1. Введение.

Подключение к различным информационным сетям дает огромные выгоды, но оно, же сопряжено с определенной опасностью, нарушения безопасности информации. Безопасность информации – это способность системы ее обработки обеспечить в заданный промежуток времени возможность выполнения заданных требований по величине вероятности наступления событий, выражающих в утечке, модификации или утрате данных, предоставляющих ту или иную ценность для их владельца. При этом считается, что причиной этих событий могут быть случайные воздействия либо воздействия в результате преднамеренного несанкционированного доступа человека-нарушителя. Опасность может, заключается в следующем:

·  несанкционированное проникновение во внутренние, защищаемые сети компании;

·  кража конфиденциальной и другой информации составляющей ценность;

·  нарушение нормальной работы, простой в работе компании;

·  убытки компании, вплоть до банкротства.

При построении любой современной информационной системы практически невозможно обойтись без разработки и реализации механизмов защиты. Это могут быть как простые механизмы (например, фильтрация пакетов), так и достаточно сложные (например, применение межсетевых экранов). Во всех этих случаях возникает задача проверки - насколько реализованные или используемые механизмы защиты информации соответствует положениям принятой в организации политики безопасности. И такая задача будет периодически возникать при изменении, обновлении компонентов информационной системы, изменении конфигурации операционной системы и т. п. Использование средств защиты сети от несанкционированного доступа значительно снижает вероятность взлома сети, хотя и не гарантирует ее полную защиту. Поэтому очень важно грамотно спроектировать систему защиты сети, а также оценить степень этой защиты [1].

Обратимся к статистике, число и частота атак все время увеличивается, становится очень важным идентифицировать атаки на раннем этапе их развития и своевременно отреагировать на них. В критических случаях вмешательство в атаку должно быть реализовано намного быстрее, чем сможет среагировать человек. Другая причина для автоматизации процессов защиты информации (например, обнаружения атак) заключается в том, что все чаще и чаще злоумышленник использует автоматизированные средства реализации атак. В одном из опубликованных примеров был отмечен факт осуществления 2000 попыток проникновения на сервер Internet из 500 мест в течение 8 часов (т. е. 4 атаки в минуту). В этом случае автоматическая система обнаружения атак в составе системы защиты информации помогла отследить источник атаки. Без системы защиты это стало бы просто невозможно [2].

2. Оценка уровня защищенности.

Для проверки эффективности используемых в системе механизмов защиты, их устойчивости в отношении возможных атак, а также с целью поиска уязвимостей в защите, проводятся тестирования. Традиционно используются два основных метода тестирования:

·  тестирование по методу "черного ящика";

·  тестирование по методу "белого ящика".

Тестирование по методу "черного ящика" предполагает отсутствие у тестирующей стороны каких-либо специальных знаний о конфигурации и внутренней структуре объекта испытаний. При этом против объекта испытаний реализуются все известные типы атак, и проверяется устойчивость системы защиты в отношении этих атак. Используемые методы тестирования эмулируют действия потенциальных злоумышленников, пытающихся взломать систему защиты. Основным средством тестирования в данном случае являются сетевые сканеры, располагающие базами данных известных уязвимостей.

3. Классификация способов и средств защиты информации.

Для решения проблемы защиты информации основными средствами, используемыми для создания механизмов защиты, принято считать:

Технические средства - реализуются в виде электрических, электромеханических, электронных устройств. Вся совокупность технических средств принято делить на:

·  аппаратные - устройства, встраиваемые непосредственно в аппаратуру, или устройства, которые сопрягаются с аппаратурой по стандартному интерфейсу (схемы контроля информации по четности, схемы защиты полей памяти по ключу, специальные регистры);

·  физические - реализуются в виде автономных устройств и систем (электронно-механическое оборудование охранной сигнализации и наблюдения. Замки на дверях, решетки на окнах).

Программные средства - программы, специально предназначенные для выполнения функций, связанных с защитой информации. В ходе развития концепции защиты информации специалисты пришли к выводу, что использование какого-либо одного из выше указанных способов защиты, не обеспечивает надежного сохранения информации. Необходим комплексный подход к использованию и развитию всех средств и способов защиты информации. В результате были созданы следующие способы защиты информации (рисунок 1):

·  Препятствие - физически преграждает злоумышленнику путь к защищаемой информации (на территорию и в помещения с аппаратурой, носителям информации).

·  Управление доступом - способ защиты информации регулированием использования всех ресурсов системы (технических, программных средств, элементов данных).

Управление доступом включает следующие функции защиты:

·  идентификацию пользователей, персонала и ресурсов системы, причем под идентификацией понимается присвоение каждому названному выше объекту персонального имени, кода, пароля и опознание субъекта или объекта про предъявленному им идентификатору;

·  проверку полномочий, заключающуюся в проверке соответствия дня недели, времени суток, а также запрашиваемых ресурсов и процедур установленному регламенту;

·  разрешение и создание условий работы в пределах установленного регламента;

·  регистрацию обращений к защищаемым ресурсам;

·  реагирование (задержка работ, отказ, отключение, сигнализация) при попытках несанкционированных действий.

Рисунок 1 - Способы и средства защиты информации.

·  Маскировка - способ защиты информации путем ее криптографического сокрытия. При передаче информации по линиям связи большой протяженности криптографическое закрытие является единственным способом надежной ее защиты.

·  Регламентация - заключается в разработке и реализации в процессе функционирования СПД комплексов мероприятий, создающих такие условия автоматизированной обработки и хранения защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму. Для эффективной защиты необходимо строго регламентировать структурное построение (архитектура зданий, оборудование помещений, размещение аппаратуры), организацию и обеспечение работы всего персонала.

·  Принуждение - пользователи и персонал вынуждены соблюдать правила обработки и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Рассмотренные способы защиты информации реализуются применением различных средств защиты, причем различают технические, программные, организационные законодательные и морально-этические средства.

4. Решения по защите информации.

4.1. Классификация решений по защите информации.

Сегодня на рынке представлен огромный перечень средств защиты информации для информационно-вычислительных систем.

Средства защиты классифицируются по исполнению:

·  Программные средства – самые распространенные и присутствуют во всех областях информационной безопасности [5];

·  Аппаратные средства – встречаются редко, часто их путают с программно-аппаратными средствами [5];

·  программно-аппаратные средства – очень перспективное решение, обладает массой плюсов, но главный минус высокая стоимость [5].

