестирование локальной вычислительной сети на наличие уязвимостей и ошибок 

     Для тестирования защищенности локальной  вычислительно сети техникума была выбрана программа – сканер уязвимостей XSpider 7. [13]

     Сегодня практически все локальные сети имеют доступ к ресурсам глобальной сети Интернет. В некоторых локальных сетях может не быть серверов, к которым предоставлен доступ извне и сеть выходит в Интернет при помощи технологии NAT, то есть, один компьютер обеспечивает Интернетом всю сеть. В некоторых сетях могут работать несколько серверов, к которым предоставлен доступ из Интернета, а компьютеры в сети могут иметь глобальные IP-адреса. В любом случае, всегда есть хотя бы один компьютер, имеющий прямое подключение к Интернету. Взлом такого компьютера поставит под угрозу информационную безопасность сети и может иметь печальные последствия. Если в сети работает несколько серверов с глобальными адресами и они предоставляют возможность, например, сотрудникам компании получить доступ к своей почте или к корпоративной базе данных из любой точки мира, то обеспечение безопасности такой сети становится достаточно сложной задачей, качественно решать которую сможет лишь сотрудник с высокой квалификацией. Основными обязанностями этого специалиста будет отслеживание новостных лент десятков сайтов, специализирующихся на безопасности, которые публикуют сведения об обнаруженных уязвимостях, немедленном реагировании на такие сообщения и самостоятельный поиск уязвимостей, которые еще неизвестны или уникальны. Учитывая, что между обнаружением уязвимости и до выхода официального исправления от производителя ПО может проходить достаточно много времени, специалист должен оперативно закрывать возможность использования уязвимости. Если сервисы, предоставляемые посетителям, пользуются достаточно большой популярностью, то чем быстрее администратор узнает об обнаружении уязвимости (в идеале, еще до ее опубликования на специализированных сайтах), то тем выше вероятность того, что он успеет закрыть обнаруженную брешь. Некоторые уязвимости могут быть уникальными для определенного сервиса. Например, ошибки в программировании скриптов могут открыть возможность для хакера установить на сервере консоль, используя которую он сможет получить полный контроль над сервером, а затем и над остальными ресурсами сети. Таким образом, обеспечение безопасности сети, в которой работают публичные сервисы, весьма сложное и тяжелое занятие, помочь в котором и призван XSpider.

     XSpider может в полностью автоматическом  режиме проверять компьютеры  и сервисы в сети на предмет обнаружения уязвимостей. База уязвимостей постоянно пополняется специалистами Positive Technologies, что в сумме с автоматическим обновлением баз и модулей программы постоянно поддерживает актуальность версии XSpider.

     XSpider может выполнять проверки по расписанию. Таким образом, настроив планировщик XSpider, автоматическое обновление и отправку отчетов о результатах проверки по почте или их сохранение на сетевом диске, можно значительно облегчить процесс обнаружения уязвимостей. Это позволит сконцентрировать свое внимание на борьбе с уже обнаруженными уязвимостями и на донастройке и обновлении программного обеспечения. В этом XSpider оказывает так же неоценимую помощь, выводя в отчет о результатах проверки не только информацию о найденной уязвимости, но и ссылки, например, на статьи на сайте Microsoft, которые описывают обнаруженную XSpider уязвимость и дают рекомендации по её устранению.

 

      Установка XSpider 

     XSpider может быть установлен на любую  ОС семейства Windows. Он проверяет  все возможные уязвимости независимо от программной и аппаратной платформы узлов: начиная от рабочих станций под Windows и заканчивая сетевыми устройствами Cisco, в том числе, *nix, Solaris, Novell, AS400 и так далее. Сам процесс установки XSpider полностью автоматизирован. После запуска инсталлятора нужно согласиться с условиями лицензионного соглашения, выбрать папку, куда будет установлена программа и ввести имя папки в меню Пуск. После этого файлы XSpider будут скопированы и по окончании копирования XSpider может быть сразу запущен, без перезагрузки компьютера.

     Интерфейс 

     После установки и запуска XSpider на экран  будет выведено главное окно программы, которое показано на рисунке ниже.

       

     В список сканируемых хостов нужно  добавить адреса для сканирования. Можно добавить сразу диапазон адресов. После того, как список хостов сформирован, нужно выбрать профиль проверки либо из существующих, либо создать новый профиль исходя из собственных предпочтений. Существующие профили показаны на рисунке ниже.

       

     Любой из существующих профилей можно настроить или создать новый профиль.

       

     После того, как задача настроена, её можно  сохранить, чтобы в дальнейшем не приходилось настраивать все  заново.

     Запуск  созданных и сохраненных задач  можно запланировать, настроив Планировщик.

       

     Планировщик XSpider настраивается достаточно просто, по аналогии с планировщиком Windows. Внимания заслуживает последний этап настройки  задания, пример которого показан ниже.

       

     На  этой вкладке мастера создания нового задания планировщика XSpider можно настроить отправку отчета на почтовый адрес или сохранить его в определенной папке.

     Аудиту был подвергнут хост с ОС Windows XP без сервис-пака с отключенным брандмауэром.

     Уязвимости  главного окна XSpider показана на рисунке  ниже.

     

     В ходе сканирования было обнаружено несколько критических уязвимостей. В результатах работы были даны ссылки статьи в Базе знаний Microsoft, которые описывают обнаруженную уязвимость и ссылки для загрузки исправлений, устраняющих эти уязвимости. 
 
 

       
 
 

       
 
 
 
 
 
 

     

 
§6. Выявление угроз безопасности информации

       Все множество потенциальных угроз  по природе их возникновения разделяется  на два класса: естественные (объективные) и искусственные (субъективные). [4]

      Естественные  угрозы - это угрозы, вызванные воздействиями на АС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.

      Искусственные угрозы - это угрозы АС, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:

• непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании АС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;
• преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).

      Источники угроз по отношению к компьютерным системам могут быть внешними или внутренними (компоненты самой компьютерной системы - ее аппаратура, программы, персонал).