В.А.Васенин, А.В.Савочкин
Московский государственный университет им. М.В.Ломоносова
Тел.: (095) 939-28-29, факс: (095) 939-46-47, e-mail: saw@msu.ru
В связи с развитием глобальных средств коммуникаций, и, в первую очередь, сети Internet, проблема защиты информации в глобальных компьютерных сетях приобрела особую важность. Сегодня Internet уже имеет значительное число пользователей в России как среди частных лиц, так и среди государственных и коммерческих организаций. Темпы роста российского сегмента Internet в последние 2--3 года не уступают и даже превосходят среднеевропейские. В то же время используемые средства защиты информации от несанкционированного доступа не удовлетворяют сегодняшним потребностям и отстают от мирового уровня развития компьютерных сетей.
Построение комплексной системы безопасности компьютерной сети имеет своей целью предотвращение или снижение возможного ущерба, который может быть нанесен в результате атаки на сеть. Ценные файлы или информация могут быть уничтожены, серверы или иное оборудование могут быть приведены в нерабочее состояние так, что на их полное восстановление, включающее перестановку программного обеспечения и восстановления рабочей конфигурации может потребоваться несколько дней. Кроме того, защита сети имеет целью защиту репутации организации от ущерба вследствие, например, несанкционированного изменения содержимого страниц ее WWW-сервера третьими лицами.
Проблема защиты информации в глобальной компьютерной сети имеет свою специфику, отличающую ее от проблемы защиты информации, скажем, в корпоративных сетях.
Важнейшей отличительной особенностью задачи защиты информации в глобальной компьютерной сети является тот факт, что защита информации возлагается на программно-аппаратные средства, и не может полностью быть решена путем физического ограничения доступа пользователей к компьютерам и оборудованию (т.е. оборудованием специальных помещений для работы с данной информацией, определением режимов такой работы, как это может быть сделано для ограничения доступа к информации внутри отдельной организации). В глобальной компьютерной сети потенциальную возможность доступа к ресурсам имеет любой пользователь сети, находящийся в любой точке Земного шара, и момент доступа к той или иной информации не может быть предсказан заранее.
Другой особенностью проблемы является огромная скорость развития в Internet программного обеспечения и технологий. Новые технологии преодоления систем защиты информации появляются каждые полгода, и арсенал используемых атакующими средств может меняться каждые 2-3 месяца.
У рассматриваемой проблемы отсутствуют готовые рецепты решений. В каждом конкретном случае, рассматривая тот или иной сетевой ресурс, следует принимать решения исходя из соотношения риска и возможного ущерба от атаки с использованием данного сервиса, из потребности в этом сервисе, а также затрат на освоение и поддержку того или иного решения.
Комплексный подход к решению проблемы защиты информации состоит в сочетании административных, технических и программных методов, профилактической работы для уменьшения возможностей для несанкционированного доступа к информации, а также планирования и эксплуатации сетевых ресурсов таким образом, чтобы свести к минимуму ущерб в случае успешной атаки.
Одним из мероприятий, обеспечивающим высокую защищенность сети и низкую величину потенциального ущерба, который способны нанести атакующие, является планирование топологии сети и размещения сетевых ресурсов с учетом требований безопасности. У большинства сетевых протоколов передачи данных есть свои особенности, влияющие на то, в какой конфигурации сети эти данные могут быть перехвачены третьими лицами или фальсифицированы. Анализ конфигурации сети с этой точки зрения и внимание к защищенности важных сегментов сети, как, например, сегментов, по которым технический персонал осуществляет удаленное управление серверами и маршрутизаторами, может существенно улучшить общую защищенность сети.
Другим важным элементом комплексного подхода к защите информации является четкое административное руководство сетью. Оно включает в себя создание условий и обеспечение взаимодействия всех служб сети, центра управления сетью и администраторов подсетей для достижения высокой скорости реагирования на попытки несанкционированного доступа, быстрого оповещения всех заинтересованных сторон о новых технологиях и методах преодоления систем защиты и обмена опытом.
В докладе на примере сети MSUnet обсуждаются мероприятия, конкретные механизмы и технологии решения перечисленных проблем.