Академический Документы
Профессиональный Документы
Культура Документы
Введение...................................................................................................................3
Общая характеристика работы...............................................................................4
Глава 1 Анализ способов построения сетей фин. организаций..........................6
1.1 Понятие корпоративной сети и ее составных частей....................................6
1.2 Организация виртуальных частных сетей....................................................10
1.3 Мониторинг корпоративных сетей................................................................14
Глава 2 Особенности построения сетей на основе оборудования MikroTik . .16
2.1 Общая характеристика производителя MikroTik.........................................16
2.1.1 RouterOS........................................................................................................16
2.1.2 Особенности RouterOS.................................................................................16
2.1.3 RouterBOARD...............................................................................................17
2.1.4 Маршрутизаторы CloudCore.......................................................................17
2.1.5 Реализованные проекты...............................................................................18
2.1.6 Уязвимости....................................................................................................18
2.2 Достоинства и недостатки платформы Mikrotik..........................................19
2.2.1 Достоинства..................................................................................................20
2.2.2 Недостатки....................................................................................................20
Глава 3 Анализ проблем безопасности в инф. сетях фин. огранизаций..........22
3.1 Понятие информационной безопасности......................................................22
3.2 Проблемы информационной безопасности..................................................25
3.3 Анализ современных угроз безопасности.....................................................28
3.4 Анализ подходов по обеспечению информационной безопасности..........29
3.5 Анализ методов обеспечения информационной безопасности финансовых
учреждений............................................................................................................33
3.6 Общее положение концепции информационной безопасности
финансовых учреждений......................................................................................38
3.7 Правовое обеспечение информационной безопасности..............................39
3.8 Объекты защиты..............................................................................................41
3.9 Основные виды угроз объектам информационной безопасности..............41
3.10 Перечень требований к объектам защиты..................................................43
3.11 Перечень требований к средствам защиты инф. безопасности................44
3.12 Перечень требований к системе мониторинга информационной
безопасности..........................................................................................................45
Глава 4 Концепция построения сети финансовой организации.......................50
4.1 Постановка задачи...........................................................................................50
4.2 Решение поставленных задач.........................................................................52
4.3 Настройка автоматического переключения..................................................57
Заключение............................................................................................................63
Список использованных источников..................................................................64
ВВЕДЕНИЕ
3
ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ
4
В первой главе проводится анализ способов построения сетей
финансовых учреждений, в которой дается понятие корпоративной сети,
элементов корпоративных сетей, виртуальных частных сетей (VPN).
Во второй главе проводится описание особенностей построения
корпоративных/финансовых сетей в целом и с использованием оборудования
MikroTik, в частности.
В третьей главе описаны проблемы безопасности в информационных
сетях корпоративных/финансовых организаций, проводится анализ
информационной безопасности финансовых учреждений, в которой дается
понятие информационной безопасности, выделяются основные проблемы
информационной безопасности финансовых учреждений, а также проводится
анализ современных угроз безопасности. Проводится анализ современных
подходов и методов обеспечения информационной безопасности финансовых
учреждений. Производится разработка концепции информационной
безопасности финансового учреждения, которая состоит из идентификации
объектов защиты, перечня основных видов угроз объектам информационной
безопасности, а также перечня требований к объектам защиты, средствам
защиты информационной безопасности, системе мониторинга
информационной безопасности финансовых учреждений.
В четвертой главе приводится разработанная концепция построения
сети финансовой организации с использованием всемирных разработок в
сфере информационной безопасности и проектирования сетей передачи
данных.
Диссертация состоит из введения, общей характеристики работы,
четырех глав, заключения и списка использованных источников.
Общий объем работы составляет 65 страницы, из них 55 основного
текста, 6 рисунков на 6 страницах, 12 файлов конфигурации на 6 страницах,
35 источников литературы на 3 страницах.
5
ГЛАВА 1 АНАЛИЗ СПОСОБОВ ПОСТРОЕНИЯ СЕТЕЙ
ФИНАНСОВЫХ ОРГАНИЗАЦИЙ
7
компьютер, но имеет главное отличие от стационарного компьютера -
мобильность.
– Сетевое МФУ. МФУ – многофункциональное устройство,
выполняющее функции принтера, сканера, копира. Подключение к сети
осуществляется путем сетевого кабеля. Если МФУ не имеет сетевого порта,
то оно подключается к компьютеру и с помощью средств операционной
системы открывается на доступ по сети другим пользователям.
– Wi-Fi точка доступа. Устройство, с помощью которого создаются
беспроводные сети. Используется для подключения ноутбуков и других
портативных устройств, имеющих модуль Wi-Fi. Преимущество перед
кабельной системой заключается в мобильности и ненужности протягивать
кабель и портить интерьер. Скорость доступа в зависимости от
используемого стандарта может быть от 50 до 125 мбит/сек. Для защиты
доступа к сети есть несколько стандартов обеспечения безопасности: WEP,
WPA, WPA2 и т.д.
– IP-телефония. Система связи, обеспечивающая передачу речевого
сигнала по сети Интернет или по любым другим IP-сетям. Сигнал по каналу
связи передаётся в цифровом виде и, как правило, перед передачей
преобразовывается (сжимается) с тем, чтобы удалить избыточность.
– Коммутатор. Устройство, предназначенное для соединения
нескольких узлов компьютерной сети в пределах одного или нескольких
сегментов сети. Коммутатор передаёт данные только непосредственно
получателю, исключение составляет широковещательный трафик (на MAC-
адрес FF:FF:FF:FF:FF:FF) всем узлам сети. Это повышает
производительность и безопасность сети, избавляя остальные сегменты сети
от необходимости (и возможности) обрабатывать данные, которые им не
предназначались.
– Маршрутизатор. Сетевое устройство, на основании информации о
топологии сети и определённых правил принимающее решения о пересылке
пакетов сетевого уровня (уровень 3 модели OSI) между различными
сегментами сети. Проще говоря, это устройство, которое связывает 2 и более
разные сети (в нашем случае это локальная сеть офиса и Интернет).
Маршрутизатор может быть типа hardware и software. Аппаратный (hardware)
маршрутизатор - это готовое устройство, в программную оболочку которого
вшиты базовые функции маршрутизатора. Программный (softaware)
маршрутизатор - это отдельный сервер, обычно с *nix операционной
системой, на базе которой с помощью средств Firewall настраивается
маршрутизация и правила обмена трафиком. При выборе того или иного типа
маршрутизатора обычно руководствуются количеством конечных
пользователей, сложностью правил и требуемой надежностью.
8
– Терминальный сервер (сервер терминалов). Сервер,
предоставляющий клиентам вычислительные ресурсы (процессорное время,
память, дисковое пространство) для решения задач. Технически
терминальный сервер представляет собой очень мощный компьютер (либо
кластер), соединенный по сети с терминальными клиентами, которые, как
правило, представляют собой маломощные или устаревшие рабочие станции
или специализированные решения для доступа к терминальному серверу.
Терминал сервер служит для удалённого обслуживания пользователя с
предоставлением рабочего стола.
