Построение защищенных каналов связи (VPN)
 |
|
Технологии построения виртуальных частных сетей прочно вошли в арсенал практически любой современной компании или государственного учреждения.
Взаимодействие распределенных территориальных офисов, сдача отчетности в контролирующие органы, клиент-банковские технологии, мобильные офисы, удаленный доступ к корпоративным ресурсам и многие другие сферы деятельности требуют использования технологий VPN. В рамках предлагаемого решения мы оказываем услуги:
• Создание защищенной, доверенной среды передачи информации ограниченного доступа с использованием публичных и выделенных каналов связи (Интернет, телефонные и беспроводные линии связи) путем организации виртуальной частной сети (VPN) с одним или несколькими центрами управления.
• Развертывание инфраструктуры открытых ключей (PKI) с организацией Удостоверяющего Центра с целью использования механизмов электронно-цифровой подписи в прикладном программном обеспечении заказчика (системах документооборота и делопроизводства, электронной почте, банковском программном обеспечении, электронных торговых площадках и витринах), с поддержкой возможности взаимодействия с PKI-продуктами других отечественных производителей.
В качестве канала передачи данных большинство предприятий сегодня активно использует публичные каналы связи – интернет, телефонные и телеграфные коммуникации и т.п. Однако они не защищают пересылаемую конфиденциальную информацию от основных угроз при передаче по открытым каналам связи – перехвата и компрометации. Утечка информации может нанести организации серьезный финансовый и материальный ущерб. Поэтому защита корпоративной информации, передаваемой по открытым публичным каналам, – актуальная потребность бизнеса подавляющего числа организаций.
Корпоративная система защиты каналов связи от ГК «Астрал» обеспечивает заказчику доверенную и защищенную от потенциальных нарушителей среду для передачи конфиденциальной информации по публичным каналам связи, гарантирующую ее целостность и достоверность.
Наш подход позволяет выстроить системы защиты каналов связи для всего спектра бизнеса, таких как частные пользователи, так и малого, среднего и большого бизнеса.
- Для корпоративных и частных пользователей:
- недорогое и эффективное решение по защите канала передачи корпоративной и личной информации от несанкционированных проникновений из интернета.
- Для малого и среднего бизнеса:
- эффективные, интегрированные и защищенные коммуникации в едином решении, ранее доступные только крупным корпорациям. Корпоративная система защиты каналов связи позволяет при использовании общедоступного канала доступа в интернет интегрировать в одно целое функциональность ряда прикладных защитных программ без опасения потери, искажения или кражи важной для бизнеса информации.
- Для крупного бизнеса:
- возможность превратить все «тяжелые» и затратные системы в сфере корпоративных сетей в более гибкие, недорогие и при этом не менее функциональные решения на базе интернет-/интранет-технологий без опасения потери конфиденциальной информации;
- возможность для топ-менеджмента не зависеть от ИТ-подразделений: решения для защиты каналов связи используют раздельные центры управления безопасностью и сетью и позволяют руководству корпорации вести самостоятельный визуальный контроль состояния всей сети.
В построении корпоративной системы защиты каналов связи используются решения ведущих российских и зарубежных производителей средств защиты информации, таких как:
• Аппаратно-программный комплекс ViPNet Custom (АПК ViPNet).
• Аппаратно-программный комплекс шифрования «Континент» (АПКШ «Континент»).
• Программно-аппаратный комплекс StoneGate Firewall/VPN (ПАК StoneGate Firewall/VPN).
• Программно-аппаратный комплекс StoneGate SSL VPN (ПАК StoneGate SSL VPN).
ВОЗМОЖНОСТИ АПК ViPNet
• Защита видеоконференций и IP-телефонии.
• Доступ к распределенным информационным ресурсам объединенной сети.
• Организация систем информационных киосков и банкоматов, функционирующих в необслуживаемом режиме.
• Безопасное использование каналов связи сетей общего доступа для объединения удаленных офисов.
• Безопасное защищенное подключение удаленных пользователей к ресурсам локальных сетей.
