Защита информационного периметра организации

Главная > Список решений > Защита информационного периметра организации

Защита информационного периметра организации

Число инцидентов, связанных с информационной безопасностью, по данным ведущих аналитических агентств постоянно возрастает. Специалисты, отвечающие за защиту информации, отмечают возрастающую активность внешних злоумышленников, использующих последние разработки в области нападения, пытающихся проникнуть в корпоративные сети для совершения своих "черных" дел. Они не ограничиваются кражей информации или выведением узлов сети из строя. Нередки случаи, когда взломанные сети использовались для совершения новых атак. Поэтому защита периметра информационной системы является обязательным элементом системы информационной безопасности организации.

Из каких компонентов должна состоять защита периметра, обеспечивающая минимальный (начальный) уровень информационной безопасности? Чтобы ответить на этот вопрос, необходимо произвести анализ наиболее распространенных угроз информационным ресурсам организации:

  • Сетевые атаки, направленные на недоступность информационных ресурсов (к примеру, Web-серверов, сервисов электронной почты и т.д.) - атаки класса DoS и DDoS;
  • Компрометация информационных ресурсов и эскалация привилегий - как со стороны инсайдеров, так и внешних злоумышленников, как с целью использования ваших ресурсов, так и с целью нанесения ущерба;
  • Действия вредоносного программного кода (вирусы, сетевые черви, трояны, программы-шпионы и т.д.);
  • Утечка конфиденциальной информации и похищение данных - как через сеть (e-mail, FTP, web и пр), так и через внешние носители.
  • Различные сетевые атаки на приложения.

Для минимизации угроз информационной безопасности необходимо внедрение многоуровневой системы защиты информации.

Защита информационного периметра сети в первую очередь необходима:

  • Коммерческим организациям, подключенным к сетям общего пользования;
  • Государственным организациям, подключенным к сети Интернет;
  • Территориально распределенным организациям;
  • Операторам связи;
  • Финансово-кредитным организациям.

Первым уровнем обеспечения информационной безопасности, блокирующей несанкционированный доступ хакеров в корпоративную сеть, является межсетевой экран. Компания «Микротест» предлагает своим заказчикам межсетевые экраны различных производителей, нацеленных на защиту как небольших, так и крупных территориально-распределенных информационных систем. В зависимости от технологии обработки информации в организации межсетевые экраны (устройства защиты периметра) могут поставляться в различной комплектации и обеспечивать различный функционал, в том числе:

  • Разграничение и контроль доступа, выполнение аутентификации пользователей, трансляция IP-адресов (NAT);
  • Организация демилитаризованных зон;
  • Построение различных типов VPN (IPSec и SSL VPN, в том числе сертифицированные по требованиям ФСБ России решения);
  • Функционал контроля контента. Анализ трафика на прикладном уровне, защита трафика от вирусов и различных типов spyware и malware, защита от спама, URL-фильтрация, антифишинг, и пр;
  • Функционал системы обнаружения и предотвращения сетевых атак и несанкционированной сетевой активности;
  • Высокую доступность и кластеризацию;
  • Балансировку нагрузки;
  • Поддержка качества обслуживания (QoS);
  • Механизмы аутентификации пользователей;
  • Интеграцию с различными системами аутентификации и авторизации (RADIUS, TACACS+, LDAP и др);
  • Управление списками контроля доступа маршрутизаторов;
  • Ряд других возможностей.

Основным функционалом межсетевых экранов является разграничение и контроль доступа, трансляция адресов и сокрытие топологии вашей вычислительной сети от внешнего мира. Однако необходимо отметить, что межсетевые экраны главным образом осуществляют фильтрацию и анализ трафика на третьем и четвертом уровнях модели OSI, и лишь ограниченно - на более высоких уровнях.

Другим чрезвычайно важным функционалом межсетевых экранов является организация демилитаризованных зон. Это специально защищенные сегменты сети, к которым организован безопасный доступ из внешних сетей (Интернет) и в которых рекомендуется устанавливать сервера, взаимодействующие с внешними сетями - WEB, почтовый, DNS, и т.п.

Однако и сам межсетевой экран может служить мишенью для злоумышленников - так же, как и другие узлы вашей сети, начиная от серверов приложений и Web-серверов и заканчивая почтовыми узлами и базами данных. Для мониторинга и борьбы с атаками и несанкционированной сетевой активностью рекомендуется использовать специализированные продукты сетевые системы обнаружения и предотвращения атак (IDS/IPS). Данные системы позволяют отследить и зарегистрировать попытки несанкционированной сетевой активности и опционально блокировать атаки в режиме реального времени.