9
базой клиентов не больше 10-15 человек), клиент-серверный режим - база
данных находится на sql сервере. В клиент-серверном режиме пользователи
не напрямую работают с базой данных, а через 1С сервер, который
обрабатывает запросы в понимаемую форму для sql сервера.
Этот режим повышает производительность, надежность, и улучшает
процессы администрирования базы данных.
Как раз для таких целей и существует сервер приложений.
Назначение SQL:
11
Удачно спроектированная VPN может принести организации немало
выгод. Ее внедрение позволяет:
– расширить географию доступа сотрудников к инфраструктуре
организации;
– повысить безопасность передачи информации;
– уменьшить эксплуатационные затраты по сравнению с
традиционными глобальными сетями;
– сократить время передачи информации и снизить командировочные
расходы;
– повысить производительность труда;
– упростить топологию сети;
– увеличить мобильность пользователей и дать им более гибкий
график работы.
– безопасность;
– надежность;
– масштабируемость;
– управляемость.
12
Особенности такой организации:
13
Способы организации VPN:
14
1.3 Мониторинг корпоративных сетей
15
По графикам нагрузки на процессор, объему занимаемой оперативной
памяти, можно судить о достаточности ресурсов сервера для задач,
исполняемых на нем. Это дает обоснование для обновления сервера.
Практически во всех фирмах есть большие объемы информации,
которые включают в себя важные документы, базы данных, архивы и т.д.
Потеря этих документов принесет фирме большие убытки. Для того чтобы
всегда иметь резервную копию этих файлов, настраиваются планы
резервного копирования данных. Создаются образы данных и складываются
на файл-сервере. За свободным местом на файл-сервере и за созданием
образов тоже необходимо настраивать слежение.
Слежение чаще всего производится за состоянием серверов,
маршрутизаторов и другого сетевого оборудования. Грамотно настроенная
система мониторинга может снизить кол-во отказов сети и увеличить её
отказоустойчивость. В то же время, администраторы сети будут быстро и
вовремя оповещены о неполадках.
Единственным недостатком таких систем является сложность создания
и настройки. Существует множество готовых комплексных решений, но не
всегда по тем или иным причинам они подходят под уже настроенную и
отлаженную корпоративную сеть. Поэтому приходиться выбирать и
комбинировать эти системы для достижения желаемого результата.
Выводы
16
ГЛАВА 2 ОСОБЕННОСТИ ПОСТРОЕНИЯ СЕТЕЙ С
ИСПОЛЬЗОВАНИЕМ ОБОРУДОВАНИЯ MIKROTIK
2.1.1 RouterOS
История версий:
– RouterOS v6: май 2013 — н.в. (основана на ядре Linux 3.3.5)
– RouterOS v5: март 2011 — сентябрь 2013 (основана на ядре Linux
2.6.35)
– RouterOS v4: октябрь 2009 — март 2011 (основана на ядре Linux
2.6.26)
– RouterOS v3: январь 2008 — октябрь 2009 (основана на ядре Linux
2.4.31)
2.1.3 RouterBOARD
18
В ноябре 2012 года, MikroTik выпустила маршрутизаторы нового
семейства CloudCore Router (CCR), которые базируются на процессоре Tilera,
содержащем от 9 до 72 процессорных ядер. По состоянию на сентябрь 2017 в
семействе 10 моделей с заявленной производительностью на коротких
пакетах от 17 до 120 млн пакетов в секунду. Эти устройства предназначаются
для средних сетевых провайдеров, а также являются хорошей ценовой
альтернативой другим более известным брендам.
2.1.6 Уязвимости
20
Как любой из производителей телекоммуникационных устройств,
оборудование MikroTik имеет свои преимущества и недостатки, о которых
информация последует ниже.
2.2.1 Достоинства
2.2.2 Недостатки
21
– в базовой реализации отсутствует многократный резерв аппаратной
платформы, в т.ч. блоков питания. Однако есть примеры внедрения на
RouterOS на нескольких х86 серверов + VMware Fault Tolerance +VRRP;
– если требуется маршрутизировать более 10 Гбит/с трафика
ежесекундно (да, имеется серия Core, но не без нареканий);
– когда требуется шифрование по ГОСТу, динамическая
маршрутизация Cisco EIGRP или иные возможности, заложенные другими
производителями в собственное оборудование (разработанные возможности
для собственного оборудования);
– если нет квалификации специалиста по сетевым технологиям, то
конфигурировать устройства без квалификации по инструкциям из
Интернета попросту небезопасно;
– если в компании, где внедряется MikroTik, особое отношение к
лицензированию ПО, т.к. разработчики MikroTik многократно нарушали
лицензию GPL;
– сниженная частота обращений клиентов для обслуживания
оборудования MikroTik (администраторам-по-вызову такая устойчивость
оборудования снижает поступление средств в кошелек);
– отсутствует должная корпоративная техподдержка и гарантии, в
отличие от других производителей – произвести крайне оперативную замену
в течение 2 часов вряд ли возможно. Здесь спасает обращение к аутсорс-
фирмам, специализирующимся на оборудовании MikroTik, либо ожидание
специалистов производителя дольше двух часов;
– малое распространение марки — это достаточно существенный
минус. И он как для потребителей, так и для специалистов. Так как RouterOS
слабо распространен, то и спрос на специалистов, разбирающихся в ней, мал.
Выводы
22
Следовательно, данная работа рассматривает лишь ограниченный круг
применения стека технологий от MikroTik.
23
ГЛАВА 3 АНАЛИЗ ПРОБЛЕМ БЕЗОПАСНОСТИ В
ИНФОРМАЦИОННЫХ СЕТЯХ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ
3
3.1 Понятие информационной безопасности
25
информационной системе, такие воздействия называют угрозой
информационной безопасности.
Угроза информационной безопасности – совокупность условий и
факторов, которые могут стать причиной нарушения информационной
безопасности.
Основными угрозами информационной безопасности являются
следующие:
– аппаратные средства – компьютеры, и их составные части, а именно
процессоры, мониторы, терминалы, периферийные устройства: дисководы,
принтеры, контроллеры, кабели, линии связи;
– программное обеспечение – программы, операционные системы и
системные программы (компиляторы, компоновщики и др.), утилиты,
диагностические программы и т.д.;
– данные – хранимые временно и постоянно, на магнитных носителях,
печатные, архивы, системные журналы и т.д.;
– персонал – обслуживающий персонал и пользователи.
Воздействие на информационную систему можно подразделить на
случайное и преднамеренное.
Под случайным воздействием понимают сбои в работе аппаратуры,
аварийные ситуации, вызванные стихийным бедствием, ошибки в работе
программного обеспечения, ошибки в работе персонала, помехи в линиях
связи, вызванные внешней средой.
Под преднамеренным воздействием понимают преступные действия
злоумышленника, направленные на получение несанкционированного
доступа.
