Дәріс № 14-15. Ақпараттықорғауға арналған типтік шешімдер Мақсаты: стандартты ақпараттық қауіпсіздік шешімі бойынша
ұсыныстар.
Мазмұны:
Рұқсат етілмеген қол жеткізу қаупіне қарсы типтік жүйе.
Зиянды кодтық қауіптерден қорғайтың типтік жүйесі.
Брандмауэр типтік жүйесі және байланыс арналарын қорғау.
Қауіпсіздікті талдаудың типтік жүйесі.
Рұқсатсыз кіруді анықтайтын типтік жүйесі.
Қауіпсіздік оқиғаларын бақылайтын типтік жүйесі.
Рұқсат етілмеген қол жеткізу қаупіне қарсы типтік жүйе.
Рұқсат етілмеген қол жеткізу қаупінен ақпаратты қорғау жүйесі келесі міндеттерді шешуге тиіс:
ақпараттық жүйенің жұмыс станциялары мен серверлерінің ресурстарына қолжетімділікті саралау;
қауіпсіздік іс-шараларын тіркеу және тіркеу функцияларын қамтамасыз ету;
бағдарламалық-аппараттық ортасында пайдаланылатын бағдарламалық мен бағдарламалық-аппараттық құралдардың өзгермейтіндігін (тұтастығын) қамтамасыз ету.
Әдетте, рұқсатсыз кіруден қорғау жүйесі мыналарды қамтиды:
рұқсатсыз кіруден қорғау құралдарын орталықтандырылған басқару құралдары;
рұқсат етілмеген қол жеткізуден қорғаудың сертификацияланған құралдары;
идентификациялау, авторизациялау, оқиғалар мониторингі және тұтастығын бақылау құралдара жүйелік бағдарламалық жасақтамаларына енгізілген;
ақпараттық жүйе құрамына енгізілген автоматтандырылған жұмыс
станциялары мен серверлерін қашықтан басқару құралдары;
рұқсат етілмеген қол жеткізуден қорғаудың қолданбалы құралдарының баптау, конфигурациялау және басқа параметрлерін резервтік көшіру мен қалпына келтіру құралдары.
Ақпараттық қауіпсіздікті қамтамасыз ету міндеттеріне сәйкес жұмыс станцияларын және серверлерді рұқсатсыз кіруден қорғауға арналған техникалық шешімдер төмендегідей архитектуралық маңызды талаптарды ескереді:
Пайдаланушылардың келесі ресурстарға қол жеткізуін дифференциациялау:
файл жүйесінің объектілері (логикалық дискілер, файлдар, анықтамалықтар);
жергілікті порттар (COM, LPT, USB);
жүйелік және қолданбалы процестерге (орнатылған қолданбалыларға);
жалпы каталогтар мен желілік дискілер;
есептеу техникасында пайдаланылатын құралдарға және желілік принтерлерге.
Қорғалатын ақпараттың тұтастығын бақылау.
Қауіпсіздік оқиғаларға жүргізілетін мониторинг және тіркеу.
Құжаттарды басып шығаруда бақылау және таңбалау.
Физикалық тасымалдаушылардан ақпараттың кіруін және шығуын қорғау.
Оқиғалар журналынан деректерді жинап, талдау.
Зиянды кодтың қауіп-қатерлерінен қорғаудың типтік жүйесі.
Жалпы зиянды кодтан қорғау жүйесі (вирусқа қарсы қорғау жүйесі) бағдарламалық-техникалық және ұйымдастырушылық шешімдердің жиынтығы болып табылады.
Зиянды кодтан қорғаудың типтік жүйесі мыналарды қамтиды:
антивирустық бағдарламалық қамтаманы басқару сервері;
жұмыс бекеттерінде және серверлерде орнатылған вирусқа қарсы бағдарламалар;
зиянды кодтан қорғау жүйеcінде администраторының автоматтандырылған
жұмыс орны.
Қолданылатын вирусқа қарсы бағдарламаның негізгі компоненттері:
зиянды кодты іздеу мақсатында кіріс және шығыс хабарларын сканерлеуді жүзеге асыратын пошта жүйесін антивирустық қорғау құралдары;
зиянды кодты іздеу мақсатында барлық файлдық операцияларды басқаратын жұмыс станциялары мен серверлердің файлдық жүйелерін антивирустық қорғау құралдары;
HTTP, FTP (FTP over HTTP қоса) хаттамалары арқылы жіберілетін деректерге сүзгілеу функцияларын (зиянды кодтарға тексерулерін) қамтамасыз ететін веб- трафикті антивирустық қорғау.
