Защита информации способы защиты информации передаваемой по каналам связи

Средства защиты конфиденциальной информации, передаваемой по открытым каналам передачи данных

Этой статьёй мы открываем новую рубрику нашего сайта, в которой будут публиковаться научные материалы по направлениям повышения квалификации и профессиональной переподготовки, осуществляемым в Приволжском институте повышения квалификации ФНС России.

Одной из программ повышения квалификации и программой профессиональной переподготовки является «Информационная безопасность». По этим программам предусмотрено изучение криптографических средств защиты информации (СКЗИ), их установка, настройка и практическое использование. Чтобы читатель имел представление о современных наиболее популярных СКЗИ, рассмотрим назначение и принципы функционирования виртуальных частных сетей (VPN). Тем более, что на практических занятиях по программе профессиональной переподготовки «Информационная безопасность» слушатели имеют возможность настроить и научится использовать средство для организации виртуальных частных сетей VipNet Custom (Coordinator + Client).

Пожалуй, самым эффективным средством защиты передаваемой информации от несанкционированного доступа (НСД) в настоящее время считается виртуальная частная сеть. Термин VPN обозначает взаимосвязанную совокупность технологий, которые обеспечивают сетевое соединение, или так называемую логическую сеть, функционирующую поверх какой-либо другой сети, как правило, Интернет. То есть, передача данных в VPN производится по незащищённым (открытым) сетям, но, весь траффик между абонентами и их идентификационная информация шифруется. Таким образом, благодаря использованию криптографии, защита передаваемых данных по технологии VPN может быть очень надёжна. Кроме непосредственно шифрования данных, среди используемых в VPN средств криптографии применяются средства для защиты от изменений передаваемых сообщений, инфраструктура открытых ключей и надёжная аутентификация.

Проведём краткий анализ защитных функций VPN. По технологиям VPN, в зависимости от назначения защищаемых соединений, в настоящее время используются три вида соединения: сеть-сеть, узел-сеть и узел-узел.
Защищённое соединение вида сеть-сеть применяется для организации туннеля между несколькими защищёнными сетями или защищёнными сегментами сети. При этом для передачи данных между сетями (сегментами) используются открытые каналы передачи данных, которые необходимо защитить с помощью туннеля.

Защищённые соединения вида узел-сеть и узел-узел применяются для организации защищённого доступа внешних абонентов к защищённой сети или защищённого соединения между абонентами. Все эти виды защищённых соединений необходимы для организации безопасных соединений между сегментами корпоративных сетей и для предоставления защищённого доступа удалённых абонентов к информационным ресурсам государственных органов и иных организаций.
Применение средств криптографии позволяет использовать базовые сетевые протоколы (UDP, TCP и др.) в неизменном виде, и чаще всего для создания VPN применяется инкапсуляция протокола РРР в другой протокол, например, IP или Ethernet. При таком подходе происходит виртуализация всего трафика и адресов оконечных устройств абонентов. В результате применение VPN обеспечивает высокий уровень защиты передаваемых данных даже в открытых общедоступных телекоммуникациях.

Если представить VPN структурно, то она логически состоит из двух функциональных частей: «внутренней» сети (их может быть несколько) и «внешней» сети (обычно это открытые каналы передачи данных). Кроме того, что весь трафик шифруется, в VPN защита реализуется на уровне идентификации и аутентификации зарегистрированных пользователей. То есть, удаленный пользователь подключается к VPN через сервер доступа, включенный как во «внутреннюю», так и во «внешнюю» сеть. При этом сервер требует от пользователя пройти идентификацию, а затем аутентификацию, после чего проверенный таким образом пользователь наделяется предусмотренными полномочиями в сети.
В настоящее время рынок программно-аппаратных и программных средств, основанных на VPN, достаточно разнообразно представлен. Далеко не все VPN имеют достаточный уровень защиты информации, требуемый нормативными документами ФСБ и ФСТЭК России для защиты информации с ограниченным доступом. Поэтому для применения в государственных информационных системах особый интерес представляют сертифицированные ФСБ и ФСТЭК средства.

К таковым относятся следующие средства:
Программно-аппаратный комплекс (ПАК) DioNis-NX (Дионис), который кроме функции криптомаршрутизатора VPN, реализует функции маршрутизатора и межсетевого экрана с системой обнаружения/предотвращения сетевых атак, имеет средства криптографической защиты информации (СКЗИ), позволяет осуществлять мониторинг трафика и обеспечивать качество сервисов, может работать в режиме отказоустойчивого кластера.