За последние время во всем мире возрос интерес к аппаратным, а точнее к программно-аппаратным средствам обеспечения сетевой безопасности. Такие решения постепенно вытесняют "чисто" программные предложения и начинают играть первую скрипку на данном рынке [5].

К достоинству таких решений можно отнести [5]:

·  простота внедрения в технологию обработки информации. Поскольку такие устройства поставляются уже с предустановленной и настроенной операционной системой и защитными механизмами, необходимо только подключить его к сети, что выполняется в течение нескольких минут;

·  производительность. За счет того, что из операционной системы исключаются все "ненужные" сервисы и подсистемы, устройство работает более эффективно с точки зрения надежности и скорости;

·  простота управления. Данные устройства могут управляться с любой рабочей станции Windows или Unix. Взаимодействие консоли управления с устройством осуществляется либо по стандартным протоколам, например, Telnet или SNMP, либо при помощи специализированных или защищенных протоколов, например, Ssh или SSL;

·  отказоустойчивость и высокая доступность;

·  сосредоточение на защите. Решение только задач обеспечения сетевой безопасности не приводит к трате ресурсов на выполнение других функций, например, маршрутизации и т. п. Обычно, попытка создать универсальное устройство, решающее сразу много задач, ни к чему хорошему не приводит.

Вариант применения маршрутизатора представлен на рисунке 2 на примере маршрутизатора Zelax фирмы Speedway.

Рисунок 2 - Предоставление пользователям доступа в Интернет по протоколу PPPoE.

4.2. Критерии выбора.

Для создания системы защиты необходимы средства защиты. При выборе средств защиты информации следует учитывать многие факторы. Предлагаются самые важные факторы, влияющие на выбор средств защиты информации, для государственной организации:

·  обязательное наличие сертификата ФСТЭК (Гостехкомиссия), ФСБ (ФАПСИ), зачем сертифицировать средство защиты, тратить на это время и деньги, если можно купить аналогичный продукт уже со всеми нужными документами;

·  необходимо что бы средство защиты могло выполнять необходимые функции;

·  управление и настройка должны быть удобными и понятными. Наличие доступной и понятной, желательно на русском языке, документации по эксплуатации и настройке;

·  должна быть техническая поддержка [2];

·  должны быть курсы по обучению работы с данными продуктами;

·  цена должна быть адекватна;

·  желательно что бы приобретаемые средства защиты соответствовали средствам защиты централизованно поставляемым, если таковые есть;

4.3. Межсетевые экраны.

Межсетевой экран, защищающий сразу множество (не менее двух) узлов, призван решить две задачи, каждая из которых по-своему важна и в зависимости от организации, использующей межсетевой экран, имеет более высокий приоритет по сравнению с другой:

·  Ограничение доступа внешних (по отношению к защищаемой сети) пользователей к внутренним ресурсам корпоративной сети. К таким пользователям могут быть отнесены партнеры, удаленные пользователи, хакеры и даже сотрудники самой компании, пытающие получить доступ к серверам баз данных, защищаемых межсетевым экраном. 

·  Разграничение доступа пользователей защищаемой сети к внешним ресурсам. Решение этой задачи позволяет, например, регулировать доступ к серверам, не требуемым для выполнения служебных обязанностей.

До сих пор не существует единой и общепризнанной классификации межсетевых экранов. Каждый производитель выбирает удобную для себя классификацию и приводит ее в соответствие с разработанным этим производителем межсетевым экраном. Однако, можно выделить следующие их классы, учитывающие уровни OSI или стека TCP/IP:

·  коммутаторы, функционирующие на канальном уровне;

·  сетевые или пакетные фильтры, которые, как видно из названия, функционируют на сетевом уровне;

·  шлюзы сеансового уровня (circuit-level proxy);

·  посредники прикладного уровня (application proxy или application gateway);

·  инспекторы состояния (stateful inspection).

Коммутаторы - это устройства, функционирующие на канальном уровне, не принято причислять к классу межсетевых экранов, т. к. они разграничивают доступ в рамках локальной сети и не могут быть применены для ограничения трафика из Internet. Однако, основываясь на том факте, что межсетевой экран разделяет доступ между двумя сетями или узлами, такое причисление вполне закономерно.

Многие производители коммутаторов, например, Cisco, Nortel, 3Com, позволяют осуществлять фильтрацию трафика на основе MAC-адресов, содержащихся во фреймах, пытающихся получить доступ к определенному порту коммутатора. Наиболее эффективно данная возможность реализована в решениях компании Cisco, в частности в семействе коммутаторов Catalyst, которые обладают механизмом Port Security. Однако надо заметить, что практически все современные сетевые адаптеры позволяют программно изменять их MAC-адреса, что приводит к неэффективности такого метода фильтрации. Поэтому существуют и другие параметры, которые могут использоваться в качестве признака фильтрации. Например, VLAN, которые разграничивают трафик между ними - трафик одной VLAN никогда не пересекается с трафиком другой VLAN. Более "продвинутые" коммутаторы могут функционировать не только на втором, но и на третьем, четвертом (например, Catalyst) и даже седьмом уровнях модели OSI (например, TopLayer AppSwitch) . Необходимо сразу сделать небольшое замечание. Существует некоторая путаница в терминологии. Одни производители упоминают про коммутацию на пятом уровне, другие - на седьмом. В маркетинговых целях эффектнее выглядит заявление о коммутации на 7-ми, а не 5-ти уровнях. Хотя на самом деле в обоих случаях подразумевается одно и то же. Ведь в модели TCP/IP всего пять уровней и последний, прикладной, уровень включает в себя заключительные три уровня, существующие в модели OSI/ISO. Достоинства и недостатки пакетных фильтров представлены в таблице 1.

5. Программно-аппаратные решения для защиты LAN.

5.1 Проблемы безопасности DNS.

Ложные ответы на DNS-запросы - многие клиенты и серверы не проверяют, не получено ли больше ответов, чем было послано запросов, и все ли полученные ответы пришли с сервера, на который посылались запросы. Отсутствие проверки позволяет нарушителям давать ложные данные клиентам и серверам DNS. Например, нарушитель, используя эту возможность, может загрузить в кэш сервера информацию о том, что IP-адрес его машины соответствует имени хоста, которому дан доступ без пароля.