Антивирустық қорғау мыналарды қамтамасыз етеді:
динамикалық мониторинг өткізілген кезде, жедел жадыны, алынбалы және жергілікті сақтау құралдарын, байланыс арналарын, пайдаланушылардың немесе администратордың өтініші бойынша алынған файлдарға мезгілді тексерулер жүргізілген уақытта зиянды кодтың объектілерге әсер тигізгенің анықтау;
бұрын беймәлім зиянды бағдарламаларды айырып тануға және бұғаттауға мүмкіндік беретін эвристикалық талдау;
зиянды кодтың әсер ету фактілерін анықтаған жағдайда сигнал беру
(хабарлау);
сканерлеу түрін таңдау мүмкіндігі (барлық файлдарды, көрсетілген файлдарды, кеңейтпелері берілген тізімге сәйкес файлдарды, файлдарды, көрсетілген бүркемелер тізіміне сәйкес файлдарды;
зиянды кодты жұқтырған объектілер үшін әрекеттерді таңдау (емдеу, карантин және/немесе жою және т.б.);
егер үнсіз жағдайда орындалатын әрекетті орындау мүмкін емес болса,
анықталған зиянды объектке автоматты түрде орындалатын әрекеттер нұсқаларын беру мүмкіндігі;
антивирустық қорғау құралдарының сигнатуралар қорларының және программалық модульдерінің жаңартулардың белгілі бір уақыт автоматты түрде жүктелуі;
талап бойынша антивирустық қорғаудың сигнатуралар қорларын қолмен жаңартуға мәжбүрлеу мүмкіндігі;
қауіпсіздік оқиғасы туралы ақпаратты ақпараттық қорғау жүйесінің кіші
жүйелеріне хабарлау;
антивирустық қорғауды басқару элементтеріне қол жеткізуді басқару және бақылау;
антивирустық қорғаудың орталықтан және/немесе жергілікті басқару
(әкімшілік ету);
антивирустық қорғаудың сигнатуралар қоры ескірген бағдарламалық- аппараттық платформаларды іздеу және оқшаулау;
антивирустық қорғау әдістерінің жұмыс жасау параметрлерін бірыңғай
қауіпсіздік саясатына сәйкес конфигурациялау мүмкіндігі;
қауіпсіздік оқиғалары туралы есеп беру мүмкіндігі (зиянды код пайда болған кезде);
оқиғалар журналдарын сақтау.
Желі аралық экраны бар және байланыс арналарын қорғаудың типтік жүйелері.
Желі аралық экранды қолданатын және байланыс арналарын криптографиялық қорғау жүйелерінің құрамы мыналарды қамтиды:
Желі аралық экрандар (брандмауэрлер):
сессия күйін бақылаумен желілік трафикті сүзу;
қашықтан рұқсатсыз қол жеткізуден мен желі қауіпсіздігіне қауіп-қатерлерден қорғау функциялары;
қол жеткізу құқықтарын берудің түрлі деңгейлері бар сегменттерді құру және
оларды белгіленген ережелерге сәйкес бірыңғай ақпараттық кеңістікке біріктіру.
Шекаралық маршрутизаторлардың жұмысы:
сыртқы ақпараттық жүйелердің байланыс арналарына қосылу;
байланыс операторларының маршрутизаторларымен маршрут туралы ақпаратпен алмасу;
желінің шабуылын болдырмау үшін трафиктің кейбір түрлеріне өткізу
жолағының қабілеттілігін шектеу арқылы кейбір трафикке басымдық беру;
сеанс күйін бақыламай қол жеткізу тізімдерін қолдана отырып (статикалық пакет сүзгілері) бастапқы қол жеткізуді бақылау және желілік трафикті сүзу.
Желі жабдықтарының деректерін жіберу интерфейстерін қосу үшін қажетті
қоммутацияланатын оқшауланған тарату ауқымы кең Ethernet тсегменттерін құруға мүмкіндік беретін сегментті құрайтын қосқыштар.