ПАК Дионис является российской разработкой (научное производственное предприятие «ФАКТОР-ТС») и имеет сертификаты соответствия ФСБ и ФСТЭК.

Средство комплексной защиты ViPNet CUSTOM (разработчик: ОАО «Инфотекс»).
По информации, предоставленной разработчиком, ViPNet CUSTOM предназначен для объединения в единую защищенную виртуальную сеть произвольного числа рабочих станций, мобильных пользователей и локальных сетей и нацелен на решение двух важных задач информационной безопасности :

• создание защищенной, доверенной среды передачи конфиденциальной информации с использованием публичных и выделенных каналов связи (Интернет, телефонные и телеграфные линии связи и т.п.), путем организации виртуальной частной сети (VPN);
• развертывание инфраструктуры открытых ключей (PKI) и организации Удостоверяющего Центра с целью интеграции механизмов электронно-цифровой подписи в прикладное программное обеспечение заказчика (системы документооборота и делопроизводства, электронную почту, банковское программное обеспечение, электронные торговые площадки и витрины).

Также в ViPNet CUSTOM поддерживается возможность взаимодействия с программным обеспечением PKI других отечественных производителей, например, ЗАО «Сигнал-КОМ» и ООО «Крипто-Про».
Все компоненты VipNet CUSTOM 3.2 имеют сертификаты ФСБ и ФСТЭК .
Если сравнивать эти два наиболее популярных в нашей стране сертифицированных средства защиты передаваемых по сетям данных по техническим, экономическим и другим характеристикам, то, предпочтительнее выглядит VipNet CUSTOM. Так как, это более современное средство защиты, чисто программная реализация, несложное в настройке, экономически более выгодное.

Именно поэтому по программе профессиональной переподготовки «Информационная безопасность» основное внимание при изучении уделяется этому средству защиты.

Автор:
Кандидат технических наук доцент Лабутин Н.Г.

Источник

Защита информации при передаче данных

ИБ-аутсорсинг
на базе DLP-системы

Контроль исполнения документов

Мониторинг ИТ инфраструктуры

Защита бизнеса от мошенничества

Разработка требований к защите информации

Управление системами фильтрации электронной почты и веб-трафика

АУТСОРСИНГ DLP ДЛЯ ЗАЩИТЫ БИЗНЕСА

З ащита информации при передаче данных становится важной задачей в современном мире. Рабочие станции конкретной организации могут быть надежно защищены, но при передаче сведений за пределы закрытого от проникновения периметра вероятность утечек повышается. Очень часто использование недостаточно эффективных средств защиты становится причиной утраты персональных данных граждан, номеров их банковских карт, сведений, имеющих характер коммерческой тайны. Использование современных методов защиты информации должно стать основной целью службы безопасности организации.

Ценность информации в современном мире

Информация – ценный актив, обладание которым повышает конкурентоспособность компаний. Она же становится средством управления: попадая в руки злоумышленников, позволяет манипулировать поведением людей, организаций и даже правительств. Ее защита становится целью не только субъектов рынка и граждан, но и государств, правоохранительных органов. На уровне международного права принимаются основополагающие документы о защите информации, в уголовные кодексы большинства стран уже внесены статьи, связанные с преступлениями в сфере информационной безопасности.

Информационные объекты передаются от человека к человеку, между организациями и их филиалами, через границы по общим телекоммуникационным каналам, защита которых часто не зависит от конкретного обладателя данных. К этим каналам могут подключиться многие и перехватить незащищенный трафик. Со стороны государств мерой защиты ресурсов становится концепция внедрения суверенного Интернета, со стороны организаций – использование защищенных протоколов передачи информации и современных криптографических средств защиты.

Интересно, что тотальное шифрование трафика при помощи криптографических средств, как установленных на устройствах, так и предлагаемых различными VPN-сервисами, не всегда становится гарантией безопасности. Правительство РФ в рамках реализации законов пакета Яровой намеревалось принять меры, предоставляющие определенным госструктурам возможность беспрепятственно расшифровывать данные. ФСБ настаивало на возможности в режиме реального времени расшифровывать интересующий ее трафик, например, если в потоке встретится слово «бомба». Интересно, что предложенным правоохранителями способом анализа данных были классические DLP-системы. Они помогают производить URL-фильтрацию по спискам запрещенных сайтов.