Меры по обеспечению информационной безопасности направлены на:
– предупреждение угроз, предупредительные меры по обеспечению
информационной безопасности направленных на опережение возможности
их возникновения;
– выявление угроз. Выявление угроз направлено на регулярном
анализе и контроле возможности появления угроз, основано на анализе
сведений о возможной готовящейся атаке со стороны злоумышленника.
Угрозы могут быть как реальные, так и потенциальные;
– обнаружение угроз, направленно на выявление реальных угроз и их
источников, которые могут принести любой вид ущерба. Например,
обнаружение факта хищения информации, мошенничества,
несанкционированного доступа к информации, разглашения
конфиденциальной информации;
– локализацию угроз, данная мера направлена на устранение
действующей угрозы. Например, угроза копирования либо хищения
26
информации на USB накопитель решается путем запрета записи, при помощи
редактирования реестра;
– ликвидация последствий направлена на восстановление состояния,
предшествовавшего наступлению угроз.
Таким образом, информационная безопасность – это состояние
защищенности информации, а также деятельность, направленная на
обеспечение и поддержание защищенного состояния объекта
информатизации, путем обеспечения целостности, доступности,
конфиденциальности, неотказуемости, подотчетности, достоверности,
аутентичности обрабатываемой информации, с целью предотвращения
случайных либо преднамеренных воздействий естественного или
искусственного характера, которые могут нанести неприемлемый ущерб
(ущерб, которым нельзя пренебречь) субъектам информационных
отношений.
Так как информационные системы представляют собой совокупность
взаимосвязанных элементов, необходимо обеспечивать комплексную защиту
информации для того, чтобы объединить все составляющие защиты в единое
целое, в котором каждый компонент, выполняя свою функцию,
одновременно обеспечивает выполнение функций других компонентов.
Следовательно, комплексный подход обеспечивает безопасность всей
совокупности информации, которая подлежит защите.
28
освобождения веб-сервера. Однако, если в короткое время посылать
миллионы запросов с различных ip-адресов, то рано или поздно очередь
заполнится и веб-сервер перестанет обрабатывать запросы. В качестве
устройств используются обычные компьютеры пользователей, зараженные
вирусами, которые в свою очередь входят в ботнет. Пользователи зачастую
даже не догадываются о том, что входят в сеть “ботнет”.
Проблема, заключающая в слабом взаимодействии сотрудников ИБ и
ИТ подразделений, обусловлена тем что специалисты ИБ не участвуют в
процессе проектирования/модернизации систем, а только согласовывают
документацию. Защита информации заключается в размещении
оборудования в защищенном сегменте. Обеспечением сетевого доступа и
разграничением прав пользователей, а после ввода системы на нее
«навешиваются» средства защиты информации. В результате начинаются
проблемы с производительностью.
Решить данную проблему позволит четко сформулированные
требования к взаимодействию с компонентами системы ИБ. Также должно
быть регламентировано обязательное включение специалиста по ИБ в
проектную команду еще на этапе проектирования или модернизации
системы.
Большинство организаций, в том числе и финансовые учреждения
используют несертифицированные системы безопасности, это обусловлено
тем, что сертифицированный продукт не всегда подходит под
инфраструктуру организации, а также финансированием проектов по защите
информации. На сегодняшний день небольшое количество систем защиты
информации, а именно системы предотвращения утечки информации,
системы мониторинга и корреляции событий соответствуют требованиям
Оперативно-аналитического центра.
Далеко не всегда от кибератак защищают антивирусные программы
или технологии защиты данных потому, что технологии хакеров
совершенствуются быстрее, чем инструменты безопасности. Основная
проблема в том, что финансирование киберпреступности на порядок выше
финансирования компаний, которые борются с ней.
Проблемы информационной безопасности решить полностью
невозможно, однако, если основываться на обеспечение баланса интересов
сотрудников ИБ и ИТ подразделений, регуляторов в сфере информационной
безопасности, а также согласованной деятельностью по противодействию
угрозам ИБ, то можно добиться формирования культуры ИБ, важнейшим
компонентом которой является активная деятельность всех подразделений по
выявлению, оценке и реализации мер противодействия угрозам ИБ.
29
3.3 Анализ современных угроз безопасности
31
Достоинство этого подхода заключается в высокой избирательности к
конкретной угрозе.
Недостатком подхода является отсутствие единой защищенной среды
обработки информации.
Фрагментарные меры защиты информации обеспечивают защиту
конкретных объектов автоматизированной сети только от конкретной
угрозы. Даже небольшое видоизменение угрозы ведет к потере
эффективности защиты.
В информационной безопасности выделяют три основных компонента:
предотвращение, сдерживание, обнаружение.
Все компоненты информационной безопасности не могут эффективно
работать без комплексного похода, то есть без использования всех
компонентов единовременно.
Предотвращение нацелено на противодействие угроз информационной
безопасности, что не дает проникнуть злоумышленникам проникнуть в
защищаемую информационную систему.
Сдерживание нацелено на ослабление ущерба бизнес-процессов.
Обнаружение способствует информированию о нарушениях, связанных
с информационной безопасностью.
Очевидно, что для эффективного обеспечения информационной
безопасности необходимо использовать все три компонента, которые
составляют комплексный подход к обеспечению информационной
безопасности.
Комплексный подход позволяет объединить целый ряд автономных
систем путем их интеграции в так называемые интегрированные системы
безопасности.
Интегральный подход направлен на достижение интегральной
безопасности. Основной смысл понятия интегральной безопасности состоит
в необходимости обеспечить такое состояние условий функционирования
организации, при котором она надежно защищена от всевозможных видов
угроз в ходе всего непрерывного производственного процесса. Понятие
интегральной безопасности предполагает обязательную непрерывность
процесса обеспечения безопасности как во времени, так и в пространстве (по
всему технологическому циклу деятельности) с обязательным учетом всех
возможных видов угроз (несанкционированный доступ, съем информации,
терроризм, пожар, стихийные бедствия). В какой бы форме ни применялся
комплексный или интегральный подход, он всегда направлен на решение
ряда частных задач в их тесной взаимосвязи с использованием общих
технических средств, каналов связи, программного обеспечения. Например,
применительно к информационной безопасности наиболее очевидными из
32
них являются задачи ограничения доступа к информации, технического и
криптографического закрытия информации. Поэтому объективно обеспечить
полную безопасность информации могут лишь интегральные системы
безопасности, индифферентные к виду угроз безопасности и
обеспечивающие требуемую защиту непрерывно, как во времени, так и в
пространстве, в ходе всего процесса подготовки, обработки, передачи и
хранения информации.
Угрозы информационной безопасности постоянно меняются и
совершенствуются, соответственно необходимо постоянно совершенствовать
системы безопасности
Помимо описанных особенностей комплексного подхода, следует
учесть, важный фактор, то, что угрозы информационной безопасности
постоянно меняются и совершенствуются, и в следствии этого системам
безопасности постоянно необходимо совершенствоваться. В связи с этим на
сегодняшний день одного комплексного подхода недостаточно, поэтому
применяют еще такие подходы, как управление инцидентами, тестирование
на проникновение в автоматизированную систему, подход адаптивной
безопасности.