Неблагоприятные DNS-запросы - мало того, что некоторые реализации DNS уязвимы к неблагоприятным от­ветам, часть из них уязвима также к неблагоприятным запросам. В частнос­ти, если запрос слишком длинен, у ряда DNS-серверов это вызовет перепол­нение буфера, что может привести к сбоям или возможности исполнения злонамеренных кодов. Если в регистрационных файлах есть запросы с очень длинными «именами хостов», содержащими управляющие символы, это свидетельствует о предпри­нятых кем-то попытках атак с переполнением буфера.

Несогласованность между DNS-данными в дереве имен хостов и дереве IP-адресов: атака, приводящая к кэшированию ложных данных с целью поставить в соответствие адресу сомнительного хоста адрес, явно заслуживающий доверия, приводит к несогласованности DNS-данных в дереве имен хостов и де­реве IP-адресов. Для избегания подобных случаев, при поиске имени хоста, соответствующего IP-адресу нарушителя (это называется обратным поиском, reverse lookup), получаем имя хоста, которому доверяем. Тогда при поиске IP-адреса по этому имени хоста (что называется двойным обратным поиском, double-reverse lookup), обнаруживается, что полученный IP-адрес не соответствует адресу, сохраненному в кэше (адресу нарушителя), что должно насторожить.

Любая программа, принимающая решения по аутентификации или авторизации на основании информации об имени хоста, полученной от DNS, должна проверить правильность этих данных с помощью обратного, а затем двойного обратного поиска.

Некоторые реализации двойного обратного поиска терпят неудачу с хостами, имеющими несколько адресов (например, с двудомными хостами, используемыми для прокси).

Еще одна проблема – это раскрытие излишней информации нарушителям, с которой можно столкнуться при поддержке DNS, состоит в том, что DNS может раскрыть нежелательную информацию. Некоторые организации рассматривают имена внутренних хостов (а также другие данные о внутренних хостах) как конфиденциальную информацию. Они предохраняют имена хостов так же, как каталоги внутренних хостов. Имена внутренних хостов могут раскрыть названия проектов или тип изделий, или тип хостов (что может упростить атаки).

Помимо этого DNS часто содержит и другую информацию, которая не желательна для распространения. DNS-параметры ресурсов HINFO и ТХТ особенно информативны.

5.2. Применение маршрутизаторов.

Хотя основная функция маршрутизатора — это объединение сетей и передача между ними трафика, маршрутизаторы могут играть в сетевых проектах не­сколько различных ролей. Простейший тип маршрутизации представляет собой связь двух удаленных ЛВС посредством соединения глобальной сети (WAN, wide area network) [4].

Чтобы было возможно взаимодействие между двумя офисными сетями, каждая из этих ЛВС должна быть подключена к маршрутизатору, а последние связаны между собой посредством соединения глобальной сети. Соединение глобальной сети может иметь форму выделенной телефонной линии, ISDN-или DSL-соединения, или даже модемного подключения. Технология, используемая для соединения двух сетей, несущественна до тех пор, пока маршрутизаторы в обоих офисах связаны между собой. Маршрутизаторы в этом примере необходимы из-за того, что технологии глобальных и локальных сетей имеют значительные отличия.

В немного более сложном варианте система большой интерсети может состоять из нескольких ЛВС, каждая из которых подключена к сетевой магистрали через маршрутизатор. Здесь маршрутизаторы понадобились по той причине, что одна отдельно взятая ЛВС не в состоянии поддерживать необходимое количество рабочих станций. Помимо этого, отдельные ЛВС могут быть расположены в разных частях здания или в сосед­них зданиях, что может потребовать для их соединения другого типа сети. Например, соединение соседних зданий требует среды передачи данных, приспособленной для наружного использования, такой как оптоволокно, тогда как ЛВС внутри зданий могут применять менее дорогую медную кабельную разводку.

Рассмотренные два примера применения маршрутизаторов часто объединяются. Большой корпоративный сетевой комплекс, конечно, всегда будет стремиться обеспечить себе выход в Интернет. Можно сделать выводы, что необходим еще один маршрутизатор, поддерживающий какой-либо вид WAN-соединения с поставщиком услуг (провайдером) сети Интернет (ISP, Internet service provider). Тогда пользователи в любой части корпоративной сети смогут получить доступ в Интернет.

Оба эти сценария используют маршрутизаторы для соединения сравнительно небольшого количества сетей, и являются карликами по сравнению с сетью Интернет, которая представляет собой маршрутизируемое соединение тысяч ЛВС, разбросанных по всему миру. Чтобы сделать возможным перемещение пакетов по этому лабиринту из маршрутизаторов и достигнуть при этом приемлемой эффективности, маршрутизаторы располагаются в виде иерархической структуры, которая ведет от небольших, локальных ISP, к региональным провайдерам, в свою очередь, получающим услуги от больших национальных поставщиков услуг сети Интернет, пример приведен на рисунке 6.

Рисунок 6 - Иерархия маршрутизаторов для пересылки трафика в любую точку сети.

5.3. Фильтрация пакетов.

5.3.1 Назначение фильтрации пакетов

Главное преимущество фильтрации пакетов - ее мощность: она позволяет в единственном месте обеспечить специальную защиту всей сети. Например, если запретить Telnet путем запрета серверов Telnet на всех хостах, все равно кто-то может установить его на но­вой машине. С другой стороны, если запретить Telnet фильтрующим маршрутизатором такой опасности не будет, даже если на какой-нибудь машине выполняется сервер Telnet. Еще маршрутизаторы служат эффективными клапанами для всего входящего и исходящего трафика.

Некоторые меры защиты могут быть реализованы только фильтрующими маршрутизаторами, если они установлены в определенном месте сети. Например, отклонять все внешние пакеты, имеющие исходный адрес внутренней сети - то есть пакеты, которые якобы отправлены с внутренних машин, но на самом деле приходят извне — потому что такие пакеты обычно используются в атаках с подменой адреса. Необходимо также отклонять все внутренние пакеты, имеющие внешний исходный адрес. Принятие подобных решений может осуществить только фильтрующий маршрутизатор, установленный в периметре сети.

Фильтрующие маршрутизаторы хороши также для обнаружения и блокирования запрещенных пакетов. Многие атаки отказа в обслуживании основаны на отправлении некорректно сформированных пакетов того или иного типа. Самый простой тип фильтрации пакетов позволяет контролировать (разрешать или блокировать) передачу данных, основанную на:

·  адресе, из которого данные (предположительно) приходят;

·  адресе, на который данные посланы;

·  номерах портов сеансов и приложений, используемых для передачи данных.

Система общей фильтрации пакетов не основывает своих решений на содержании данных. Эта система не может анализировать пакеты по «пользователям», по «файлам».