• Устранение конфликтов пересечения IP- адресации в локальных сетях.
• Идентификация и аутентификация трафика в защищенной сети в режиме «точка-точка».
• Идентификация и авторизация пользователей средств VPN.
• Контроль и управление распределенной сетью.
• Создание инфраструктуры открытых ключей (Public Key Infrastructure, PKI).
ViPNet Custom это:
- сертификаты Федеральной службы по техническому и экспортному контролю (ФСТЭК, или Гостехкомиссии) России на соответствие необходимым классам защищенности и уровням доверия;
- сертификаты ФСБ России на средство криптографической защиты информации;
- более 10 различных компонент и модулей, позволяющих реализовать множество сценариев защиты информации в современных мультисервисных сетях связи;
- возможность объединять в единую защищенную виртуальную сеть произвольное число локальных сетей и рабочих станций;
- возможность комбинировать гибкий набор компонент и их функций для любых потребностей небольших структур (объединение нескольких компьютеров через открытые каналы связи) и крупных коммерческих и государственных организаций (большие территориально распределенные сети);
- дополнительные возможности защищенного обмена информацией (встроенные службы мгновенного обмена сообщениями – чат и конференция, файлами, собственная защищенная почтовая служба с элементами автоматизации обмена письмами и поддержкой механизмов ЭЦП).
Примеры использования ViPNet для защиты сетей различных масштабов
Корпоративная система защиты каналов связи строится на базе комплекса программного и программно-аппаратного обеспечения ViPNet Custom, разрабатываемого и поставляемого нашим партнером – компанией «ИнфоТеКС».
ВОЗМОЖНОСТИ АПКШ «Континент»
• Объединение локальных сетей организации через Интернет в единую сеть посредством технологии VPN.
• Безопасное подключение удаленных и мобильных пользователей к корпоративной сети по защищенному каналу.
• Криптографическая защита передаваемых данных в соответствии с ГОСТ 28147–89.
• Разделение доступа между информационными подсистемами предприятия.
• Организация защищенного взаимодействия со сторонними предприятиями.
• Безопасное удаленное централизованное управление сетью.
ВОЗМОЖНОСТИ ПАК StoneGate Firewall/VPN
• Наращивание компонентов без изменения работающей инфраструктуры.
• Фильтрация сетевого трафика с возможностью контроля состояния (statefull inspection).
• Инспекция более 20 прикладных протоколов (H.323, SIP, FTP, HTTP(S), SMTP, IMAP, POP3, SSH, NBT, MSRPC, Sun RPC, Oracle TNS и др.).
• SSL Inspection — встроенные возможности по дешифрованию SSL-трафика с целью проверки на наличие вредоносного кода.
• Шифрование трафика сертифицированным ФСБ России российским криптопровайдером Крипто Про.
• Web-фильтрация – позволяет закрыть доступ сотрудников организации к вредоносным и нежелательным сайтам.
• Deep Packet Inspection – технология глубокого анализа трафика на прикладном уровне.
• Защита от DoS/DDoS – позволяет блокировать наиболее распространенные типы DoS-атак (таких как SYN flood, UDP flood и другие).
• Встроенное хранилище IPS-сигнатур позволяет FW/VPN выполнять часть функций устройства IPS.
• Обеспечение QoS (Quality of Service) – встроенные возможности по управлению полосой пропускания позволяют распределить объемы полосы среди всех бизнес-приложений, исходя из их приоритета.
• Распределение нагрузок на внутренние серверы корпоративной сети – позволяет избежать использования дополнительного оборудования для балансировки нагрузки.
StoneGate FWVPN удовлетворяет всем современным требованиям к системам безопасности, при этом в его основе лежат уникальные архитектурные решения, не требующие применения вспомогательных специализированных дорогостоящих средств, как в ряде решений конкурентов.
Высокая производительность (до 12 Гб на устройство) и поддержка кластеризации (до 16 устройств) делают решение одним из самых высокопроизводительных и отказоусточивых на рынке сетевой безопасности.