Основной задачей системы управления инцидентами является
корректная обработка всех выявляемых нарушений вне зависимости от их
типа, критичности или конфиденциальности. В случае наступления
инцидента информационной безопасности перед организацией встают
следующие задачи:
– обеспечение своевременной реакции, остановка и предотвращение
распространения атаки;
– минимизация ущерба от инцидента;
– корректный сбор и обеспечение юридической значимости
собираемой доказательной информации по инцидентам;
– выявление обстоятельств инцидентов;
– устранение уязвимостей, с помощью которых была реализована
атака;
– предоставление возможности преследовать злоумышленников и
привлекать их к ответственности, предусмотренной законодательством;
– возмещение ущерба от инцидента в соответствии с
законодательством.
Для достижения требуемого результата система управления
инцидентами информационной безопасности должна представлять собой
совокупность последовательных действий, направленных на решение
указанных задач. Следовательно, система управления инцидентами - это
непрерывный процесс взаимосвязанных мероприятий, в котором заранее
33
определены действия ответственных лиц, перечень разрабатываемых и
запрашиваемых документов.
Тестирования на проникновения позволяет находить уязвимые места в
системе безопасности, с целью ее развития. Основный принцип данной
методики – реализация проникновения глазами злоумышленника.
Подход адаптивной безопасности используют, чтобы успевать за
изменением окружающей и внутренней среды. Данный подход включает в
себя:
– анализ защищенности;
– управление рисками.
Анализ защищенности – это поиск уязвимых мест в сети. Сеть состоит
из соединений, узлов, хостов, рабочих станций, приложений и баз данных.
Все они нуждаются как в оценке эффективности их защиты, так и в поиске
неизвестных уязвимостей в них. Технологии анализа защищенности
исследуют сеть и ищут «слабые» места в ней, обобщают эти сведения и
печатают по ним отчет. Если система, реализующая эту технологию,
содержит и адаптивный компонент, то устранение найденной уязвимости
будет осуществляться не вручную, а автоматически. Технология анализа
защищенности является действенным методом, позволяющим реализовать
политику сетевой безопасности прежде, чем осуществится попытка ее
нарушения снаружи или изнутри организации.
Перечислим некоторые из проблем, идентифицируемых технологией
анализа защищенности:
– слабые пароли;
– восприимчивость к проникновению из незащищенных систем и
атакам типа «отказ в обслуживании»;
– отсутствие необходимых обновлений ОС;
– некорректная настройка межсетевых экранов, Web-серверов и баз
данных.
Управление рисками ИБ представляет собой непрерывный процесс,
обеспечивающий выявление, оценку и минимизацию рисков от реализации
угроз информационной безопасности, направленных на активы организации.
Управление рисками ИБ позволяет:
– получить актуальное представление об уровне обеспечения
информационной безопасности организации в текущий момент,
– определить наиболее уязвимые места в обеспечении защиты
информации организации,
– определить стоимостное обоснование затрат на обеспечение ИБ,
– минимизировать издержки на обеспечение ИБ.
Управление рисками предполагает решение следующих задач:
34
– построение модели взаимодействия бизнес процессов организации и
информационных систем с целью выделения наиболее критичных активов
организации,
– построение модели нарушителя ИБ и модели угроз ИБ организации,
– оценка рисков реализации угроз ИБ, направленных на критичные
активы организации,
– выявление мер по снижению рисков угроз ИБ организации,
– разработка плана по снижению рисков ИБ организации,
– оценка остаточного риска ИБ организации после внедрения мер по
снижению.
Таким образом, комплексный подход к обеспечению информационной
безопасности является наиболее удачным за счёт того, что данный подход
позволяет объединить целый ряд автономных систем путем их интеграции в
системы безопасности.
Комплексный подход позволяет объединить целый ряд автономных
систем путем их интеграции в так называемые интегрированные системы
безопасности. В связи с тем, что угрозы информационной безопасности
совершенствуются, то одного комплексного подхода недостаточно, поэтому
необходимо применять еще такие подходы, как управление инцидентами,
тестирование на проникновение в автоматизированную систему, подход
адаптивной безопасности.
35
предъявляемого идентификатора с перечнем присвоенных
идентификаторов.
Аутентификация – это проверка принадлежности субъекту доступа
предъявляемого им идентификатора, подтверждение подлинности. Задачей
установления подлинности какого-либо субъекта или объекта является
подтверждение того, что обратившийся субъект или предъявляемый объект
являются именно теми, которые должны участвовать в данном процессе.
Функция авторизации отвечает за то, к каким ресурсам конкретный
пользователь имеет доступ. Функция администрирования заключается в
наделении пользователя определенными идентификационными
особенностями в рамках данной сети и определении объема допустимых для
него действий.
Межсетевые экраны, основанные на фильтрации пакетов, представляют
собой фильтрующий маршрутизатор, расположенный между защищаемой
сетью и Интернетом. Фильтрующий маршрутизатор сконфигурирован для
блокирования или фильтрации входящих и исходящих пакетов на основе
анализа их адресов и портов.
Компьютеры, находящиеся в защищаемой сети, имеют прямой доступ в
Интернет, в то время как большая часть доступа к ним из Интернета
блокируется. В принципе, фильтрующий маршрутизатор может реализовать
любую из политик безопасности, описанных ранее. Однако, если
маршрутизатор не фильтрует пакеты по порту источника и номеру входного
и выходного порта, то реализация политики «запрещено все, что не
разрешено» в явной форме может быть затруднена.
Системы шифрования позволяют минимизировать потери в случае
несанкционированного доступа к данным, хранящимся на жестком диске или
ином носителе, а также перехвата информации при ее пересылке по
электронной почте или передаче по сетевым протоколам. Задача данного
средства защиты – обеспечение конфиденциальности. Основные требования,
предъявляемые к системам шифрования – высокий уровень криптостойкости
и легальность использования.
Антивирусная программная система обеспечивает высокий уровень
защиты персональных компьютеров от вредоносных программ, осуществляет
проверку сайта с помощью мониторинга ссылок, перед переходом на неё
путем сравнения сигнатуры вируса (признака по которому можно
обнаружить вирус) со своей базой сигнатур. База сигнатур постоянно
обновляется, в случае совпадения, сообщает об этом пользователю
персонального компьютера, а также осуществляет анализ программ и, если
находит какой-либо подозрительный участок кода, то предупреждает об
этом.
36
Система обнаружений вторжений предназначена для выявления
сетевых атак и аудита работы сети, которые основаны на круглосуточном
отслеживании угроз.
Основные возможности:
разбирает 218 различных протоколов, включая протоколы уровня
приложений и форматы данных;
более 3000 алгоритмов используется при анализе трафика для
защиты от уязвимостей;
режим активного мониторинга;
наличие встроенных и внешних модулей для непрерывной передачи
данных через устройство в случае системной ошибки или отключения
энергоснабжения;
логирование пакетов атаки;
детализированная настройка политик;
запись трафика атаки;
поддержка пользовательских сигнатур.