Территориялық бөлінген сенімді телекоммуникация желілері арасындағы VPN-туннелдерін қамтамасыз ететін криптографиялық шлюздер.
Брандмауэрі бар және байланыс арналары криптографиялық қорғалған жүйесінің әкімшісінің автоматтандырылған жұмыс станциясы.
Брандмауэр және байланыс арналарын криптографиялық қорғау құралдарының негізгі функциялары:
желінің адрестерін ақиқаттығын растау құралы ретінде кіріс және шығыс желісінің интерфейсін ескере отырып, желілік трафикті сүзу;
жіберушінің және алушының адрестерін есепке ала отырып, виртуалды
қосылу сұраныстарын сүзу;
жіберушінің және алушының адрестерін ескере отырып, қолданбалы сервистерге өтініштерін сүзу;
күні мен уақыты бойынша сүзгілеу;
қорғалған IP-трафиктің жеке ережелерімен сүзгілеу;
идентификатор (код) және шартты-тұрақты паролі арқылы жергілікті қол жеткізуге рұқсат сұраған әкімшіні идентификациялау және аутентификациялау;
идентификация кезінде расталмаған немесе анықталмаған пайдаланушыға қол жеткізуге жол бермеу;
ақпаратты пассивті және белсенді қолға түсіруге төзімді әдістерді пайдалана отырып, қашықтан түскен сұраныстарына әкімшіні идентификациялау және аутентификациялау;
фильтрленген пакеттерді тіркеу және есепке алу (тіркеу параметрлеріне адрес, уақыт және сүзу нәтижесі туралы ақпарат кіреді);
виртуалды байланыс орнату туралы өтініштерді тіркеу және есепке алу;
сүзу ережелерін бұзу талпынысу туралы жергілікті сигнал беру;
жүйесін және оның бағдарламаларының тоқтату, жүктеу және баптандыру туралы ақпаратты тіркеу, әкімшінің жүйеге кіруін (шығуін) тіркеу;
өзінің компоненттерін қашықтан басқару мүмкіндігі, соның ішінде сүзгілерді
конфигурациялау, барлық сүзгілерлердің өзара келісушілікті жұмыс жасауын тексеру, тіркеу ақпаратты талдау;
желіаралық экрандар және шифрлау құралдарының бағдарламалық ақпараттық бөлігінің тұтастығын бақылау.
Желіаралық экрандары бар және байланыс арналары криптографиялық
қорғау құралдарынмен криптографиялық қорғалған жүйелері келесілерді қамтамасыз етеді:
IP-трафиктің файлдары мен пакеттеріндегі деректерді шифрлау;
жедел жады аумағында, файлдарда орналасқан мәліметтер және IP трафигі үшін имитаендірмені есептеу;
RAM және файлдар аумағында орналасқан мәліметтер үшін хэш-функцияны
және электрондық цифрлық қолтаңбаны есептеу;
ГОСТ 28147-89 талаптарына сәйкес келетін алгоритмдер негізінде шифрлау кілттері мен электрондық цифрлық қолтаңбаларды құру мүмкіндігі;
әртүрлі кілттер негізінде ақпаратты шифрлау.
Қорғалуды талдаудың типтік жүйесі.
Қорғалуды талдаудың типтік жүйесі ақпараттық жүйеде пайдаланылатын есептеу техника құралдарының бағдарламалық және аппараттық қоршаған ортасының (компьютерлер, серверлер, желілік жабдықтар, сондай-ақ басқа да бағдарламалық және техникалық кешендер) осалдықтарын анықтау функцияларын қамтамасыз етететін бағдарламалық, техникалық және ұйымдастырушылық шешімдер жиынтығы болып табылады.
Қорғалуды талдаудың типтік жүйесі құрамын мыналар кіреді:
Сертификатталған қауіпсіздік сканері (xSpider түрлі).