При построении защищенных VPN, StoneGate поддерживает не только стандартные зарубежные криптоалгоритмы, такие как (3)DES, AES, но и «экзотические» варианты Blowfish, Twofish, CAST-128. Более того, в нем также поддерживается модуль шифрования с Российским криптопровайдером и, как следствие, StoneGate FW позволяет создавать VPN на базе алгоритма ГОСТ 28147-89.
Результаты:
• Минимизация финансовых, репутационных и иных рисков, возникающих при передаче информации через общедоступные сети связи.
• Повышение надежности информационного обмена в организации.
• Выполнение требований законодательства России по защите чувствительной информации (служебной/государственной/коммерческой тайны/персональных данных), передаваемой по публичным каналам.
- Информация о материале
-
Обновлено: 10 июля 2014
Все статьи
Защищенные каналы связи: сценарии использования и методы реализации
19 ноя 20214797
Оставить заявку
Безопасность каналов связи и передаваемых по ним данным — один из наиболее важных аспектов обеспечения информационной безопасности для любой компании. Какой канал считается защищенным? Какие технологии применяются для построения таких каналов? Сегодня ответим на эти вопросы и разберемся, в каких ситуациях бизнес обязан использовать защищенные каналы связи по требованиям законодательства РФ.
Зачем нужны защищенные каналы связи
Что происходит, когда вы открываете на своем ноутбуке или смартфоне браузер и заходите на какой-либо сайт? В этот момент ваш браузер взаимодействует с сервером, который после запроса «отдает» контент сайта. Однако до того, как трафик доберется из точки А в точку Б, он пройдет через множество сетевых устройств — маршрутизаторов и коммутаторов.
Эти устройства находятся в зоне ответственности разных организаций, поэтому гарантировать безопасность данных на всем пути, который проходят сетевые пакеты, просто невозможно.
В случаях, когда компании по требованиям собственной службы безопасности необходимо гарантировать безопасность данных, и применяются защищенные каналы связи. Чтобы передаваемые данные нельзя было изменить или подсмотреть, при их построении используются средства криптографии и аутентификации.
- Криптография
- Аутентификация
Криптографические решения модифицируют передаваемую информацию при помощи математического алгоритма и ключа. Благодаря тому, что один из этих элементов (чаще — ключ) засекречен, данные защищены от несанкционированного доступа. Их можно без проблем вернуть в первоначальный вид, если и алгоритм, и ключ известны.
Как и в случае с криптографией, ключевыми понятиями аутентификации являются алгоритм на базе хэш-функции и ключ. Однако здесь алгоритм уже не имеет отношения к шифрованию данных. Он используется для создания электронной подписи. Без ключа и алгоритма «повторить» ее невозможно.
Когда данные отправляются в «пункт назначения», вместе с ними посылается и электронная подпись. Она позволяет проверить, не были ли изменены данные в процессе передачи. Делается это очень просто: от полученной информации генерируется еще одна электронная подпись и сравнивается с той, которую прислал источник. Если подписи отличаются — данные подвергались модификации.
Защищенные сети VPN
Интернет — это сеть общего пользования, поэтому для передачи конфиденциальной информации используются виртуальные сети VPN. Между двумя узлами, которые обмениваются данными, строят защищенный VPN-туннель. Такой способ обеспечивает конфиденциальность, сохранность и целостность информации, передающейся по сетям общего пользования.
VPN-туннели позволяют строить безопасные каналы связи между офисами, филиалами компании, а также обеспечивать доступ к корпоративным данным для сотрудников, работающих удаленно.
Защита данных реализуется следующим образом:
- передаваемые данные шифруются криптографическими средствами;
- пользователи виртуальной сети проходят аутентификацию;
- данные проходят проверку на предмет подлинности и целостности.
Выделяется два популярных способа построения VPN-канала:
- между локальными сетями
- между локальной сетью и узлом
Используется в качестве замены дорогостоящим каналам. Такой канал ЛВС-ЛВС строится, когда нужно постоянное соединение между площадками.
