Угрозы информационной безопасности в контексте корпоративной информационной инфраструктуры предприятия разделены на внешние и внутренние. Необходимо обратить внимание, что внутренние угрозы являются наиболее критичными, и защиту от них требуется разрабатывать детально и учитывая множество факторов. В данной статье рассматриваются методы защиты от внутренних угроз информационной безопасности в компьютерной сети организации.
Ключевые слова: информационная безопасность, компьютерные сети, информационные системы, защита данных, информационные технологии.
При проектировании системы информационной безопасности требуется обеспечивать качественную защиту, как от внешних, так и от внутренних угроз. Внутренние угрозы являются наиболее критичными, и их реализация может нести больший ущерб для организации [1–3].
В общем случае меры защиты корпоративной сети для защиты от угроз разделены на 2 типа:
- Организационные меры.
- Программно-аппаратные меры защиты.
К организационным мерам защиты можно отнести:
— Разработку политики информационной безопасности организации, включая частные политики ИБ.
— Регулярное проведение аудита информационной безопасности.
— Обучение персонала компании.
К частным политикам ИБ относятся политики, которые регламентируют отдельные детализированные требования применимые к конкретным областям информационной безопасности. Примерами таких политик могут являться: политика антивирусной защиты, политика межсетевого экранирования, политика управления доступом, политика защиты беспроводной сети, политика защиты баз данных, политика защиты корпоративных систем электронной почты [4].
К программно-аппаратным мерам относиться применение конкретного программного обеспечения и специализированных аппаратных решений для защиты данных.
К наиболее распространенным внутренним угрозам относятся:
— Угроза подключения несанкционированных устройств к локальной сети.
— Угроза прослушивания трафика, передаваемого через каналы связи.
— Угроза подбора паролей к корпоративным сервисам.
— Угроза использования уязвимостей серверного программного обеспечения.
В таблице 1 указаны методы защиты для каждой из перечисленных угроз.
Таблица 1
Методы защиты от различных внутренних угроз
|
Наименование угрозы |
Методы защиты |
|
Несанкционированное подключение устройств к локальной сети |
Использование технологии 802.1x. Применение функции Port-security. |
|
Угроза прослушивания передаваемого сетевого трафика |
Применение алгоритмов шифрования при передаче трафика. Внедрение технологии VLAN. |
|
Угроза подбора паролей |
Включение многофакторной аутентификации. Реализация парольной политики на предприятии. |
|
Угроза использования уязвимостей серверного программного обеспечения |
Использование IPS систем. Применение систем класса SIEM. |
Технология 802.1x применяется для аутентификации подключаемых пользовательских устройств. Сетевые коммутаторы, используемые в организации, должны поддерживать конфигурацию данной технологии. Также одним из компонентов технологии 802.1x является RADIUS сервер, который необходим для хранения учетных данных [5].
Функция Port-security позволяет производить ограничение доступа на уровне портов сетевых коммутаторов по MAC-адресам устройств. Кроме этого, возможна установка максимального числа по MAC-адресов на порту коммутатора.
Технология VLAN применяется для сегментации локальной сети. При ее внедрении сеть разделяется на функциональные группы на уровне портов сетевых коммутаторов. Существует несколько реализаций внедрения VLAN, наиболее гибкой с точки зрения настройки является реализация, основанная на стандарте IEEE 802.1Q, в таком случае в стандартный Ethernet кадр добавляется специальный тег, в котором в одном из полей указывается соответствие конкретному номеру VLAN.
Принцип действия систем предотвращения вторжений (IPS-систем), основан на непрерывном анализе сетевого траффика. При возникновении ситуации, когда соединение подпадает под критерии возможной атаки, оно блокируется. В общем случае метода анализа выделяют 2 — сигнатурный и эвристический.
Первый метод основан на использовании базы сигнатур известных атак. К его достоинствам относиться высокая точность определения атак, недостатком является невозможность защиты от неизвестных ранее атак, так как на них отсутствуют разработанные сигнатуры. Эвристический метод основан на анализе поведенческих факторов и статистических показателей системы. Преимуществом данного метода является возможность определения ранее неизвестных типов атак.
Системы SIEM применяются для сбора и анализа событий информационной безопасности, с разных узлов сетевой инфраструктуры. Источниками событий для SIEM системы могут быть:
- IPS-системы.
- Межсетевые экраны.
- Антивирусные средства.
- Сетевое оборудование компании.
- Журналы системных событий серверов.
- Журналы системных событий рабочих станций.
Системы класса SIEM позволяют качественно выявлять как внешние, так и внутренние атаки и реагировать на возможные инциденты информационной безопасности.
Таким образом, рассмотрены основные типы внутренних угроз сетевой инфраструктуры организации. Для каждого из выделенных типов угроз указаны методы защиты. Каждый из методов защиты рассмотрен детально с выделением характерных особенностей применения. Следует отметить, что кроме применения программно-аппаратных мер защиты следует в обязательном порядке реализовывать организационные меры защиты, а именно: разрабатывать и внедрять политику информационной безопасности, проводить регулярный аудит корпоративной сети на соответствие требованиям защиты, проводить обучение персонала организации по вопросам информационной безопасности, возможного реагирования на инциденты ИБ.
Литература:
- Зефиров, С. Л. Оценка информационной безопасности объекта при проведении аудита информационной безопасности / С. Л. Зефиров, А. Ю. Щербакова // Информационные системы и технологии ИСТ-2020: Сборник материалов XXVI Международной научно-технической конференции, Нижний Новгород, 24–28 апреля 2020 года / Нижегородский государственный технический университет им. Р. Е. Алексеева. — Нижний Новгород: Нижегородский государственный технический университет им. Р. Е. Алексеева, 2020. — С. 517–522.
- Мирошников, В. И. Основные требования и принципы построения системы обеспечения информационной безопасности беспроводной мультимедийной сети корпоративных пользователей / В. И. Мирошников, А. А. Миронов // Техника средств связи. — 2018. — № 3(143). — С. 11–21.
- Бутакова, Н. Г. Интеграция средств мониторинга и аудита информационной безопасности корпоративной сети / Н. Г. Бутакова // Электронный научный журнал. — 2017. — № 4–1(19). — С. 152–155.
- Полпудников, С. В. Некоторые вопросы обеспечения информационной безопасности корпоративной сети / С. В. Полпудников, А. М. Чепиков // Развитие управленческих и информационных технологий, их роль в региональной экономике::материалы I Всероссийской открытой научно-практической конференции, Калуга, 03 июня 2014 года / Калужский филиал ФИНАНСОВОГО УНИВЕРСИТЕТА при ПРАВИТЕЛЬСТВЕ Российской Федерации. Том 1. — Калуга: Эйдос, 2014.
- Рыленков, Д. А. Применение стандарта IEEE 802.1x для управления доступом в корпоративных сетях / Д. А. Рыленков // Теория и практика обеспечения информационной безопасности: Сборник научных трудов по материалам всероссийской научно-теоретической конференции, Москва, 03 декабря 2021 года. — Москва: Московский технический университет связи и информатики, 2021. — С. 286–289.