Сертификатталмаған қауіпсіздік сканері (Nessus түрлі). Жүйеде қолданылатын қауіпсіздік сканерлері сізге:
ақпараттық ресурстарды, соның ішінде бағдарламалық және аппараттық құралдарды (серверлер, жұмыс станциялары, желілік жабдықтар, арнаулы қауіпсіздік құралдары (брандмауэрлер және т.б.) анықтау және есепке алу;
жергілікті желіні сканерлеу арқылы идентификацияланбаған желілік ресурстарды анықтау;
желілік түйіндерді анықтау, атап айтқанда: желілік қызметтерді, операциялық жүйелердің нұсқаларын, желілік құрылғылардың түрлерін, олардың желілік параметрлерін, пайдаланылатын қызметтері және орнатылған бағдарламаларды;
еніп кіруду тестілеу режимінде талдау (қосымша артықшылықтарсыз);
сканерлеу жүйесі (желі түйінінде артықшылықтар болса);
бақыланатын жүйесінің компоненттерін талдау: желілік өзара әрекеттесуді баптау, жүйенің жүктелу параметрлері, аутентификациялау саясаты, қуаттау және қол жеткізуді ажырату параметрлері, уақытты сәйкестендіруді баптау, аудит жүйесін баптау, қауіпсіздіктің негізгі параметрлері, қорғаудың еңгізілген және қосымша құралдарын баптау;
желі тораптары, атап айтқанда, операциялық жүйелер мен орнатылған қосымшаларды, қауіпсіздік саясатының талаптарына сәйкестігін бақылау;
желілік бағдарламалардың және бақыланатын желілік түйіндердің
конфигурациясындағы қателерді анықтау;
әкімшіге хабарлау және жұмыс нәтижелерін сақтау. Күшпен кіруді анықтаудың типтік жүйесі.
Күшпен кіруді анықтаудың типтік жүйелерінің функционалды мақсаты -
ақпараттық жүйелер желісі деңгейінде де, автоматтандырылған жұмыс станциялары мен серверлердің операциялық жүйелерінде де желі шабуылдарын анықтау.
Мұндай жүйе енгізілсе келесілерді қамтамасыз етеді:
сыртқы бақыланбайтын желілерден желіге жасалатын шабуылдарға байланысты қатерлерден қорғау;
желілік шабуылдарды анықтау және қашықтан қолжетімділік қатерлерін
жүзеге асырудан қорғау;
қорғалатын желінің ақпараттық ресурстарына еніп кіру және оны бұзу әрекеттерін анықтау.
Жүйенін негізгі функциялары мыналарды қамтиды:
эвристикалық талдау әдісімен желілік шабуылды анықтау;
сигнатуралар талдау әдісімен желілік шабуылды анықтау;
табу ережелерін іске қосылған кезде туындайтын барлық оқиғаларды тіркеу;
тіркелген барлық оқиғаларды тексеру мүмкіндігі.
Күшпен кіруді анықтаудың типтік жүйесінің қүрамына кіретіндер:
желі деңгейінде күшпен кіруді анықтау;
автоматтандырылған жұмыс станциялары мен серверлердің операциялық жүйелері деңгейінде кіруді анықтауға арналған құрылғылар;
қақпан станциялары (Honeypots) түрінде орындалған желілік түйіндер
деңгейінде күшпен кіруді анықтауға арналған құрылғылар;
күшпен кіруді анықтау жүйесінің әкімшісінің автоматтандырылған жұмыс орны.
Күшпен кіруді анықтау жүйесінің құралдары мыналарға мүмкіндік береді:
арналар денгейінен бастап және қосымшалар деңгейімен аяқталатын ашық жүйелер өзара әрекеттесу үлгісінің барлық деңгейлерінің хаттамалары үшін TCP/IP протокол стекінің желілік трафигін динамикалық талдау негізінде автоматтандырылған талдау және компьютерлік шабуылдарды анықтау;
желілік трафиктегі ауытқуларды табу үшін эвристикалық талдау жасау;
нақты уақыт ауқымына жақын режимде желілік трафикті талдау;
бір уақытта бірнеше желілік интерфейстерден түсетін желі трафигін талдау;
желілік деңгейдегі хаттамалардың қызметтік ақпараттарың талдау негізінде күшпен кіруді анықтау;
анықталған оқиғалар мен шабуылдарды талдау үшін журналға тіркеу;
анықталған күшпен кіру оқиғаларын шабуылдарды анықтау құралының интерфейсінде көрсету және электрондық пошта арқылы анықталған шабуыл туралы әкімшілерге хабарлау;