Чаще всего такой способ, как правило, используется для подключения мобильных и удаленных сотрудников к корпоративной ИТ-площадке.
Типы VPN, их преимущества и недостатки
Защищенное соединение может быть построено на базе различных протоколов. Рассмотрим наиболее распространенные из них, разберем плюсы и минусы каждого.
- PPTP
- L2TP
- IPsec
- SSL и TLS VPN
Туннельный протокол типа точка-точка появился еще в 90-е годы прошлого века. Определенный плюс в этом есть — PPTP поддерживается практически всеми операционными системами, даже достаточно старыми. К тому же, этот протокол совершенно нетребователен к уровню производительности — ему достаточно небольшого количества ресурсов.
Однако минусы PPTP обойти сложно. По современным меркам он предлагает достаточно низких уровень защиты. PPTP не предусматривает шифрования по умолчанию, а получить несанкционированный доступ, используя современные методы, можно менее чем за 24 часа.
Layer 2 Tunneling Protocol был опубликован в том же году, что и PPTP, и во многом на него похож. Принято считать, что L2TP все же более эффективен при построении виртуальных сетей, чем его «современник», но и требовательнее к ресурсам, пусть и совсем немного. Как и в PPTP, в L2TP тоже нет шифрования по умолчанию. Как правило, используют его в паре с другими протоколами, например, IPSec.
Internet Protocol Security — это не один, а целое множество протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP. Работа над ним началась еще в 1990-е, однако цели сделать протокол «раз и навсегда» не стояло. По этой причине IPsec регулярно получал развитие в соответствии с актуальными требованиями времени.
Сегодня IPsec — это десятки стандартов (причем каждый из них имеет несколько версий), описывающих разные этапы работы с защищенными соединениями. Его неоспоримые плюсы — архитектура, высокая надежность алгоритмов и технические возможности.
Конечно, свои недостатки у IPsec есть, пускай и очень условные. В частности, настройка таких протоколов требует определенной квалификации и опыта. Также IPsec достаточно требователен к вычислительным ресурсам. Частично это компенсируется применением аппаратного ускорения определенных вариантов алгоритма шифрования AES, который применяется в современных версиях протокола IPsec.
Это целый класс решений, в основе которых лежат криптографические протоколы SSL/TLS. Их практическими реализациями являются OpenVPN и Microsoft SSTP. Первый, в силу своей open source природы и, как следствие, открытости, используется буквально во всех популярных ОС: Windows, Linux, Mac OS, FreeBSD, Android, iOS, Solaris и других.
VPN для безопасного подключения ИТ-площадок
Виртуальные сети VPN активно используются для подключения к облачным сервисам, предоставляемым в формате Infrastructure-as-a-Service.
Например, к облаку #CloudMTS можно подключиться несколькими способами с применением VPN.
- Через IPsec VPN поверх сетей общего пользования (интернет) с помощью VMware NSX.
- Через L3 VPN (доступно для подключения в качестве отдельного сервиса).
- Через VPN S-Terra.
Третий способ актуален при подключении к аттестованному Облаку 152-ФЗ. Это специализированный сервис для размещения информационных систем персональных данных (ИСПДн). В целях повышения отказоустойчивости Облако 152-ФЗ построено на базе сразу нескольких площадок. Соединение между ними реализовано с помощью site-to-site VPN-тоннеля с применением сертифицированных криптошлюзов.
Если ваша компания собирает, хранит и обрабатывает ПДн или вы планируете подключаться к государственным информационным системам (ГИС) — обратите внимание на Облако 152-ФЗ от #CloudMTS:
- аттестация; УЗ-1/К1;
- гарантия выполнения приказов ФСТЭК №17 и №21;
- SLA 99.95%.