Система предотвращения утечек конфиденциальной информации из
информационной системы вовне строится на анализе потоков данных,
пересекающих периметр защищаемой информационной системы.
Помимо своей основной задачи, связанной с предотвращением утечек
информации, данная система применяются для решения следующих
неосновных для себя задач:
контроль использования рабочего времени и рабочих ресурсов
сотрудниками;
мониторинг общения сотрудников;
контроль правомерности действий сотрудников (предотвращение
печати поддельных документов).
Система предотвращения утечки конфиденциальной информации
имеет следующие функциональные возможности:
унифицированная консоль управления позволяет повсеместно
применять единожды созданные политики и быстро устранять последствия
инцидентов на основе автоматизированных рабочих процессов;
позволяет контролировать доступ пользователей к
конфиденциальной информации через практически все приложения;
выполняет блокировку копирования в буфер обмена для
определенного контента. К примеру, копирование информации через буфер
обмена, содержащей словосочетание «финансовый отчет» из программы
Excel в Word может быть запрещено;
позволяет анализировать исходящие сообщения в электронной почте
и блокировать утечку конфиденциальной информации;
37
позволяет отслеживать перемещение конфиденциальной
информации между контролируемыми компьютерами, а также ее
копирование на сменные носители;
позволяет блокировать передачу конфиденциальной информации
через сетевые протоколы TCP\IP;
позволяет выполнять анализ и, в случае необходимости, блокировку
печати документов (doc, pdf), если контент отправленных на печать
документов содержит конфиденциальную информацию;
позволяет детектировать, и в случае необходимости, блокировать
передачу на внешний носитель конфиденциальной информации;
позволяет блокировать выполнение операции «Print Screen» для
определенных приложений.
Сканер уязвимостей позволяет сканировать сеть на предмет наличия
уязвимостей, сканирует порты в сети, собирает информацию и определяет
наличие уязвимых мест для устранения брешей в безопасности.
Для обеспечения комплексной защиты и контроля информационной
безопасности используются различные методы информационной
безопасности, однако система сбора и корреляции событий информационной
безопасности позволяет анализировать данные по инцидентам из
разрозненных решений и обеспечивать контроль информационной
безопасности. Решения этого класса предназначены для отслеживания и
комплексного анализа в реальном времени всех событий информационной
безопасности, исходящих от приложений и сетевых устройств.
Совместная работа систем безопасности и системы сбора и корреляции
событий информационной безопасности даст возможность контролировать
события в сети в режиме реального времени, видеть корреляции между
разными типами событий и выявлять уязвимые точки. Поскольку система
содержит архив записей о событиях (логов), совместная работа позволяет при
необходимости восстановить историю событий, что бывает необходимо,
например, в случае служебного расследования.
Методы обеспечения безопасности призваны выполнять контроль
информационной безопасности путем своевременного обнаружения атак на
автоматизированную банковскую систему, осуществлять фильтрацию
входящих и исходящих пакетов, с целью предотвращения сетевых атак.
Обеспечивают контроль распространения конфиденциальной информации, а
также регистрации действий сотрудников банка, проверку корпоративной
почты, контроль ввода-вывода информации с целью предотвращения утечки
конфиденциальной информации, распространение которой может нанести не
только финансовый ущерб, но и репутационный. Призваны обеспечивать
выявление вредоносного программного обеспечения и уязвимостей.
38
Совместная работа систем безопасности и системы сбора и корреляции
событий информационной безопасности обеспечивает предотвращение
несанкционированного изменения политик и правил привилегированным
сотрудникам, предотвращения нелегитимного доступа к системам
безопасности и данным, хранящимся в них. Обеспечивает мониторинг
работоспособности систем безопасности, предотвращение случайного или
преднамеренного выведения их из строя, сопоставление событий систем
безопасности, передающих информацию в систему сбора и корреляции, для
комплексного анализа ситуации и оперативного выявления реальных
инцидентов, а также упрощает процесс расследования инцидентов.
Концепция информационной безопасности – совокупность мер,
методик, подходов, обобщенных взглядов, представляет собой документ, на
основании которого будет строится информационная безопасность.
Концепция опирается на государственные стандарты и нацелена на
решение проблем информационной безопасности
Концепция информационной безопасности для финансового
учреждения будет состоять из следующих основных разделов:
общее положение;
принципы организации и функционирования системы
информационной безопасности;
правовое обеспечение информационной безопасности;
основные виды угроз объектам информационной безопасности;
объекты защиты
перечень требований к объектам защиты;
требования к средствам обеспечения информационной безопасности;
требования к мониторингу информационной безопасности.
В разделе «Принципы организации и функционирования системы
информационной безопасности» определяются общие правила (положения)
формирования систем, обеспечивающие их упорядоченность и целостность
функционирования.
В разделе «Правовое обеспечение информационной безопасности»
описывается перечень основных нормативно-правовых актов Республики
Беларусь, на которых строится информационная безопасность финансовых
учреждений.
В разделе «Общее положение» определяются цели и задачи
обеспечения информационной безопасности, указывается перечень
государственных стандартов, на которых основывается данная концепция,
перечень основных принципов, которые положены в основу построения
системы информационной безопасности.
39
В разделе «Объекты защиты» необходимо указать основные объекты,
на которые направлена информационная безопасность.
В разделе «Основные виды угроз объектам информационной
безопасности» определяется перечень актуальных угроз, которые
воздействуют на объекты информационной безопасности.
В разделе «Требования к объектам защиты информационной
безопасности» необходимо перечислить основные требования к объектам
защиты для обеспечения информационной безопасности.
В разделе «Требования к средствам обеспечения информационной
безопасности» необходимо перечислить основные методы и средства
обеспечения информационной безопасности, а также требования к ним для
осуществления комплексного подхода к обеспечению информационной
безопасности.
В разделе «Требования к мониторингу информационной безопасности»
необходимо перечислить основные объекты и требования к мониторингу
информационной безопасности.
40
технологических процессов обработки информации и создавать
дополнительные сложности для клиентов;
– контроль эффективности принимаемых защитных мер.
Основными целями информационной безопасности являются:
– повышение стабильности функционирования банка в целом;
– достижение адекватности мер по защите от реальных угроз
информационной безопасности;
– предотвращение и/или снижение ущерба от инцидентов
информационной безопасности. Инцидент в области информационной
безопасности: одно или ряд нежелательных, или непредвиденных событий в
области информационной безопасности, при которых имеется значительная
вероятность компрометации бизнес-операций и угрозы информационной
безопасности.
Для достижения поставленных целей подразделение информационной
безопасности должно решать следующие задачи:
– разработка требований по обеспечению информационной
безопасности;
– контроль выполнения установленных требований по обеспечению
информационной безопасности;
– повышение эффективности мероприятий по обеспечению и
поддержанию информационной безопасности;
– разработка и совершенствование нормативно-правовой базы
обеспечения информационной безопасности;
– разработка и реализация программы по повышению
осведомленности пользователей по вопросам информационной безопасности;
– выявление, оценка и прогнозирование угроз информационной
безопасности;
– организация антивирусной защиты информационных активов.
