11 клас Урок 31

Тема уроку:"Системи аналізу вмісту поштового і веб-трафіку (електронна пошта і НТТР). Політики безпеки, сценарії і варіанти застосування і реагування."

Сьогодні на уроці ми з вами детальніше познайомимося з політикою безпеки при доступі до мережі загального користування. Розглянемо системи аналізу вмісту поштового і веб-трафіку (електронна пошта і НТТР). А також ознайомимося з перевагами та недоліками віртуальних приватних мереж (VPN). Загрози, пов'язані з використанням VPN.
Інформаційна безпека забезпечується політикою безпеки, яка включає в себе сукупність норм і правил, що регламентують процес обробки інформації. Для її забезпечення необхідно чітко уявляти, яка інформація вимагає першочергової захисту, яких збитків зазнає підприємство при втраті тих чи даних, якого роду атаки на безпеку системи можуть бути зроблені і від яких можливих джерел загроз, які кошти використовувати для захисту.

При формуванні політики безпеки необхідно враховувати кілька базових принципів:

• • надання кожному співробітнику підприємства (користувачеві комп'ютера, інформаційної системи, мережі) того мінімального рівня привілеїв на доступ до даних, який необхідний йому для виконання своїх посадових обов'язків;
• • комплексний підхід до забезпечення безпеки, починаючи з організаційно-адміністративних заборон і закінчуючи вбудованими засобами мережевої апаратури;
• • використання коштів, які при відмові переходять в стан максимального захисту. Наприклад, при виході з ладу автоматичного пропускного пункту в будь-яке приміщення він повинен переходити в такий стан, щоб ні одна людина не могла пройти на територію, що захищається;
• • принцип балансу можливого збитку від реалізації погрози і витрат на її запобігання. Наприклад, в деяких випадках можна відмовитися від дорогих апаратних засобів захисту, посиливши адміністративні заходи.

При визначенні політики безпеки для мережі, що має вихід в Інтернет, фахівці рекомендують розділити задачу на дві частини: вироблення політики доступу до мережних служб Інтернету і вироблення політики доступу до ресурсів внутрішньої мережі компанії.

МОДЕЛІ БЕЗПЕКИ І ПРИНЦИПИ ЇХ ПОБУДОВИ

Основним завданням політики безпеки є захист від несанкціонованого доступу до ресурсів інформаційної системи. Для цього, виходячи з прийнятих норм і правил, будуються формалізовані моделі безпеки у вигляді опису, що визначає (задає) умови, при яких підтримується певний рівень конфіденційності, цілісності і доступності ресурсів інформаційної системи.

Основою для побудови моделей безпеки служать наступні принципи:

• • інформаційна система представляється у вигляді безлічі суб'єктів і об'єктів. Система безпечна, якщо управління доступом суб'єктів до об'єктів здійснюється відповідно до прийнятого набором правил і обмежень;
• • всі взаємодії в системі регламентуються заданим набором операцій, які суб'єкти можуть проводити над об'єктами;
• • всі операції між суб'єктами і об'єктами контролюються і, виходячи з прийнятих норм і правил, або забороняються, або вирішуються;
• • сукупність множин суб'єктів, об'єктів і відносин між ними утворюють простір стану системи. Кожне стан системи є безпечним або небезпечним відповідно до прийнятого в моделі критерієм безпеки. При дотриманні всіх встановлених правил і обмежень система, що знаходиться в безпечному стані, не може перейти в небезпечний стан.
• Система mail-контент.
  Система являє собою набір політик, правил, фільтрів для аналізу вхідного і вихідного поштового трафіку.
  Існує два способи роботи системи:
  ·  «В розриві»;
  ·   «В відгалуженні»
  У «розриві» - це режим, при якому вся вхідна та вихідна кореспонденція обов'язково проходить крізь контент - систему, яка, працюючи в online режимі, здійснює аналіз пошти і приймає рішення: відправка / затримка ітд.
  У «відгалуженні» - це режим, при якому система отримує копію поштового потоку. Аналіз вмісту і реакція на порушення політик йде як постфактум.
  Система mail-контент складається з двох груп серверів:
  ·  розбору поштового потоку;
  · зберігання поштових повідомлень.
  Ось простий приклад політики:
  Вхідна кореспонденція проходить обов'язкові фільтри:
  · антиспаму (тільки Вашу електронну пошту);
  · антивіруса (вхідна та вихідна);
  далі відбувається контент-перевірка:
  · листи від Топ менеджменту (акціонери і керівники компанії) не проходять перевірку і не складаються в загальну базу листів;
  ·  листи від начальників підрозділів проходять всі фільтри і з відповідними знаками і / або повідомленнями адміністратору складаються в базу (для можливого подальшого розслідування інциденту і / або порушення);
  · листи інших співробітників проходять всі фільтри і, за певних умов затримуються, адміністратор системи отримує повідомлення з копією листа для подальшого розслідування порушення.
  Система web - контент.
  Система являє собою набір політик, правил роботи, фільтрів. На відміну від mail - контенту, web - контент може бути встановлений тільки в розрив. Система також складається з двох груп серверів:
  · аналіз вмісту web - трафіку (а так само кешування потоку);
  ·   зберігання журналів (логів і звітів).
  При великому бюджеті дані сервера можуть бути рознесені, але при невеликих навантаженнях і потоці, можуть бути суміщені. Окремо відзначимо, що перша група серверів повинна бути кластером - для підвищення відмовостійкості та надійності.
  Наведемо приклад політик:
  Для груп користувачів, визначених вище:·   для Топ менеджменту компанії немає ніяких обмежень на відвідувані сайти і на обсяг трафіку;
  ·         для начальників підрозділів обмеження по трафіку немає, але існує правила, за якими заборонена група сайтів, пов'язана з хакерськими і поштовими сервісами;
  ·         для рядових співробітників існують обмеження на відвідування определнного сайтів і на трафік (за обсягом і типом скачуваних файлів);
  ·  інші специфічні для бізнесу компанії групи
  категорії сайтів і правила роботи:
  ·  обов'язкова перевірка на антивірус і відсікання сайтів з банерами;
  · поштові сервіси (mail.ru, pochta.ru і.т.д.) і сервіси, пов'язані з інтернет - пейджерами (icq і інші) - заборонені для всіх, крім першої групи (щоб виключити витік конфіденційної інформації);
  ·  сайти з доступом по https - заборонені всі ті, що ні дозволені явно: наприклад сайт стільникового оператора MTS повинен бути дозволеним, так як там SSL протоколом закриті дані по рахунку користувача. Відзначимо, що зазначені сайти становлять небезпеку пов'язану з тим, що контент - система не може визначити що йде в зашифрованому потоці - ні перевірити на вірус, ні визначити тип даних і зміст;
  ·  сайти з порнографічним змістом - закриті;
  · сайти, пов'язані з пошуком роботи - відкриті тільки для співробітників відділу підбору персоналу, для інших - закриті;
  · розважальні сайти (гумор, музичні, мобільні телефони, інтернет магазини) - закриті в робочий час, доступ до них відкритий до початку робочого дня і після його закінчення;
  · сайти для роботи (що відповідають специфіці бізнесу компанії) - доступ на ці сайти відкритий завжди і у співробітників є можливість завантажувати з них файли будь-якого типу. Даний список постояно поповнюється на прохання користувачів;
  · сайти, пов'язані з хакерською спрямованістю (анонімайзери, сайти з шкідливим ПЗ) - закриті.
  Додаткові, тонкі моменти:
  для категоризації сайтів повинні використовуватися як списки, постійно поповнюються в ручну, так і спеціальні сервіси в інтернеті (як правило платні);
  помилкові спрацьовування - їх багато не тільки в період налагодження систем, але і в період нормальної роботи. На жаль, цього не уникнути так швидко, як хотілося б, але досягти можна постійним вдосконаленням фільтрів, списків, правил.
  наявність всередині компанії внутрішнього сервера Microsoft Update і налаштованої політикою оновлення ПЗ на серверах і робочих станціях - це підвищить рівень безпеки та зменшить інтернет-трафік;
  інтеграція систем антиспаму і антивіруса в систему контент аналізу пошти дозволить ефективніше боротися з вірусами і спамом, так як лист розбирається один раз і результати розбору використовуються відразу трьома системами
• Перевіримо свої набуті знання:
•