Несколько более сложные системы фильтрации отслеживают состояние па­кетов и/или анализируют протокол (если он известный). Отслеживание сос­тояния позволяет вводить правила, подобные следующим: - Входящие UDP-пакеты разрешено пропускать только, если они являются от­ветами на исходящие UDP-пакеты. Или: - TCP-пакеты с SYN=1 разрешено принимать только при инициализации TCP-соединения. Это называется фильтрацией пакетов с учетом состояния. Еще это называют динамической фильтрацией пакетов, так как реакция системы филь­трации меняется в зависимости от прошедшего через систему трафика. Отслеживание состояния позволяет делать то, что нельзя сделать другим способом, но это усложняет систему.

Во-первых, маршрутизатор должен отслеживать состояния. Это увеличивает нагрузку на него, открывает его ряду угроз отказа в обслуживании. Есть вероятность, что в случае перезагрузки маршрутизатора могут быть отклонены пакеты, которые должны были быть приняты. Если пакет проходит и через другие маршрутизаторы, все они должны иметь одинаковую информацию о состоянии. Существуют протоколы для обмена этой информацией, но это еще дополнительные сложности.

Во-вторых, маршрутизатор должен следить за состоянием, не зная, придет или нет ответ на пакет. Не все UDP-пакеты получают ответ. В какой-то момент маршрутизатору приходится отменить правило, разрешающее принимать ответы. Если он сделает это рано, то будут отклонены пакеты, которые должны были быть приняты, что вызовет задержки и ненужный сетевой трафик. Если маршрутизатор сохраняет правило слишком долго, нагрузка на него будет завышена без необходимости. Некоторые спецификации протоколов следуют рекомендациям, которые не всегда полезны.

Этот тип фильтрации также уязвим к подделке адресов. Он удостоверяется, что пакеты являются ответами на основании их исходных адресов, поэтому нарушитель, перехвативший исходящий пакет, может подделать соот­ветствующий исходный адрес и возвратить «ответ», который может быть принят как ответ. Тем не менее, этот механизм обеспечивает прием­лемую степень безопасности для некоторых протоколов, основанных на UDP, которые чрезвычайно трудно защитить другими способами.

5.3.2 Проверка протоколов

Проверка протоколов позволяет устанавливать правила типа: - принимать пакеты, направляющиеся в порт DNS, но только если они отформатированы как DNS-пакеты. Таким образом, проверка протокола помогает избежать ситуации, когда кто-то устанавливает на порт рискованный сервис, в то время как этот порт предназначен для безопасного сервиса. Это может также помочь избежать некоторых атак, основанных на посылке некорректно сформированных пакетов легальным серверам.

Полнофункциональные системы фильтрации пакетов позволяют определять все типы правил для известных протоколов. Например, можно сказать: - разъединять любую FTP-связь, в которой имя удаленного пользователя -«anonymous». Или: - не разрешать HTTP-передачу на эти сайты.

Для выполнения таких действий пакетные фильтры должны глубоко понимать протокол прикладной программы. Вообще, такой уровень контроля они могут обеспечивать только для нескольких популярных протоколов.

Перед настройкой фильтрующего маршрутизатора следует решить, какие сервисы будут разрешены или запрещены, а затем оформить эти решения в правилах фильтрации пакетов. Протоколы обычно двунаправлены. Почти всегда одна сторона посылает запрос или команду, а другая - тот или иной ответ. Планируя правила филь­трации пакетов, нельзя забывать, что пакеты идут в обоих направлениях.

Существует две позиции политики безопасности:

·  установка на запрещение по умолчанию (запрещено все, что не разрешено);

·  установка на разрешение по умолчанию (разрешено все, что не запрещено).

Наиболее надежная позиция с точки зрения безопасности - установка по умолчанию на запрещение. Она должна отражаться в правилах фильтрации пакетов. Сначала все запрещается, а затем формируются правила, разреша­ющие только необходимые протоколы. На практике установка на запрещение по умолчанию означает, что правила фильтрации должны представлять собой небольшой список конкретных разрешенных вещей.

Независимо от того, пропущен пакет или отклонен, полезно, чтобы маршрутизатор регистрировал предпринятые действия. Особенно важно регистрировать отклоненные пакеты, чтобы знать о них подробнее.

4.3.3 Маскарад (masquerading)

Masquerading (IP-маскарад) - система трансляции сетевых адресов. Она называется также прозрачной прокси-системой, поскольку может рабо­тать с протоколами более высоких уровней и выполнять более сложные преоб­разования, чем просто изменение адреса. Можно считать ее чем-то средним между прокси-системой и системой фильтрации пакетов [1].

IP-маскарад использует IP-адрес выполняющего ее хоста в качестве видимого извне адреса и отображает номер порта в один из 4096-ти номеров, начинающихся с 61000. Это фикси­рованное распределение портов ограничивает IP-маскарад в Linux 4096-ю одновременными TCP-соединениями и 4096-ю UDP-портами. По умолчанию ядро Linux распределяет только порты ниже 32768, поэтому порты, исполь­зуемые для IP-маскарада, никогда не будут конфликтовать с портами, назначенными для других целей.

IP-маскарад в Linux способен также работать с более сложными протоколами типа FTP или RealAudio, которые требуют обратных TCP-соединений или дополнительных UDP-портов. Динамически загружая новые модули ядра, можно добавить поддержку для других протоколов.

IP-маскарад перехватывает пакеты. В слу­чае простых протоколов в исходящих пакетах изменяются IP-адреса и номера портов. Для TCP-со­единений генерируется новый порядковый номер. Для входящих пакетов выполняются обратные преобразования. На рисунке 4.10 приведен пример маскировки для клиента, соединяющегося с удаленным HTTP-сервером, и показаны IP-адреса и порты для каждой половины подключения. Пока клиент поддерживает исходящую часть TCP-соединения, маскирующий брандмауэр будет продолжать направлять ему пакеты. В случае UDP-соединения брандмауэр будет направлять пакеты обратно клиенту только в течение периода времени, заданного в конфигурации, который обычно устанавливается в пределах 15-30 с.

Рисунок 8 - IP-маскарад для простых исходящих протоколов.

Кроме обработки исходящего соединения IP-маскарад может использоваться для перенаправления входящих портов к внутренним службам. Возможность маскировки входящих портов для каждого порта конфигурируется статически. После того как порт переназначен, он больше не может использоваться брандмауэром для других сервисов.