– защита информации от несанкционированного доступа и утечки по
техническим каналам связи;
– требования к мониторингу информационной безопасности.
41
Настоящая Концепция базируется на следующих нормативно-правовых
актах:
– Закон Республики Беларусь «Об информации, информатизации и
защите информации» от 10 ноября 2008 г. № 455-З.
– Закон Республики Беларусь «Об электронном документе и
электронной цифровой подписи» от 28 декабря 2009 г. № 113-З.
– Закон Республики Беларусь «О государственных секретах» от 19
июля 2010 г. № 170-З.
– Закон Республики Беларусь «О коммерческой тайне» от 5 января
2013 г. № 16-З.
– СТБ ISO/IEC 27001-2011 «Информационные технологии. Методы
обеспечения безопасности. Системы менеджмента информационной
безопасности. Требования».
– СТБ ISO/IEC 27005-2012 «Информационные технологии. Методы
обеспечения безопасности. Менеджмент рисков информационной
безопасности».
– СТБ 34.101.8-2006 «Информационные технологии. Методы и
средства безопасности. Программные средства защиты от воздействия
вредоносных программ и антивирусные программные средства. Общие
требования».
– СТБ 34.101.9-2004 «Информационные технологии. Требования к
защите информации от несанкционированного доступа, устанавливаемые в
техническом задании на создание автоматизированной системы».
– СТБ 34.101.10-2004 «Информационные технологии. Средства
защиты информации от несанкционированного доступа в
автоматизированных системах. Общие требования»
– СТБ 34.101.13-2009 «Информационные технологии и безопасность.
Критерии оценки безопасности информационных технологий. Профиль
защиты операционной системы сервера для использования в
демилитаризованной зоне корпоративной сети».
– СТБ 34.101.15-2007 «Информационные технологии. Методы и
средства безопасности. Программные средства защиты от воздействия
вредоносных программ и антивирусные программные средства. Типовая
программа и методика испытаний».
– СТБ 34.101.30-2007 «Информационные технологии. Методы и
средства безопасности. Объекты информатизации. Классификация».
– СТБ 34.101.35-2011 «Информационные технологии. Методы и
средства безопасности. Объекты информатизации. Профиль защиты класса
Б3».
42
– СТБ 34.101.36-2011 «Информационные технологии. Методы и
средства безопасности. Объекты информатизации. Профиль защиты класса
А2».
– СТБ 34.101.42-2013 «Информационные технологии и безопасность.
Обеспечение информационной безопасности банков Республики Беларусь.
Аудит информационной безопасности».
– СТБ 34.101.61-2013 «Информационные технологии и безопасность.
Обеспечение информационной безопасности банков Республики Беларусь.
Методика оценки рисков нарушения информационной безопасности».
43
функционирования финансового учреждения. Аудит проводится
собственными силами или с привлечением сторонних организаций.
Угрозы можно разделить на внешние и внутренние. При этом
последние могут представлять особую опасность. Угрозы объектам
информационной безопасности проявляются в виде:
– разглашения конфиденциальной информации;
– утечки конфиденциальной информации через технические средства
различного назначения;
– несанкционированного доступа к охраняемым информационным
ресурсам;
– несанкционированного уничтожения и модификации
информационных ресурсов;
– нарушения работы автоматизированных систем и сетей.
Источниками угроз могут быть:
– некомпетентность или халатность пользователей/персонала;
– злой умысел, независимо от того, внешним или внутренним
относительно систем является источник угрозы;
– умышленное проникновение сторонних лиц в помещения, к
аппаратуре и оборудованию;
– случайные события и стихийные бедствия.
Ситуация, возникающая в результате воздействия какой-либо угрозы,
называется кризисной. Кризисные ситуации могут быть преднамеренными и
непреднамеренными и иметь различную степень тяжести в зависимости от
вызвавших их факторов риска, степени их воздействия, уязвимого места,
категории информации. Кризисные ситуации могут иметь следующие
степени тяжести:
– угрожающая – воздействие на объект информационной
безопасности, которое может привести к полному выходу его из строя, а
также уничтожение, модификацию или компрометацию (утечку) наиболее
важной для Банка информации. Для устранения угрожающей ситуации
требуется, как правило, полная или частичная замена оборудования,
программ и данных.
– серьезная – воздействие на объект информационной безопасности,
которое может привести к выходу из строя отдельных компонентов, потере
производительности, а также осуществлению несанкционированного доступа
к программам и данным. В этом случае система сохраняет
работоспособность. Для устранения серьезной ситуации требуется, как
правило, частичная замена (восстановление) оборудования, программ и
данных, корректировка параметров системы, проведение организационно-
технических мероприятий.
44
– обычная – попытка воздействия на объект информационной
безопасности, не наносящая ощутимого ущерба, но требующая реакции и
расследования. Для устранения обычной ситуации, как правило, требуется
корректировка параметров защиты.
45
4. Подсистема обеспечения целостности.
4.1 Обеспечение целостности программных средств и обрабатываемой
информации.
4.2 Физическая охрана средств вычислительной техники и носителей
информации.
4.3 Наличие администратора (службы) защиты информации в АС.
4.4 Периодическое тестирование средств защиты информации.
4.5 Наличие средств восстановления средств защиты информации.
4.6 Использование сертифицированных средств защиты.
47
Мониторинга информационной безопасности – комплекс задач: сбор,
анализ (корреляция) и контроль событий информационной безопасности от
различных средств защиты. Мониторинг информационной безопасности
помогает в режиме реального времени обнаружить инциденты
информационной безопасности, получить реальные данные для анализа и
оценки рисков, для принятия решений по обеспечению информационной
безопасности.
Объектами мониторинга информационной безопасности являются:
– сервера Active Directory;
– сетевое оборудование;
– сервера баз данных Oracle, SQL;
– виртуальные сервера;
– события Антивирусной защиты;
– система предотвращения утечки конфиденциальная информация;
– система обнаружений вторжений;
– межсетевые экраны.
Требования к серверам Active Directory:
– регистрация удачных/неудачных попыток входа в систему;
– регистрация событий подбор паролей;
– регистрация событий подбор логинов;
– блокировка/разблокировка учетных записей пользователей;
– создание/удаление учетных записей пользователей;
– события смены пароля пользователя администратором домена;
– попытки входа под несуществующим/заблокированным
пользователем;
– события давно неактивных пользователей;
– регистрация событий в изменении состава групп пользователей.
Требования к мониторингу сетевого оборудования:
– входящие и исходящие подключения;
– события входа в консоль;
– изменение конфигураций сетевого оборудования;
– события входа под привилегированным пользователем;
– уведомления об атаках;
Требования к серверам баз данных:
– регистрация событий удачные/неудачные попытки входа;
– регистрация событий создание/удаление пользователей;
– регистрация событий создание/удаление ролей;
– регистрация событий блокировка/разблокировка пользователей;
– регистрация событий изменения паролей пользователей.