Оставить заявку
Мероприятия
15 июн 2023
ВебинарПартнерский проект
Работа под нагрузкой: как поддержать ИТ-системы при росте трафика
Регистрация открыта
8 июн 2023
ВебинарРазработка
DBaaS PostgreSQL: быстрый старт для разработчиков
Регистрация открыта
6 июн 2023
Вебинар
Как обеспечить пространство для бизнес-коммуникаций с помощью «Офис #CloudMTS»
Регистрация открыта
30 май 2023
ВебинарПартнерский проект
Cloud SD-WAN. Решение для объединения филиалов в безопасную сеть
Регистрация открыта
25 май 2023
СаммитПартнерский проект
Дата Саммит. Вселенная ваших данных
Регистрация открыта
23 май 2023
ВебинарПартнерский проект
Цифровизация HR: ЭДО и облачные технологии
Регистрация открыта
25 апр 2023
ВебинарПартнерский проект
Цифровая медицина:
ИИ и облачные технологии
Подробнее
17 апр 2023
Вебинар
Решаем проблему отказоустойчивости для веб-сайта с помощью сервисов #CloudMTS
Подробнее
Новости
Подпишитесь на рассылку
- Рассказываем про новинки и обновления наших продуктов
- Онлайн и оффлайн мероприятия, в которых вы можете принять участие
- Раз в месяц присылаем рассылку с последними новостями
Регистрация на выбранную
вами дату завершена
Защита информации при передаче данных становится важной задачей в современном мире. Рабочие станции конкретной организации могут быть надежно защищены, но при передаче сведений за пределы закрытого от проникновения периметра вероятность утечек повышается. Очень часто использование недостаточно эффективных средств защиты становится причиной утраты персональных данных граждан, номеров их банковских карт, сведений, имеющих характер коммерческой тайны. Использование современных методов защиты информации должно стать основной целью службы безопасности организации.
Ценность информации в современном мире
Информация – ценный актив, обладание которым повышает конкурентоспособность компаний. Она же становится средством управления: попадая в руки злоумышленников, позволяет манипулировать поведением людей, организаций и даже правительств. Ее защита становится целью не только субъектов рынка и граждан, но и государств, правоохранительных органов. На уровне международного права принимаются основополагающие документы о защите информации, в уголовные кодексы большинства стран уже внесены статьи, связанные с преступлениями в сфере информационной безопасности.
Информационные объекты передаются от человека к человеку, между организациями и их филиалами, через границы по общим телекоммуникационным каналам, защита которых часто не зависит от конкретного обладателя данных. К этим каналам могут подключиться многие и перехватить незащищенный трафик. Со стороны государств мерой защиты ресурсов становится концепция внедрения суверенного Интернета, со стороны организаций – использование защищенных протоколов передачи информации и современных криптографических средств защиты.
Интересно, что тотальное шифрование трафика при помощи криптографических средств, как установленных на устройствах, так и предлагаемых различными VPN-сервисами, не всегда становится гарантией безопасности. Правительство РФ в рамках реализации законов пакета Яровой намеревалось принять меры, предоставляющие определенным госструктурам возможность беспрепятственно расшифровывать данные. ФСБ настаивало на возможности в режиме реального времени расшифровывать интересующий ее трафик, например, если в потоке встретится слово «бомба». Интересно, что предложенным правоохранителями способом анализа данных были классические DLP-системы. Они помогают производить URL-фильтрацию по спискам запрещенных сайтов.
Но для дешифровки трафика, безопасность которого обеспечивается криптографическими средствами, или при передаче данных по защищенным https-соединениям возможностей DLP-систем недостаточно. Задачу должна была решить установка в сетях операторов оборудования, выполняющего действия, которые можно классифицировать как MITM-атаки. Оборудование представится пользователю запрашиваемым им сайтом. Для ресурса, в свою очередь, оно выступит под видом пользователя. Перехваченный трафик будет расшифрован, а затем вновь зашифрован перед доставкой его на сайт. Недостаток этой технологии в том, что ее невозможно применить для расшифровки end-to-end-трафика, который используют основные мессенджеры.
Пока эти планы официально не реализованы, но усиление регулирования Интернета не исключает, что в ближайшем будущем шифрование трафика каким-либо путем, кроме официально разрешенных средств криптографической защиты, станет невозможным.