Для более сложных протоколов маскарад может, основываясь на содержимом просмотренных пакетов, устанавливать дополнительное прослушива­ние TCP - и UDP-портов. Для изменения номера порта и IP-адреса IP-маскарад может даже перезаписывать содержимое пакетов.

Для примера можно рассмотреть работу модуля IP-маскарада для FTP. FTP - сложный протокол для поддержки его брандмауэром, так как он обычно включает обратную связь сервера с клиентом. FTP-клиент открывает контролируемый канал связи с нужным FTP-сервером. В момент, когда должны передаваться данные, клиент подает команду PORT, которая содержит IP-адрес и номер порта клиента, на которые клиент ожидает получать запрошенные данные. FTP-сервер использует эту информацию, чтобы открыть новое TCP-подключение к клиенту и переслать ему данные. IP-маскарад должен перехватить команду клиента PORT. Модуль FTP-маскарада делает это, прослушивая команды, посылаемые по всем контролируемым FTP-каналам. Когда он видит команду PORT, он делает две вещи: сначала он устанавливает на маскирующем хосте временный порт, который будет перенаправляться на порт, указанный клиентом. Затем он перезаписывает IP-пакет, содержащий команду PORT, внося туда IP-адрес брандмауэра и временного порта. Когда входящее соединение с временным портом устанавливается, оно направляется клиенту.

5.3.4 IP-фильтр

IP-фильтр (ipfilter) - другая система фильтрации пакетов для Unix. Она работает в свободно доступных реализациях BSD (FreeBSD, OpenBSD и NetBSD), а также была перенесена и проверена в других операционных системах Unix.

IP-фильтр использует список правил, содержащихся в едином конфигурационном файле. В отличие от IP-цепочек, IP-фильтр проверяет все правила в последовательности, и судьбу пакета определяет последнее правило, которому он соответствует.

Правила могут быть основаны на любом из следующих параметров:

·  Номер IP-протокола (например, TCP, UDP, ICMP или IGMP).

·  Установленные IP-опции.

·  IP-адреса отправителя и получателя (возможно использовать адреса подсетей, сетевые адреса с маской, допустимы исключения).

·  Номера портов TCP и UDP отправителя и получателя (диапазоны, маски, исключения).

·  Тип и код ICMP.

·  Является ли пакет фрагментом IP-пакета.

·  Установленные TCP-флаги (например, АСК - и SYN-биты, которые позволяют определить пакет начала подключения).

·  Сетевой интерфейс, на который пришел пакет.

IP-фильтр (ipfliter) может предпринять следующие действия:

·  Отклонить пакет, не генерируя ответ.

·  Не обрабатывать пакет, но генерировать ICMP-ответ.

·  Не обрабатывать пакет, но возвратить сброс TCP.

·  Обработать пакет.

·  Обработать пакет, сохраняя информацию о состоянии, чтобы гарантировать, что все TCP-пакеты являются частью достоверного сеанса TCP-соединения, с правильными установками SYN и АСК и соответствующими порядковыми номерами.

·  Изменить IP-адрес и/или номера порта в пакете, использующем статическую адресацию (это - простая форма трансляции сетевых адресов).

·  Послать пакет или его копию для регистрации на определенный для этого сетевой интерфейс или адрес.

·  Зарегистрировать информацию о пакете с помощью syslog.

IP-фильтр (ipfilter) и IP-цепочки (ipchains) обеспечивают примерно одинаковые функциональные возможности. Во многих случаях выбор основан на используемой операционной системе. С другой стороны, они имеют свои преимущества и свои недостатки.

В качестве системы трансляции сетевых адресов IP-цепочки намного сильнее. Функциональные возможности IP-фильтра в этом минимальны и динамически не обновляемы. С другой стороны, IP-фильтр обеспечивает возможности фильтрации, не доступные IP-цепочкам (например, позволяет фильтровать по IP-опциям и обеспечивает более гибкую обработку параметров TCP), и он более гибок в плане действий по отношению к блокированным пакетам. Его функция копирования пакетов очень полезна для обнаружения атак.

Архитектура IP-цепочек делает ее расширение намного проще, чем IP-фильтра, так что вполне вероятно, что его преимущества, в конечном счете, появятся в IP-цепочках. Однако IP-цепочки довольно сильно интегрированы с ядром Linux, что затрудняет их распространение на другие операционные системы.

6. Предлагаемые решения реализации политики безопасности.

6.1. Технология схемы защиты.

Главным компонентом является межсетевой экран - МЭ. МЭ представляет собой локальное средство, реализующее контроль за информацией, поступающей в локальную сеть и/или выходящей из сети, и обеспечивает ее защиту посредством фильтрации информации, то есть ее анализа по совокупности критериев и принятия решения о ее распространении в/из сети. В качестве МЭ выбран VPN-1 Appliance.

Устройство VPN-1 Appliance разработано компанией CheckPoint и входит в семейство VPN-1. Несмотря на свое название, данное устройство обеспечивает не только функции построения VPN, но и очень широкий спектр других возможностей, начиная с разграничения доступа к ресурсам и фильтрации трафика, и заканчивая маршрутизацией IP-протокола (при помощи протоколов RIP, OSPF, DVMRP, IGRP, BGP и VRRP). VPN-1 Appliance включает в себя широко известный в России и сертифицированный по 3-му классу Гостехкомиссией при Президенте РФ межсетевой экран Firewall-1. Это позволяет строить высокоэффективные и надежные защитные системы.

Большинство ограничений и проверок выполняются именно здесь. Защита самого МЭ по этой причине является одной из важнейших задач в обеспечении безопасности сети. Для решения этой задачи используются два основных элемента. Во-первых, выключение на компьютере всех, не относящихся к МЭ служб и запрещение любого трафика, адресатом или инициатором которого мог бы быть МЭ. Во-вторых, для затруднения неавторизованного доступа к МЭ используют адреса из пространства, зарезервированного самим МЭ. Для попытки подключения к такой машине необходимо узнать ее IP-адрес, что практически невозможно при отсутствии доступа к маршрутизатору. Поэтому выбрана организация схемы защиты с маршрутизатором между МЭ и внешней сетью.

Также необходимо обеспечить защиту внешнего маршрутизатора, но эта задача намного проще. Предоставляемые маршрутизаторами средства фильтрации прекрасно приспособлены для защиты самого устройства и в меньшей степени пригодны для реализации полнофункциональной защиты предприятия.