Требования к мониторингу виртуальных серверов:
48
– регистрация удачных/неудачных попыток доступа к гипервизору;
– создание/удаление виртуальных машин;
– регистрация удачных/неудачных попыток доступа к виртуальным
машинам;
– регистрация событий изменения прав доступа к гипервизору и
виртуальным машинам;
– регистрация событий удаления директорий виртуальных машин;
– регистрация событий неудачных попыток входа;
– регистрация событий создания группы пользователей;
– регистрация событий удаления снапшотов.
Требования к мониторингу антивирусного программного обеспечения:
– регистрация выполнения проверок с целью обнаружения зараженных
объектов в файловых областях носителей информации;
– регистрация выполнения проверок с целью обнаружения зараженных
объектов сигнатурными методами;
– регистрация удаления (если удаление технически возможно) кода из
файлов и системных областей носителей информации;
– регистрация получения и установки обновлений;
– возможность уполномоченным пользователям (ролям) управлять
режимом выполнения функций безопасности средств антивирусной защиты;
– регистрация управления параметрами настройки функций
безопасности;
– регистрация изменения ролей.
Требования к мониторингу конфиденциальной информации:
контролировать доступ пользователей к конфиденциальной
информации через все приложения;
выполняет блокировку копирования в буфер обмена для
определенного контента, например, копирование информации через буфер
обмена, содержащей словосочетание «финансовый отчет» из программы
Excel в Word;
анализировать исходящие сообщения в электронной почте и
блокировать утечку конфиденциальной информации;
отслеживать перемещение конфиденциальной информации между
контролируемыми компьютерами, а также ее копирование на сменные
носители;
блокировать передачу конфиденциальной информации через сетевые
протоколы TCP\IP;
выполнять анализ и, в случае необходимости, блокировку печати
документов (doc, pdf), если контент отправленных на печать документов
содержит конфиденциальную информацию;
49
позволяет детектировать и в случае необходимости блокировать
передачу на внешний носитель конфиденциальной информации;
блокировать выполнение операции «Print Screen» для определенных
приложений;
перехватывать запросы в браузерах – например, исходящие почтовые
сообщения на веб-почте (mail.ru, yandex.ru).
Требования к системе обнаружения вторжений:
регистрация информации о сетевом трафике, проходящем через
контролируемые узлы,
регистрация событий об обращении к ресурсам;
фиксировать информацию о дате и времени, результате анализа,
идентификаторе источника данных, протоколе, используемом для
проведения вторжения;
регистрация событий вторжений по отношению к контролируемым
узлам;
регистрация аномалий сетевого трафика и аномалий в действиях
пользователя;
возможность фиксации факта обнаружения вторжений или
нарушений;
регистрация событий автоматизированного обновления базы
решающих правил;
регистрация событий доступа к аудиту системы обнаружения
вторжений.
Требования к межсетевым экранам:
регистрация информационных потоков по протоколу передачи
гипертекста, проходящих к веб-серверу и от веб-сервера;
регистрация управляющих сигналов от средств защиты информации
и блокирование соответствующего трафика;
регистрация доступа к управлению межсетевого экрана и
параметрами на основе ролей уполномоченных лиц;
события идентификация и аутентификация администраторов
межсетевого экрана;
регистрации о возможных нарушениях безопасности.
Выводы
50
совершенствуются, то одного комплексного подхода недостаточно, поэтому
необходимо применять еще такие подходы как управление инцидентами,
тестирование на проникновение в автоматизированную систему, подход
адаптивной безопасности.
Методы защиты информации обеспечивают своевременное
обнаружение атак на автоматизированную банковскую систему, что
позволяет вести контроль информационной безопасности. Выполняют
предотвращение сетевых атак, обеспечивают контроль распространения
конфиденциальной информации. Осуществляют регистрацию действий
сотрудников банка с целью предотвращения утечки конфиденциальной
информации, распространение которой может нанести не только финансовый
ущерб, но и репутационный.
Совместная работа систем безопасности и системы сбора и корреляции
событий информационной безопасности обеспечивает предотвращение
несанкционированного изменения политик и правил привилегированным
сотрудникам, предотвращения нелегитимного доступа к системам
безопасности и данным, хранящимся в них, мониторинг работоспособности
систем безопасности, предотвращение случайного или преднамеренного
выведения их из строя, сопоставление событий систем безопасности,
передающих информацию в систему сбора и корреляции, для комплексного
анализа ситуации и оперативного выявления реальных инцидентов, а также
упрощает процесс расследования инцидентов.
Соблюдение основных требований информационной безопасности
банка помогут повысить уровень информационной безопасности финансовых
учреждений, а также минимизировать возможные потери, вызванные
действиями злоумышленников, аварийными сбоями и ошибками персонала.
В данной главе представлены ключевые требования к объектам
защиты, к средствам обеспечения информационной безопасности
финансовых учреждений, а также требования к мониторингу событий
информационной безопасности, приведены критические события, которые
необходимо регистрировать в системе мониторинга информационной
безопасности.
Мониторинг событий информационной безопасности является
неотъемлемой частью информационной безопасности. При помощи
мониторинга событий можно собирать и анализировать все события
информационной безопасности, на начальной стадии выявить уязвимости
информационной безопасности, увеличить скорость выявления,
расследования и реагирования на инциденты безопасности, определить
попытки несанкционированного доступа к конфиденциальной информации и
к критически важным ресурсам сети, а также осуществлять контроль
51
информационной безопасности, контроль выполнения требований
нормативных документов и политики безопасности.
52
стороны, эти функции могут иметь негативный эффект для корпоративных
клиентов., а именно:
В сети PON построенной на оборудовании компании Huawei, по
умолчанию запрещен обмен трафиком, между ONU работающих от одной
базовой станции (OLT – Optical Line Terminal). Эту проблему нам удалось
решить, используя специальные профили для корпоративных VLAN.
ONU не пропускает DHCP пакеты со стороны абонента по
направлению в сеть провайдера. Из сети провайдера в сторону абонента – все
ходит. Если подключить главный офис с DHCP сервером к распределенной
корпоративной сети через ONU, то сервер находящийся в офисе не сможет
раздать адреса узлам, которые находятся за пределами офиса.
Аналогичная проблема с проходимостью Multicast – пакетов. Все
Multicast пакеты, не проходят через ONU и не видятся в других участках
сети.
С остальным трафиком проблем нет, никаких фильтраций и
ограничений.
На момент обращения, сеть объектов представляла из себя плоскую,
неуправляемую сеть, с одним маршрутизатором под управлением Kerio
Control Server.
В сети все IP устройства из всех магазинов были видны друг другу.
Таблица FDB на коммутаторах провайдера насчитывала более 350 устройств
в их VLAN. Все эти устройства были в одном большом broadcast-домене.
Из-за этого в сети происходили различные сбои которые мешали
работе магазинов, поэтому сеть нуждалась в сегментации. Иногда случались
аварии у провайдера из-за которых терялась связь между офисом и
отдельным магазинов.