Практика утечек
То, что незащищенный трафик может быть перехвачен, давно не новость. В обычной ситуации сведения генерируются или хранятся на конечном узле – определенной рабочей станции, сервере, в облачной среде или на мобильном устройстве. Оттуда они передаются на следующий конечный узел. На всех этапах движения данные могут стать объектом атак со стороны злоумышленников, если отправитель и получатель не используют криптографические средства защиты информации, защищенные протоколы обмена информацией либо VPN-системы.
Потеря сведений грозит ущербом:
- финансовым, иногда составляющим миллионы долларов;
- репутационным, в особенности для банков, интернет-магазинов и телеком-компаний;
- социальным. Например, утечка сведений, из Пенсионного фонда РФ, произошедшая в 2016 году из-за ошибки при передаче информации, подорвала доверие к государственной организации.
В США и некоторых странах Евросоюза дополнительным риском становятся крупные штрафы со стороны регуляторов, наложенные на компанию, допустившую утечку. Но контроль за утечкой данных из сетей – не единственное необходимое решение. Потеря сведений может произойти, если не организована информационная безопасность сервера или рабочей станции.
Система защиты конечных узлов предполагает реализацию следующих мер:
- уменьшение целевой нагрузки на систему. Это снижает опасность того, что ресурсы серверов, машинного и человеческого потенциала будут отвлечены от диагностики рисков и защиты от них;
- повышение скорости выявления аномальных событий или описанных в политиках инцидентов информационной безопасности. Для этого могут использоваться специализированные программные средства;
- наличие механизма расследования инцидентов при помощи специального ПО;
- наличие механизма, обеспечивающего отмену операций, несущих вред системе.
Перечисленные меры могут быть реализованы только в рамках конечного узла, для канала связи они не подходят. В большинстве ситуаций инфраструктура (серверы, каналы физической передачи информации) находится не в собственности или аренде у лица, передающего файлы, поэтому он лишен возможности контролировать безопасность процесса. Необходимо применение различных мер шифрования данных. Шифрование военного уровня или шифрование с длиной ключа в 256 бит делает расшифровку практически невозможной, в то время как защищенные протоколы связи или VPN оставляют пути для перехвата.
И все же исследования российских производителей ИБ-решений говорят о том, что в 2019 году основной проблемой для владельцев данных и служб безопасности стали не утечки информации по каналам связи. Более 80 % утечек происходят именно на конечных узлах.
Статистика по российскому рынку выглядит так:
- в 80 % случаев причиной утраты сведений стала выгрузка файлов на внешние накопители;
- в 10 % инцидентов данные утекли в результате фотографирования экрана мобильным телефоном (этот метод часто используется для сбора сведений о конкретных людях);
- еще в 10 % утечка произошла по иным каналам.
Но невысокая степень риска не исключает необходимость защиты от него. Незащищенный трафик может перехватить и расшифровать даже обычный пользователь. Слово «сниффер» уже вошло в общеупотребительный лексикон. Под этим термином понимается простой анализатор трафика, который способен перехватывать сведения, направляемые на другие узлы, и проводить поиск по заданным параметрам, например, находить в потоке трафика номера кредитных карт.
Проблема идентификации информации
Передача данных несет за собой и еще одну важнейшую проблему – необходимость идентификации получаемых сведений. Эта проблема может стать критической, например, при отправке технических сведений о безопасности технологических объектов. Перехват и изменение этих данных может стать причиной техногенных аварий. Для защиты от этих рисков допустима избыточность: текст длинного информационного сообщения проще проверить на подлинность и защитить ключом, чем короткий ряд цифр, воспринимаемых не потребителем, конкретным человеком, а автоматизированной системой управления.
С документами задача проверки подлинности решается проще. Использование электронной цифровой подписи (ЭЦП) снижает риски неверной идентификации автора документа. Она применяется для подтверждения подлинности данных, передаваемых, например, в виде отчетности в ФНС или на тендеры по закупкам товаров и услуг для государственных нужд. Цифровая подпись позволяет идентифицировать лицо, подписавшее документ от своего имени или от имени компании.