Общедоступные серверы - Web, FTP, SMTP, DNS необходимо разместить в сети периметра. С одной стороны, эти серверы должны быть доступны для всего внешнего мира, с другой - необходимо строго контролировать попытки доступа к ним. На рисунке 9 предлагается схема размещения компонентов сетевой безопасности предприятия.

Рассмотрим каждый из компонентов сетевой безопасности

Межсетевой экран Check Point VPN-1 Appliance & FireWall-1. Система VPN-1 Appliance & FireWall-1 может быть установлена на одну из трех аппаратных платформ, разработанных компанией Nokia [6]:

·  VPN-1 Appliance 330 - Идеальное решение для небольших или удаленных офисов, которым приходится делать выбор между приобретением коммуникационного оборудования (маршрутизаторов) и средств защиты Internet. Использование данной модели позволяет совместить обе этих функции в одном устройстве.

·  VPN-1 Appliance 440 - Решение, выполненное по модульной архитектуре и предназначенное для функционирования в сегментах с повышенными требованиями по обеспечению высокой доступности.

·  VPN-1 Appliance 650 - Данная платформа, также выполнена по модульному принципу и обладает максимальной производительностью по сравнению с другими платформами, а также, возможностью горячей замены, вышедших из строя компонентов (см. рис 10).

Рисунок 9 - Схема защиты сети.

Рисунок 10 – Аппаратно-программные комплексы VPN-1.

Для реализации поставленной задачи следует воспользоваться любой из указанных моделей.

Межсетевой экран Check Point FireWall-1, входящий в состав VPN 1, реализован по технологии Stateful Inspection. Stateful Inspection - технология инспекции пакетов с учетом состояния протокола. Данная технология позволяет контролировать данные вплоть до уровня приложения, не требуя при этом отдельного приложения посредника или proxy для каждого защищаемого протокола или сетевой службы. В результате достигаются уникальные показатели производительности, высокая гибкость решений и возможность быстро и достаточно просто адаптировать систему под новые нужды.

Программный комплекс VPN-1 & Firewall-1 может функционировать под управлением различных операционных систем (Windows NT, Windows 2000, Solaris, HP UX, AIX и Linux), и обеспечивает всестороннюю защиту внутренних ресурсов корпоративной сети от внешних вторжений.

Архитектура stateful inspection уникальна. Она позволяет оперировать всей возможной информацией, проходящей через машину, исполняющую роль шлюза: данными из пакета, данными о состоянии соединения, данными, необходимыми для приложения. Программный компонент, отвечающий за генерацию различных отчетов - Reporting Module, описывающих все аспекты функционирования корпоративной сети (кто, куда и как долго когда "ходил", сколько байт информации скачал и т. д.).

Таким образом, Check Point FireWall-1 имеет уникальную информацию о содержимом сетевых пакетов, соединениях и приложениях. Эти совокупные данные о состоянии соединения, контекста приложения, топологии сети вместе с правилами политики безопасности используются для обеспечения политики безопасности масштаба предприятия. Данное программное обеспечение перехватывает, анализирует, предпринимает необходимые действия в отношении всех соединений и лишь, затем пропускает эти информационные пакеты в операционную систему шлюза, что избавляет операционную систему от несанкционированного доступа.

В реализации технологии stateful inspection компании Check Point используются динамические таблицы для хранения информации о контексте соединений как активных, так и существовавших ранее. Содержимое этих таблиц, проверяется при обработке попытки соединения. Такой подход обеспечивает хорошую производительность и гарантирует, что соединение будет обработано с учетом самой последней информации о состоянии коммуникаций. Таблицы состояний расположены в ядре операционной системы и не могут быть повреждены или перезаписаны, как, например, файлы на диске. В случае же перезагрузки системы FireWall-1 начинает формировать новые таблицы, что предотвращает возможность оперировать поврежденными данными. Очистка таблиц эквивалентна полному запрещению соединений, что гарантирует безопасность сети в таких случаях.

Для повышения надежности, VPN-1 Appliance может использоваться в конфигурации, позволяющей использовать режим "горячего резервирования", который устраняет проблему наличия критичной точки отказа. Если при работе двух параллельных VPN-1 Appliance один вышел из строя, его место в течении нескольких секунд займет второй, взяв на себя все функции обеспечения безопасности. Такая возможность реализуется при помощи технологии синхронизации таблиц состояния, разработанной компанией CheckPoint, и стандарта IETF VRRP (Virtual Router Redundancy Protocol). Такое решение обеспечивается программный модуль High Availability Module. Это позволяет создать отказоустойчивую конфигурацию.

6.2. Авторизация и аутентификация.

Check Point VPN-1 & FireWall-1 обеспечивает пользователям защищенный доступ к сетевым ресурсам организации с установлением подлинности пользователя при помощи различных схем ее проверки. Прежде чем соединение пользователя будет разрешено, механизм установления подлинности FireWall-1 безопасно установит, что это за пользователь пытается установить соединение и как он себя авторизует. Для этого не потребуется каких-либо изменений на серверах и в клиентских приложениях.

Средства установления подлинности пользователей полностью интегрированы в средства работы с политикой безопасности масштаба предприятия и, соответственно, могут централизованно управляться посредством графического интерфейса администратора безопасности. Используя программу просмотра статистики, можно отслеживать любые сессии установления подлинности клиента.

FireWall-1 предоставляет три метода установления подлинности пользователя:

Аутентификация пользователя. Аутентификация клиента. Прозрачная аутентификация сессий.

Аутентификация пользователя – это прозрачный метод установления подлинности пользователя системы FireWall-1 предоставляет возможность определить привилегии доступа для каждого пользователя в отдельности для протоколов FTP, TELNET, HTTP и RLOGIN, независимо от IP-адреса клиентского компьютера.

FireWall-1 выполняет проверку подлинности пользователя при помощи специального Сервера Безопасности, функционирующего на шлюзовой системе. FireWall-1 перехватывает все попытки авторизации пользователя на сервере и перенаправляет их соответствующему Серверу Безопасности. После того, как подлинность пользователя установлена, Сервер Безопасности FireWall-1 открывает второе соединение на необходимый сервер приложения. Все последующие пакеты сессии также перехватываются и инспектируются FireWall-1 на шлюзе.

Аутентификация клиента позволяет администратору предоставлять привилегии доступа определенным IP адресам, пользователи, которых, прошли соответствующие процедуры установления подлинности. В противовес аутентификации пользователя, аутентификация клиента не ограничена только определенными службами, и может обеспечить аутентификацию любого приложения, как стандартного, так и специфичного.