Максимально эффективно использовать данные, получаемые от сенсоров (серверов) обнаружения атак и от межсетевых экранов атаках (об отраженных ими атаках) позволяет использование системы мониторинга информационной безопасности. Система мониторинга ИБ позволяет свести все события и инциденты ИБ в единой консоли, выполняет интеллектуальный анализ атак и их последствий и помогает администраторам выработать контрмеры. Кроме этого, система мониторинга ИБ выполняет регистрацию и хранение всех событий информационной безопасности, что делает возможным использование полученного материала в качестве доказательного при выполнении расследований инцидентов и судопроизводстве.

Итак, базовые элементы защиты периметра - это межсетевые экраны (и VPN-серверы), системы обнаружения и предотвращения сетевых атак и системы мониторинга ИБ. Однако, как показывает практика, этих систем зачастую недостаточно для эффективной защиты от современных угроз они обеспечивают необходимый, но не достаточный уровень защищенности информационной системы. Существует ряд угроз и их становится все больше и больше, от которых указанные средства защиты малоэффективны. К таким угрозам относятся:

  • проникновение червей, вирусов и другого вредоносного кода через электронную почту, web-сёрфинг и т.п. Как правило, данная зараза не определяется ни межсетевыми экранами, работающими на третьем уровне модели OSI, ни системами обнаружения сетевых атак. Ведь никакой атаки, например, в момент передачи файла, не производится;
  • заражение пользовательских компьютеров, работающих через криптотуннель (например, внутри SSL-соединения с зараженным web-сервером или IPSec-соединения с зараженной сетью);
  • атаки, использующие неизвестные уязвимости некоторых приложений.

По этим, и ряду других причин, для полноценной защиты корпоративной информационной системы недостаточно лишь межсетевых экранов (и систем обнаружения атак). В зависимости от особенностей конкретной защищаемой системы и требованиям к уровню защищенности, рекомендуется использовать и другие системы и методы защиты. Очень важно организовать эффективную защиту на уровне хостов (серверов и рабочих станций сети), контроль контента на периметре сети, контроль за утечкой конфиденциальной информации, и принять некоторые другие меры.

Итак, защита периметра вычислительной сети с использованием межсетевых экранов и систем обнаружения сетевых атак является базовой и необходимой защитой периметра информационной системы от посягательств злоумышленников, своеобразным "фильтром грубой очистки". Использование описанных технологий обеспечивает:

  • Контроль и разграничение доступа на периметре сети;
  • При необходимости аутентификацию пользователей;
  • Сокрытие топологии и внутренней организации вашей вычислительной сети, что существенно усложняет задачи злоумышленников;
  • Организация защищенного доступа внутренних пользователей во внешние сети и наоборот - пользователей внешних сетей к защищаемым внутренним ресурсам;
  • Своевременное предотвращение, обнаружение и блокирование большей части атак, направленных на ресурсы информационной системы;
  • Существенное повышение эффективности работы персонала, отвечающего за информационную безопасность, снижение издержек, возникающих от неэффективной работы;
  • Масштабируемость инфраструктуры обеспечения информационной безопасности корпоративной сети;
  • Централизованное управление средствами защиты, находящимися на различных участках корпоративной сети (в т.ч. и в удаленных филиалах);
  • Качественный мониторинг и анализ событий информационной безопасности, облегчение работы специалистов по выработке ответных мер.

 

FortiGate

Устройства комплексной сетевой безопасности FortiGate обеспечивают непревзойденную производительность и защиту, одновременно упрощая сетевую инфраструктуру. Компания Fortinet предлагает широкий модельный ряд устройств, подходящих для самых различных заказчиков, начиная с серии FortiGate-20 для небольших предприятий и офисов и заканчивая серией FortiGate-5000, предназначенной для очень больших предприятий и провайдеров. Для обеспечения всесторонней и высокопроизводительной защиты сети, платформы FortiGate используют операционную систему FortiOS™ с сопроцессорами FortiASIC и другим аппаратным обеспечением. Каждое устройство FortiGate включает в себя широчайший набор сетевых функций и функций безопасности, включая:
- Межсетевой экран, VPN и
- Traffic Shaping
- Систему предотвращения вторжений (IPS)
- Антивирус/Противодействие шпионящему и вредоносному ПО
- Интегрированный Wi-Fi контроллер
- Контроль приложений
- Защиту от утечек данных
- Поиск уязвимостей
- Поддержку IPv6
- Web-фильтрацию
- Антиспам
- Поддержку VoIP
- Маршрутизацию/коммутацию
- WAN-оптимизацию и web-кеширование

Устройства FortiGate обеспечивают высокую защиту против сетевых угроз и угроз прикладного уровня. Динамические обновления от глобального исследовательского центра FortiGuard Labs гарантируют защиту от последних угроз. Платформы FortiGate обладают сложным сетевым функционалом, включая кластеризацию (active/active, active/passive) и виртуальные домены (VDOM), которые дают возможностью разделять сети, требующие различных политик безопасности.