Кроме того, ЭЦП решает дополнительные задачи:
- гарантирует неизменность исходного текста документа. Подпись связана только с первоначальным текстом и при его малейшем изменении при расшифровке проявляется как недействительная;
- исключает любую вероятность подделки документа, его достоверность будет признаваться априори;
- привязывает документ к конкретному автору. Подпись нельзя подделать, и она всегда подтвердит, что текст принадлежит отправителю.
Основные каналы утечки
При пересылке данных существует три способа их направления, отличающихся различным уровнем конфиденциальности. Самым защищенным является создание собственных физических каналов, но из-за дороговизны это доступно только для государственных или военных организаций.
Возможна и аренда существующих каналов, как проводных, так и спутниковых. Это решение также будет недешевым, дополнительно оно потребует установки собственных аппаратных средств защиты.
В большинстве случаев граждане и компании передают информационные пакеты по Интернету. При этом информация при ее направлении в рамках общедоступных каналов подвергается следующим рискам:
- перехват;
- потеря;
- искажение.
Риски могут носить как активный, целенаправленный, так и пассивный, не зависящий от воли третьих лиц, характер. Они связаны с ошибками программирования, конфигурации системы, человеческим фактором, непринятием мер по исключению несанкционированного доступа к информации.
Чаще всего перехватываются сведения, передаваемая в рамках незащищенных Wi-Fi-сетей. Сайты, которые в работе с пользователями получают от них конфиденциальные сведения, пароли, номера кредитных карт, используют сложную систему авторизации и защищенные протоколы передачи данных. Достаточно сложно перехватить сведения, передаваемые через мессенджеры.
Средства защиты информации
В зависимости от цели защиты сведений, ее обладателя и ценности сведений применяются различные защитные меры или их комплексы. В широком смысле их делят на организационные и технические.
Организационные
Организационные средства чаще всего направлены на контроль поведения пользователей, исключая риски отправки служебной или конфиденциальной информации по незащищенным каналам. Иногда это необходимо, так как даже IT-специалисты пользуются частными Wi-Fi-сетями для отправки сообщений, содержащих ценные сведения. Разработка политик безопасности, информирование пользователей об угрозах и уязвимостях должны стать для компании первоочередными организационными мероприятиями, призванными обеспечить безопасность данных.
Разграничение доступа к информации пользователей, несмотря на то, что для него требуются аппаратные средства, также относится к организационным мерам. Так, в некоторых корпорациях для пользователей полностью отсутствует возможность выхода в Интернет с рабочих станций, что устраняет опасность утечки с этих ПК по внешним каналам.
Технические
Применяемые в целях обеспечения безопасности корпоративных файлов технические меры доступны большинству квалифицированных IT-специалистов. Выбор зависит от конкретных целей. Среди таких мер:
- криптографическая защита электронных документов;
- подтверждение авторства документа с помощью усиленной электронной подписи (ст. 5 Закона об ЭП), такой тип подписи применяется для наиболее важных документов, например, для заверения постановлений органов власти;
- контроль за целостностью документов;
- идентификация документов, например, их нумерация;
- защищенная передача данных с использованием идентификаторов PHP. Это дает возможность пользователю не авторизовываться каждый раз, переходя на новую страницу, и обеспечивает безопасность данных;
- установка программных решений, которые перехватывают трафик инсайдеров, передаваемый по конфиденциальным каналам связи, и расшифровывают его путем подмены сертификатов. Такие решения стали обычными в российской корпоративной практике;
- динамическая аутентификация пользователей. Примером этой технологии является SMS-рассылка одноразовых паролей;
- использование постоянно меняющихся ключей для шифрования текстов;
- обеспечение сохранности секретных ключей;
- применение электронного сертификата. Электронный сертификат подтверждает принадлежность ключа владельцу, используется при создании ЭЦП;
- создание защищенного соединения. Например, по такому каналу данные из 1С с рабочей станции пользователя могут попадать в «облако».