Аутентификация клиента системы FireWall-1 не является прозрачным для пользователя, но, в тоже время, не требуется какого-либо дополнительного программного обеспечения или модификации существующего. Для такого вида установления подлинности администратор может указать, как каждый из пользователей должен будет авторизоваться, какой сервер и какие службы будут доступны, сколько времени, в какие часы и дни и сколько сессий может быть открыто.

Прозрачная аутентификация сессий - этот механизм можно использовать для любых служб. При этом установление подлинности будет происходить для каждой сессии. После того, как пользователь инициировал соединение непосредственно с сервером, шлюз с установленным FireWall-1 распознает, что требуется установление подлинности клиента, и инициирует соединение с агентом авторизации сессий. Агент производит необходимую авторизацию, после чего FireWall-1 разрешает данное соединение, если подлинность клиента установлена. Программно-аппаратный комплекс VPN-1 Appliance & Firewall-1 поддерживает следующие стандарты и алгоритмы защиты:

·  криптографические преобразования - RC4 (40 бит), CAST (40 и 128 бит), FWZ-1 (48 бит), DES (40 и 56 бит), Triple DES (168 бит), RSA (512 и 1024 бит), CBC-DES-MAC, MD5 и SHA-1.

·  управление ключами - Диффи-Хеллмана, IKE, FWZ, SKIP, IPSec.

·  схемы аутентификации пользователей - RADIUS, TACACS\TACACS+, S/Key, на базе токенов (SecurID), пароль в операционной системе и на МСЭ, цифровые сертификаты.

SMTP-протокол был изначально разработан для обеспечения максимально гибких возможностей взаимодействия пользователей. Затем протокол был расширен возможностями поддержки передачи различного рода информации в виде вложений электронной почты. FireWall-1 защищает сеть организации, благодаря детальному контролю SMTP-соединений. Следует отметить следующие возможности FireWall-1:

·  Скрытие в выходящей почте адреса в поле From_ путем замены его на некоторый общий адрес позволяет полностью скрыть внутреннюю сетевую структуру и реальных внутренних пользователей;

·  Перенаправление почты, посланной какому-либо пользователю, например, пользователю root;

·  Уничтожение почты, посланной некоторым адресатом;

·  Удаление вложений определенного типа, например, выполняемых файлов программ;

·  Удаление полей Received в выходящей почте, что предотвращает распространение информации о маршрутах почты внутри организации;

·  Удаление почтовых сообщений, превышающих заданный размер;

·  Сканирование на наличие вирусов.

В дополнение, FireWall-1 поддерживает только необходимый набор команд протокола SMTP, что не явно способствует поддержанию безопасности, так как нетривиальные команды, которые можно использовать с враждебными целями, не допускаются.

6.3. Защита IP-пространства.

Возможность FireWall-1 производить трансляцию адресов позволяет полностью изолировать внутреннее адресное пространство от Интернет и предотвратить распространение информации об адресах как общедоступной. Дополнительно эта возможность позволяет решить проблемы нехватки адресного пространства путем сокращения необходимого зарегистрированного адресного пула и использования внутренних адресов из специально отведенных адресных пространств для частных сетей.

FireWall-1 поддерживает целостность внутреннего адресного пространствасети, транслируя его на официально зарегистрированные адреса организации в Интернет для обеспечения полноценного доступа к Интернет.

В FireWall-1 имеются два основных способа отображения таких адресов - статический и динамический.

Динамическая мода трансляции адресов обеспечивает доступ пользователей к сети Интернет, экономя зарегистрированное адресное пространство и скрывая внутренние адреса ресурсов сети. Динамическая мода использует единственный IP-адрес для отображения всех соединений, проходящих через защищенную точку доступа.

Так как этот IP-адрес, используемый в динамической моде только для выходных соединений, не используется ни для каких реальных ресурсов, не возможна подмена адреса или взлом.

При расширении сетевой инфраструктуры организации возникает потребность в обеспечении доступа пользователей сети Интернет к ресурсам организации, например для работников компании, работающих удаленно, или стратегических партнеров.

Статическая мода трансляции адресов призвана решить данную задачу путем однозначного назначения адресу ресурса в глобальной сети его реального адреса. Этот вариант трансляции обычно используется, если администратор не хочет использовать реальные адреса на сетевых серверах, или если по историческим причинам сеть использует нелегальные (внутренние) адреса, которым необходимо сопоставить реальные адреса, чтобы пользователи Интернет могли получить доступ к ним.

6.4. Сеть периметра.

В сети периметра размещены общедоступные сервера - Web, FTP, SMTP, DNS. С одной стороны, эти серверы должны быть доступны для всего внешнего мира, с другой - необходимо строго контролировать попытки доступа к ним. Именно эта часть системы подвержена наибольшему риску оказаться объектом атаки, как по причине своей очевидной доступности, так и из-за массы известных и регулярно обнаруживаемых новых ошибок в реализации программ, обеспечивающих эти типы сервиса. Даже при безупречном программном обеспечении существуют некоторые возможности прервать работу публичных серверов, используя особенности реализации стека TCP/IP. Так или иначе, нет никакой гарантии, что некто не сможет получить доступ к открытым серверам. Пока единственной гарантией может служить только полная изоляция сервера.

Поэтому все доступные извне серверы размещены в специально отведенной только для них зоне так, чтобы в худшем случае под угрозой оказался только один участок сети. Еще более предпочтительным вариантом является подключение каждого из открытых серверов на отдельный сетевой интерфейс firewall. Это дает возможность со стопроцентной уверенностью контролировать весь трафик такого сервера и гарантирует защиту одного открытого сервера от другого в случае нарушения безопасности одного из них.

6.5. Маршрутизация.

Маршрутизатор является частью VPN-1 Appliance и используется для сегментации сети. В этом случае маршрутизатор используется в качестве “предварительного фильтра” для того, чтобы преградить путь нежелательному трафику. Фактически, он являются первым рубежом межсетевого экрана, выполняя элементарную фильтрацию пакетов. Этот продукт объединяет в себе возможности разграничения доступа и фильтрации сетевого трафика на всех уровнях информационной системы (в том числе и на уровне прикладного ПО), аутентификации и трансляции сетевых адресов (NAT), а также построение виртуальных частных сетей (VPN).

Программный модуль Open Security Extension позволяет распространить требования политики безопасности, задаваемой в единых терминах на единой консоли управления, на все сетевые устройства, используемые в сети (маршрутизаторы Cisco, 3Com, Nortel, межсетевые экраны Cisco PIX и т. д.).