шабуыл туралы жалпы статистикалық ақпаратты көрсету;
берілген сүзгілерге сәйкес оқиғаларды және шабуылдарды іздестіру;
кейін басқа қосымшаларында талдау үшін CSV форматты файлына шабуылдар журналдарын экспорттау;
тіркелген шабуылдарға сәйкес IP-пакеттерді тіркеу, көрсету және PCAP
форматындағы файлдарға экспорттау;
өндіруші дайындаған деректер базасының жаңа нұсқасын ұсыну кезінде автоматтандырылған режимде шешім қабылдау ережелерінің деректер базасын жаңарту;
желілік трафикті талдау үшін өз ережелеріңізді қосыңыз;
жеке анықтау ережесін немесе ереже топтарын таңдап қолдануға;
желіге күшпен кіруді анықтау құралдарын жасыру;
желілік шабуылдар туралы деректерді SNMP хаттамасы арқылы орталықтандырылған бақылау жүйесіне автоматты түрде жібереді;
бағдарламалардың, конфигурациялық файлдардың және ережелер қорын
тұтастай бақылауға;
кейбір бақыланатын объектілер деңгейінде желілік ресурстардың іріктеп бақылау;
жүйенін, конфигурация файлдарының және журналдардың сақтық көшірмесін
жасау және қалпына келтіру;
пайдаланушыларға берілген өкілеттіктерге байланысты субъектілерге қол жетімділік өкілеттіктерін саралау;
күшпен кіру шабуылдарды анықтау құралдарының функцияларын тексеру.
Қауіпсіздік оқиғаларын бақылаудың типтік жүйесі.
Ақпараттық жүйенің қауіпсіздік оқиғаларының орталықтандырылған бақылау жүйесі осы жүйеде қолданылатын есептеуіш техника құралдарының
жүйелік және қолданбалы бағдарламаларының жұмыс жасауын кешенді бақылауға арналған.
Ақпараттық жүйенің қауіпсіздік оқиғаларының орталықтандырылған бақылау жүйесі ақпараттық жүйенің есептеуіш техника құралдарының аппараттық және бағдарламалық жасақтамасының күйін белсенді және пассивті бақылау функцияларының орындалуын қамтамасыз етеді.
Қауіпсіздік іс-шараларының орталықтандырылған мониторинг жүйесі мыналарды қамтиды:
қауіпсіздік іс-шараларын тіркеуге және өңдеуге арналған серверлерге хабарламаларды жинауға және жіберуге арналған қауіпсіздік оқиғаларын және агенттерді тіркеуге арналған сенсорлар;
жүйенің қауіпсіздік оқиғаларының орталықтандырылған бақылау жүргізу сервері;
бір немесе бірнеше Syslog серверлері;
қауіпсіздікті басқарушы жұмыс станциясы.
Оқиғалар сенсорларынан және хабарларды жинау және беру агенттерінен болған қауіпсіздік оқиғалары туралы құрылымдық және шоғырландырылған деректер уақтылы ақпарат алуға мүмкіндік береді:
бақыланатын есептеуіш техниканың бағдарламалық-аппараттық ортасын қорғау күйі туралы;
ақпараттық жүйелердегі ықтимал осал жерлер туралы;
анықталған қауіпсіздік оқиғаларын таратылу жолдары туралы.
Қауіпсіздік оқиғаларының орталықтандырылған бақылау серверінде келесі функциялар орындалады:
қауіпсіздік шараларын жинау;
қауіпсіздік шараларын нығайту;
қауіпсіздік шараларын сақтау;
қауіпсіздік оқиғаларын мұрағаттау.
Қауіпсіздік іс-шараларының негізгі топтары:
жүйенің жүйелік және қолданбалы бағдарламалар жұмыс жасайтын бақыланатын ортасына субъекттің кіріп/шығуын бақылау;
бағдарламалық жасақтаманы іске қосуды бақылау;
орындалып жатқан бағдарламалардың жұмысын бақылау;
бағдарламалардың осалдықтарын бақылау;
желілік түйіндерге, бағдарламалық серверлерінің сервистеріне бақылау жүргізу;
зиянды бағдарламалардың көріністеріне веб-бақылау;
файлдық жүйе деңгейінде вирустық белсенділік көріністерін тіркеу;
электрондық пошта хабарларын пайдаланумен белсенді вирустық көріністерді тіркеу;
желілік шабуылдар көріністерін тіркеу және блоктау;
ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі саясат құжаттарының талаптарымен анықталатын бірқатар басқа қауіпсіздік оқиғалары.