Хуже, когда случается потеря связи между центральным офисом и
сетью провайдера. Именно в таком случае все 12 распределенных по городу
объекта, остаются без связи с серверами, расположенными на центральном
узле, и без доступа к сети Интернет. В этот период работа объектов
существенно ограничивается, пропадают возможности безналичных
операций, перестает быть возможным проводить прием и ревизию товаров, а
также невозможно синхронизировать актуальные цены и остатки на складе.
Центральный узел был подключен через Ethernet, т.к. им требовалось
раздавать DHCP для устройств во всех магазинах. Оптика из ЦУ идет в
ближайший многоквартирный дом, где размещается узел связи провайдера.
Когда на узле провайдера пропадает электропитание – все объекты теряют
связь с центральным офисом. Чтобы работать в случае аварии по питанию, к
ЦУ подведена линия PON. Использовалась она лишь как резерв на случай
53
падения Ethernet, т.к. через нее не проходили DHCP пакеты. Переключение
между каналами связи Ethernet и PON осуществлялось вручную.
54
Задачи, которые были поставлены заказчиками:
55
56
Главный офис имеет доступ в сеть интернет через 3 канала:
Конфигурация:
57
58
Включаем L2TP Server на роутере и создаем профили пользователей:
60
Рис. 4.3 – Схема подключения на удаленном объекте.
61
Сам интернет по умолчанию работает через ISP-1 от офиса, поэтому
созданы также 2 отдельные таблицы маршрутизации для доступа в интернет
через офис.
62
63
64
Принцип работы скрипта прост. Происходит проверка доступности по
7 раз каждый из интерфейсов на главном роутере большими пакетами по
1500 байт. Удовлетворительным результат считается, если вернулось не
менее 5 пакетов. Такой метод очень чуток к вероятным проблемам со связью
в канале. Если проблемы есть – канал считается не доступным.
В зависимости от результата, устанавливается значение
административного расстояния. Скрипт увеличивает его на 100, если канал
недоступен. Если пропадают оба канала, подключенных локально, то скрипт
инициирует запуск другого скрипта, отсылающего письмо о падении, либо о
восстановлении.
Кто-то заметил, что здесь четыре маршрута, а скрипт проверяет только
три. Это делается с целью экономии времени, т.к. все три интерфейсах (два –
локально, один через интернет) завязаны на основного провайдера. И если у
него будет провал на всех 3х интерфейсах, тогда уже остается только
65
последний резервный внешний VPN через ISP-2, который всегда имеет
административную дистанцию 40.
Здесь приведен скрипт с объекта, аналогичный скрипт работает на
главном роутере, для каждого объекта свой скрипт. Возникает вопрос -
сколько скриптов постоянно будут работать? И вообще, сколько времени
нужно чтобы скрипт отработал? С каким интервалом его запускать?
Здесь, для коммуникации, критично время реакции по доступности
маршрута. При проверке скрипта были попытки засекать время отработки. В
случае, когда все штатно, это примерно 7 секунд. Если какой-то из каналов
не доступен и скрипт ждет ответа по тайм-ауту, то время увеличивается
примерно до 15 секунд, что значительно быстрее чем OSPF, интервал
реакции которого 40 секунд.
Когда созданы маршруты и созданы скрипты для проверки надежности
канала и уведомления об аварии, необходимо задействовать триггер запуска
этих скриптов. Создается Netwatch для всех 3х адресов:
66
Выводы
67
ЗАКЛЮЧЕНИЕ
68
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
69
https://ocw.mit.edu/courses/electrical-engineering-and-computer-science/6-858-
computer-systems-security-fall-2014.
17 Галицкий А. В. Защита информации в сети — анализ технологий и
синтез решений. / Галицкий А. В., Рябко С. Д., Шаньгин В. Ф. – М.: ДМК
Пресс, 2004. – 616 с.
18 Закер К. Компьютерные сети. Модернизация и поиск
неисправностей. / Закер К. – СПб.: БХВ-Петербург, 2001. – 1008 с.
19 Информационная безопасность банковских безналичных платежей.
Часть 2 – Типовая IT-инфраструктура банка. Habr.com [Электронный ресурс].
– Режим доступа: https://habr.com/post/345194/
20 Информационная безопасность банковских безналичных платежей.
Часть 3 – Формирование требований к системе защиты. Habr.com
[Электронный ресурс]. – Режим доступа: https://habr.com/post/350852/
21 Информационная безопасность банковских безналичных платежей.
Часть 4 – Обзор стандартов моделирования угроз. Habr.com [Электронный
ресурс]. – Режим доступа: https://habr.com/post/351326/
22 Информационная безопасность банковских безналичных платежей.
Часть 7 – Базовая модель угроз. Habr.com [Электронный ресурс]. – Режим
доступа: https://habr.com/post/421161/
23 Информационная безопасность банковских безналичных платежей.
Часть 8 – Типовые модели угроз. Habr.com [Электронный ресурс]. – Режим
доступа: https://habr.com/post/422329/
24 Исследование «Глобальное состояние информационной
безопасности 2015» (GSISS 2015). Habr.com [Электронный ресурс]. – Режим
доступа: https://habr.com/post/264385/
25 Навыки и требования к специалистам по информационной
безопасности. Habr.com [Электронный ресурс]. – Режим доступа:
https://habr.com/post/306336/
26 Разработка защищенных банковских приложений: главные
проблемы и как их избежать. Habr.com [Электронный ресурс]. – Режим
доступа: https://habr.com/company/pt/blog/271287/
27 Безопасность веб-ресурсов банков России. Habr.com [Электронный
ресурс]. Режим доступа: https://habr.com/company/dsec/blog/274273/
28 Атаки на банкоматы: прошлое, настоящее и будущее. Habr.com
[Электронный ресурс]. Режим доступа:
https://habr.com/company/kaspersky/blog/311622
29 Сети для самых маленьких: Часть пятая. NAT и ACL. Linkmeup.ru
[Электронный ресурс]. Режим доступа: http://linkmeup.ru/blog/16.html
70
30 Сети для самых маленьких. Часть шестая. Динамическая
маршрутизация. Linkmeup.ru [Электронный ресурс]. Режим доступа:
http://linkmeup.ru/blog/33.html
31 Сети для самых маленьких. Часть седьмая. VPN. Linkmeup.ru
[Электронный ресурс]. Режим доступа: http://linkmeup.ru/blog/50.html
32 Mikrotik – сбор и анализ NetFlow трафика. Habr.com [Электронный
ресурс]. Режим доступа: https://habr.com/post/354720/
33 RouterOS software documentation.[Электронный ресурс]. Режим
доступа:https://wiki.mikrotik.com/wiki/Manual:TOC
34 RouterBOARD hardware documentation. Mikrotik Wiki [Электронный
ресурс]. Режим доступа: https://wiki.mikrotik.com/wiki/RouterBOARDhardware
35 Оперативно-аналитический центр при Президенте Республики
Беларусь [Электронный ресурс]. Режим доступа: https://oac.gov.by/
71