Но для дешифровки трафика, безопасность которого обеспечивается криптографическими средствами, или при передаче данных по защищенным https-соединениям возможностей DLP-систем недостаточно. Задачу должна была решить установка в сетях операторов оборудования, выполняющего действия, которые можно классифицировать как MITM-атаки. Оборудование представится пользователю запрашиваемым им сайтом. Для ресурса, в свою очередь, оно выступит под видом пользователя. Перехваченный трафик будет расшифрован, а затем вновь зашифрован перед доставкой его на сайт. Недостаток этой технологии в том, что ее невозможно применить для расшифровки end-to-end-трафика, который используют основные мессенджеры.

Пока эти планы официально не реализованы, но усиление регулирования Интернета не исключает, что в ближайшем будущем шифрование трафика каким-либо путем, кроме официально разрешенных средств криптографической защиты, станет невозможным.

Практика утечек

То, что незащищенный трафик может быть перехвачен, давно не новость. В обычной ситуации сведения генерируются или хранятся на конечном узле – определенной рабочей станции, сервере, в облачной среде или на мобильном устройстве. Оттуда они передаются на следующий конечный узел. На всех этапах движения данные могут стать объектом атак со стороны злоумышленников, если отправитель и получатель не используют криптографические средства защиты информации, защищенные протоколы обмена информацией либо VPN-системы.

Потеря сведений грозит ущербом:

• финансовым, иногда составляющим миллионы долларов;
• репутационным, в особенности для банков, интернет-магазинов и телеком-компаний;
• социальным. Например, утечка сведений, из Пенсионного фонда РФ, произошедшая в 2016 году из-за ошибки при передаче информации, подорвала доверие к государственной организации.

В США и некоторых странах Евросоюза дополнительным риском становятся крупные штрафы со стороны регуляторов, наложенные на компанию, допустившую утечку. Но контроль за утечкой данных из сетей – не единственное необходимое решение. Потеря сведений может произойти, если не организована информационная безопасность сервера или рабочей станции.

Система защиты конечных узлов предполагает реализацию следующих мер:

• уменьшение целевой нагрузки на систему. Это снижает опасность того, что ресурсы серверов, машинного и человеческого потенциала будут отвлечены от диагностики рисков и защиты от них;
• повышение скорости выявления аномальных событий или описанных в политиках инцидентов информационной безопасности. Для этого могут использоваться специализированные программные средства;
• наличие механизма расследования инцидентов при помощи специального ПО;
• наличие механизма, обеспечивающего отмену операций, несущих вред системе.

Перечисленные меры могут быть реализованы только в рамках конечного узла, для канала связи они не подходят. В большинстве ситуаций инфраструктура (серверы, каналы физической передачи информации) находится не в собственности или аренде у лица, передающего файлы, поэтому он лишен возможности контролировать безопасность процесса. Необходимо применение различных мер шифрования данных. Шифрование военного уровня или шифрование с длиной ключа в 256 бит делает расшифровку практически невозможной, в то время как защищенные протоколы связи или VPN оставляют пути для перехвата.

И все же исследования российских производителей ИБ-решений говорят о том, что в 2019 году основной проблемой для владельцев данных и служб безопасности стали не утечки информации по каналам связи. Более 80 % утечек происходят именно на конечных узлах.

Статистика по российскому рынку выглядит так:

• в 80 % случаев причиной утраты сведений стала выгрузка файлов на внешние накопители;
• в 10 % инцидентов данные утекли в результате фотографирования экрана мобильным телефоном (этот метод часто используется для сбора сведений о конкретных людях);
• еще в 10 % утечка произошла по иным каналам.

Но невысокая степень риска не исключает необходимость защиты от него. Незащищенный трафик может перехватить и расшифровать даже обычный пользователь. Слово «сниффер» уже вошло в общеупотребительный лексикон. Под этим термином понимается простой анализатор трафика, который способен перехватывать сведения, направляемые на другие узлы, и проводить поиск по заданным параметрам, например, находить в потоке трафика номера кредитных карт.

Проблема идентификации информации

Передача данных несет за собой и еще одну важнейшую проблему – необходимость идентификации получаемых сведений. Эта проблема может стать критической, например, при отправке технических сведений о безопасности технологических объектов. Перехват и изменение этих данных может стать причиной техногенных аварий. Для защиты от этих рисков допустима избыточность: текст длинного информационного сообщения проще проверить на подлинность и защитить ключом, чем короткий ряд цифр, воспринимаемых не потребителем, конкретным человеком, а автоматизированной системой управления.

