Вы находитесь на странице: 1из 3

ТЕМА 4.

КАК СПАСТИСЬ ОТ КИБЕРУГРОЗ В НОВУЮ


ЭПОХУ? ВОПРОСЫ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ

4.7. Технические средства защиты

Сегодня мы поговорим о технических средствах защиты, системах безопасности для


информационных систем, которые используются в крупных организациях или для частных
проектов.

Начнем с типовой логической инфраструктуры распределенной организации, у которой есть


головной офис, где работают сотрудники, где находится какая-то база данных, обслуживающая
сервис, который организация предоставляет внешним заказчикам. Это могут быть другие
организации или же пользователи. Как правило, это какой-то веб-сервис. Так или иначе, у
организации есть сервисы, которые смотрят наружу, в публичную сеть Интернет, и у нее есть
некоторый набор внутренних информационных систем, требующих защиты – хранилища данных,
файлов, которые находятся у нее внутри периметра. С другой стороны, у нее есть некоторый набор
филиалов, территориальных подчиненных организаций, в которых тоже работают сотрудники и
которые также нуждаются в защите.

Владельцы этой организации, составляя технический проект по защите, в первую очередь должны
остановиться на каком-то одном, самом важном параметре, без которого вся остальная система
безопасности не будет иметь никакого смысла. Это периметровая защита. Первое – необходимо
огородить внутренний доверенный сегмент, внутреннюю инфраструктуру, которой мы управляем.
Причем отделяться может и один из внутренних сегментов, имеющий меньший уровень доверия,
чем наша основная сеть. Классический пример: в любой организации есть внешний периметр, сеть
Интернет, есть внутренняя структура организации, где находятся пользователи, а также есть так
называемая демилитаризованная зона. Это еще один сегмент, в котором, как правило, находятся
сервисы, с которыми работают внешние пользователи. Т. е. внутренняя сеть организации также
структурирована. И это означает, что эти зоны тоже необходимо отделять друг от друга системами
защиты. Как минимум это должен быть межсетевой экран, который разграничивает
информационные потоки между сегментами. Но, безусловно, современная реалия такова, что
просто разграничивать информационные потоки, используя межсетевые экраны, которые
фильтруют данные на основе заголовков пакетов, уже недостаточно.

Весь трафик, все данные, которые курсируют из одного сегмента в другой, которые вылетают из
нашего компьютера, когда мы обращаемся к какому-то веб-сайту, доходят до веб-сайта, и веб-сайт
отправляет в ответ нам страничку, которую мы видим у себя в браузере, требуют корректной
интерпретации и анализа. Если периметровый межсетевой экран обладает такой возможностью,
то подобное информационное взаимодействие можно легко изучить и, как следствие,
контролировать эти информационные потоки с помощью системы безопасности. Такой межсетевой
экран уровня приложений видит, какие именно пакеты через него передаются, из каких блоков
состоит сессия, какие модули страницы подгружает браузер, и может принимать решения на
основании каждого модуля этой веб-страницы: пропускать эту часть или нет. Но простой
фильтрации недостаточно. В состав современного средства межсетевого экранирования входит
целый набор разных модулей.

1
Можно использовать межсетевой экран нового поколения. В продукт этого класса входит набор
модулей защиты: межсетевой экран, антивирусное ядро (с одной стороны, это устройство является
межсетевым экраном, но при этом информационные потоки, которые проходят через него, он
способен анализировать на предмет выявления в них вирусов), фильтры для веб-приложений.
Таким образом, межсетевой экран может перехватить веб-ссылки, проанализировать их и принять
решение, пропускать дальше запрос в интернет для обращения к ресурсу или нет. Или же,
наоборот, если кто-то из интернета обращается к ресурсу внутри вашей организации, межсетевой
экран принимает решение, давать ли разрешение взаимодействовать с этим ресурсом или нет.
Подобные модули фильтрации могут быть в составе предоставленного провайдером интернет-
маршрутизатора, который используется внутри домашней сети для подключения к интернету.

Возвращаемся к периметровой фильтрации. Фильтрация может быть простая и антивирусная,


фильтрация веб сайтов, фильтрация URL, фильтрация спама. Несмотря на то, что есть
специализированные решения для защиты от спама, от фишинговых писем, которые заставляют
вас передать какую-то конфиденциальную информацию в ответ злоумышленнику, поскольку
шлюзы универсальные и через них все равно проходят информационные потоки, базовые
механизмы защиты от спама и фишинговых атак входят в состав большинства межсетевых экранов
нового поколения, которые сегодня представлены на рынке (Next-Generation Firewall, NGFW).

Какие еще функции могут входить в периметровый шлюз? Это может быть и функция построения
защищенных частных сетей (VPN). Она необходима для того, чтобы связать головной офис с
филиалами, особенно если это распределенная сеть, чтобы обеспечить конфиденциальность
передачи информации.

Специалистам по информационной безопасности нужно обеспечить, в первую очередь,


конфиденциальность, целостность и доступность информации. И в зависимости от ресурса и
обрабатываемой информации, требуется сделать акцент либо на одном, либо на другом. Так,
создание защищенных каналов связи через недоверенную сеть Интернет и даже через
недоверенные сегменты внутри нашей информационной системы использует технологии
виртуальных частных сетей, то, что называется Virtual Private Network (VPN). Эти функции есть в
составе периметрового межсетевого экрана. Иногда используют отдельные выделенные решения
по организации виртуальных частных сетей. Особенно это актуально в условиях нашей
отечественной реальности, когда для защиты канала связи требуется применение
специализированных, сертифицированных решений. Сертификации и предъявление требований к
подобным системам защиты каналов связи занимается ФСБ, а системы такого рода называются
СКЗИ (средства криптографической защиты информации).

Более того, в состав периметрового средства защиты в составе NGFW может входить набор и
других модулей защиты и управления. Например, контроллера доступа точек Wi-Fi, модуля для
специализированной фильтрации вредоносных программ (anti malware), модуля для
предотвращения вторжений (IDS, IPS), модуля контроля пользователей, модуля контроля
прикладных программ, когда мы не просто фильтруем пакеты информационных потоков на основе
специализированных параметров и полей. Модуль контроля прикладных программ оперирует
политикой безопасности на уровне высокоуровневых концепций, которые понятны и нам, и
рядовым администраторам, например, Facebook, ВКонтакте, 1С.

Межсетевой экран принимает политику в таком, понятном для человека, формате. Это уменьшает
количество ошибок, которые совершает администратор в процессе создания конфигурации
межсетевого экрана. Также это упрощает сопровождение решения за счет того, что мы можем один
в один транслировать бизнес-процессы, информационные потоки внутри организации в политику
безопасности межсетевого экрана. Также легче будет проводить ее аудит.

2
Таким образом, мы поговорили о типовой организации, защиту которой будем строить в рамках
данного раздела. Также мы коснулись одного из средств защиты – периметрового межсетевого
экрана, в который может входить много разных модулей, реализующих функции защиты. С одной
стороны, это позволяет бороться с современными угрозами уже на периметре, анализировать
информационные потоки. Во-вторых, что немаловажно, мы можем не только объединить на одном
устройстве разные функции безопасности, но еще и транслировать политику информационной
безопасности, которая разрабатывается на высоком уровне, на таком же высоком уровне в правила
фильтрации. А это бывает очень важно для последующего сопровождения.