Применение большинства средств обеспечивает защищенность информации пользователя при его общении с конкретным сайтом. Для обеспечения целостности и конфиденциальности сведений, передаваемых по Сети, предназначены криптографические средства.
Криптографические средства
Криптографические средства защиты данных отличаются различной степенью сложности, в России их сертификацией занимаются такие ведомства, как ФСБ и ФСТЭК РФ.
Они действуют по одному из двух возможных алгоритмов:
- замена определенных символов или их перемещение (непосредственно шифрование). Объем сведений при использовании таких средств криптографической защиты не меняется;
- сжатие информации, когда определенные блоки сведений заменяются специальными символами, объем сведений при этом уменьшается.
Алгоритмы шифрования должны соответствовать следующим требованиям регуляторов:
- данные должны быть защищены не только от расшифровки, но и от подмены части информации;
- расшифровка должна зависеть только от наличия ключа, знание алгоритма шифрования на ее возможность влиять не должно;
- минимальное изменение как самого текста, так и ключа должно существенно менять зашифрованный текст, производя так называемый эффект «обвала»;
- ключ должен иметь обширную область значений и защиту от взлома методом перебора;
- алгоритм шифрования и дешифрования должен быть максимально быстрым при небольшом объеме затраченных ресурсов;
- стоимость дешифровании при отсутствии ключа должна быть существенно выше стоимости самих данных.
Для шифрования и дешифрования в большинстве систем используются аппаратные и программные средства, устанавливаемые на рабочих станциях входа и выхода информации. Но только работа со всеми возможностями, предоставляемыми современными разработчиками программного обеспечения, позволит гарантировать относительную безопасность трафика.
Защищенные протоколы передачи данных
С конца ХХ века в мире широко используются защищенные протоколы передачи данных. Это не что-то сконструированное специально для безопасной пересылки сообщений, а привычный для большинства пользователей Интернета протокол НТТР, который в целях защиты работает через сертификаты SSL либо же TLS. Его применение не только позволяет с большей степенью безопасности отправлять файлы с собственного ресурса и обеспечивать относительную защиту сведений, передаваемых на этот ресурс, но и снизить риск сетевых атак на него.
Наличие сертификата SSL становится одним из часто используемых технических средств защиты информации, оригинальным типом паспорта сайта, гарантирующим подлинность доменного адреса. Если этот протокол присутствует, то адрес сайта не может быть подменен фишинговым и пароли или номера кредитных карт пользователей не окажутся в руках неизвестных злоумышленников.
Сертификат содержит удостоверенные сведения:
- о наименовании владельца сайта;
- об идентификации региона регистрации владельца – от страны до города;
- о фактическом владельце сервера, домена, на котором размещен сайт.
Сертификат SSL предполагает наличие двух обязательных элементов защиты передаваемых данных:
- аутентификация, осуществляемая посредством специального ресурса;
- шифрование трафика, оно асимметрично и осуществляется при помощи двух ключей. Если трафик передается через промежуточные узлы, сертификаты могут быть расшифрованы.
Существуют и аппаратные средства защиты от перехвата конфиденциальной информации. SSH-туннелинг, осуществляемый через доверенный сервер, обезопасит определенные соединения, например, содержащие финансовую информацию. Ту же задачу выполнит и VPN-соединение. Но следует учитывать, что политика многих стран по обеспечению интернет-безопасности ограничивает возможность использования таких соединений.
Криптопровайдер
В тех случаях, когда политики безопасности данных допускают возможности использования различных программных средств для шифрования, некоторые компании прибегают к услугам криптопровайдеров. Под этим термином понимается независимый модуль, который работает в рамках операционной системы и шифрует трафик при помощи CryptoAPI. Криптопровайдер является посредником между операционной системой и всеми приложениями. В России есть ГОСТы, устанавливающие требования к этому способу защиты информации.
06.11.2019