6.6. Средства мониторинга.

В настоящее время для комплексной защиты от угроз информационной безопасности необходимо использовать различные программные и аппаратные средства. Однако вместе с ростом количества средств защиты существенно увеличивается и объём информации, которую должен обработать администратор безопасности для принятия адекватных решений по реагированию на выявленные атаки. Эффективная работа с большим объёмом данных, поступающих от систем безопасности, требует наличия у администратора высокого уровня квалификации, позволяющего выполнять следующие операции:

·  проведение сопоставительного анализа результатов работы различных средств защиты. Для этого администратор безопасности должен просматривать и визуально сопоставлять записи журналов аудита средств защиты при помощи соответствующих консолей управления этих систем;

·  проведение сопоставительного анализа результатов работы средств защиты и параметров работы программно-аппаратного обеспечения. Для проведения сопоставительного анализа этого типа администратор должен вручную сопоставлять записи журнала работы систем защиты и записи соответствующих журналов работы программно-аппаратного обеспечения;

·  поиск информации об одном событии в журналах аудита различных средств защиты.

Сложность такого поиска объясняется тем, что различные средства по-разному регистрируют информацию об одних и тех же событиях безопасности.

Для автоматизации процесса сбора и анализа информации, поступающей от различных средств защиты предлагается комплексное техническое решение по мониторингу информационной безопасности автоматизированной системы предприятия, предлагаемая структурная схема которого представлена на рисунке 11.

Рисунок 11 – Предлагаемая структура системы мониторинга информационной безопасности.

Реализация функций мониторинга событий в области информационной безопасности позволит существенно облегчить процесс принятия администратором решений по реагированию на события, связанные с нарушением безопасности и, тем самым, повысить оперативность принятия решений в части реагирования на выявленные инциденты. В состав системы мониторинга включаются следующие компоненты:

·  агенты мониторинга, предназначенные для сбора информации, поступающей от различных средств защиты;

·  сервер событий, обеспечивающий централизованную обработку информации о событиях безопасности, которая поступает от агентов. Обработка осуществляется в соответствии с правилами, которые задаются администратором безопасности;

·  хранилище данных, содержащее результаты работы системы, а также данные, полученные от агентов;

·  консоль управления системой, позволяющая в реальном масштабе времени просматривать результаты работы системы, а также управлять её параметрами.

Решение по мониторингу информационной безопасности может базироваться на программных комплексах BMC Patrol, IBM Tivoli Risk Manager, HP OpenView и др. Преимущества данного решения заключается в следующем:

·  возможность увеличения скорости реагирования на инциденты, связанные с нарушением информационной безопасности;

·  возможность автоматизации процесса обработки информации, поступающей от различных средств защиты;

·  возможность повышения эффективности управления процессом управления информационной безопасностью автоматизированной системы.

6.7. Предлагаемая технология защита от действий инсайдера.

Главную опасность для конфиденциальной информации представляет собственный персонал, 64% российских организаций считают, что кража данных инсайдерами представляет самую большую угрозу ИТ-безопасности. Решения InfoWatch создают эффективный мониторинг всех каналов утечки и предотвращают как умышленные, так и неосторожные действия сотрудников, прошедших все барьеры идентификации и авторизованных на использование корпоративной информационной системы. Таким образом, имеется надёжная защита конкурентных преимуществ компании, репутации в глазах заказчиков, партнеров и инвесторов и минимизация операционных рисков.

Решения InfoWatch обеспечивают эффективный контроль и аудит для внутренней ИТ-безопасности вашей организации. Благодаря уникальному многоуровневому мониторингу действий пользователей InfoWatch позволяет создать комплексную защиту конфиденциальной информации против умышленных и неосторожных действий персонала. Реализация такой стратегии помогает противостоять промышленному шпионажу и внутреннему саботажу, сохранить репутацию организации в глазах заказчиков, партнеров, инвесторов и общественного мнения, минимизировать операционные риски, связанные с утратой конфиденциальности данных и привести информационную систему в соответствие с законами и стандартами. Предлагаемая структурная схема защиты и контроля конфиденциальной информации InfoWatch представлена на рисунке 12.

Рисунок 12 – Предлагаемая структурная схема контроля конфиденциальной информации InfoWatch.

Система в масштабе реального времени фильтрует почтовую корреспонденцию, веб-трафик, обращения к базам данных при помощи ядра лингвистического анализа Morph-o-Logictm, предотвращает неавторизованное использование (в т. ч. копирование на мобильные накопители) и печать документов на рабочих станциях. В случае обнаружения фактов нарушения корпоративной политики ИТ-безопасности система оперативно сообщает об инциденте компетентным лицам и помещает подозрительные объекты в область карантина. Универсальное хранилище позволяет аккумулировать и консолидировать разрозненные сведения об активности пользователей, дает возможность получить целостную картину движения корпоративных данных и проводить ретроспективный анализ инцидентов. Таким образом, InfoWatch реализует наиболее эффективный концептуальный подход к защите конфиденциальной информации:

·  контроль всех каналов передачи и обработки данных;

·  контроль использования документов;

·  контроль действий пользователей;

·  контроль контролирующего.

Решение позволяет обеспечивать контроль и аудит конфиденциальных данных во внутренних и внешних коммуникациях организации. Обеспечивает конфиденциальность и целостность информации с возможностью централизованного управления и оповещения об инцидентах в режиме реального времени. Позволяет отслеживать операции, осуществляемые с конфиденциальной информацией внутри информационного ресурса компании, ограничивать (запрещать) определенные действия пользователей по отношению к конфиденциальной информации, ограничивать выход конфиденциальной информации за пределы компании.

Предлагается схема организации системы контроля и аудита для обнаружения и предотвращения пересылки конфиденциальных данных, изображенная на рисунке 4.17.

В состав решения входят продукты. Специализированная система контроля и аудита для обнаружения и предотвращения пересылки конфиденциальных данных по электронной почте и через Интернет-сервисы (веб-почта, веб-форумы, веб-чаты и др.). Решение также позволяет создавать высокопроизводительный универсальный архив для консолидации сведений об активности пользователей в почтовом и веб-трафике для ретроспективного анализа, расследования инсайдерских инцидентов и соответствия российским и международным нормативным актам и стандартам.

Рисунок 13 – Предлагаемая схема организации системы контроля и аудита для обнаружения и предотвращения пересылки конфиденциальных данных.