С документами задача проверки подлинности решается проще. Использование электронной цифровой подписи (ЭЦП) снижает риски неверной идентификации автора документа. Она применяется для подтверждения подлинности данных, передаваемых, например, в виде отчетности в ФНС или на тендеры по закупкам товаров и услуг для государственных нужд. Цифровая подпись позволяет идентифицировать лицо, подписавшее документ от своего имени или от имени компании.

Кроме того, ЭЦП решает дополнительные задачи:

• гарантирует неизменность исходного текста документа. Подпись связана только с первоначальным текстом и при его малейшем изменении при расшифровке проявляется как недействительная;
• исключает любую вероятность подделки документа, его достоверность будет признаваться априори;
• привязывает документ к конкретному автору. Подпись нельзя подделать, и она всегда подтвердит, что текст принадлежит отправителю.

Основные каналы утечки

При пересылке данных существует три способа их направления, отличающихся различным уровнем конфиденциальности. Самым защищенным является создание собственных физических каналов, но из-за дороговизны это доступно только для государственных или военных организаций.

Возможна и аренда существующих каналов, как проводных, так и спутниковых. Это решение также будет недешевым, дополнительно оно потребует установки собственных аппаратных средств защиты.

В большинстве случаев граждане и компании передают информационные пакеты по Интернету. При этом информация при ее направлении в рамках общедоступных каналов подвергается следующим рискам:

Риски могут носить как активный, целенаправленный, так и пассивный, не зависящий от воли третьих лиц, характер. Они связаны с ошибками программирования, конфигурации системы, человеческим фактором, непринятием мер по исключению несанкционированного доступа к информации.

Чаще всего перехватываются сведения, передаваемая в рамках незащищенных Wi-Fi-сетей. Сайты, которые в работе с пользователями получают от них конфиденциальные сведения, пароли, номера кредитных карт, используют сложную систему авторизации и защищенные протоколы передачи данных. Достаточно сложно перехватить сведения, передаваемые через мессенджеры.

Средства защиты информации

В зависимости от цели защиты сведений, ее обладателя и ценности сведений применяются различные защитные меры или их комплексы. В широком смысле их делят на организационные и технические.

Организационные

Организационные средства чаще всего направлены на контроль поведения пользователей, исключая риски отправки служебной или конфиденциальной информации по незащищенным каналам. Иногда это необходимо, так как даже IT-специалисты пользуются частными Wi-Fi-сетями для отправки сообщений, содержащих ценные сведения. Разработка политик безопасности, информирование пользователей об угрозах и уязвимостях должны стать для компании первоочередными организационными мероприятиями, призванными обеспечить безопасность данных.

Разграничение доступа к информации пользователей, несмотря на то, что для него требуются аппаратные средства, также относится к организационным мерам. Так, в некоторых корпорациях для пользователей полностью отсутствует возможность выхода в Интернет с рабочих станций, что устраняет опасность утечки с этих ПК по внешним каналам.

Технические

Применяемые в целях обеспечения безопасности корпоративных файлов технические меры доступны большинству квалифицированных IT-специалистов. Выбор зависит от конкретных целей. Среди таких мер:

• криптографическая защита электронных документов;
• подтверждение авторства документа с помощью усиленной электронной подписи (ст. 5 Закона об ЭП), такой тип подписи применяется для наиболее важных документов, например, для заверения постановлений органов власти;
• контроль за целостностью документов;
• идентификация документов, например, их нумерация;
• защищенная передача данных с использованием идентификаторов PHP. Это дает возможность пользователю не авторизовываться каждый раз, переходя на новую страницу, и обеспечивает безопасность данных;
• установка программных решений, которые перехватывают трафик инсайдеров, передаваемый по конфиденциальным каналам связи, и расшифровывают его путем подмены сертификатов. Такие решения стали обычными в российской корпоративной практике;
• динамическая аутентификация пользователей. Примером этой технологии является SMS-рассылка одноразовых паролей;
• использование постоянно меняющихся ключей для шифрования текстов;
• обеспечение сохранности секретных ключей;
• применение электронного сертификата. Электронный сертификат подтверждает принадлежность ключа владельцу, используется при создании ЭЦП;
• создание защищенного соединения. Например, по такому каналу данные из 1С с рабочей станции пользователя могут попадать в «облако».

Применение большинства средств обеспечивает защищенность информации пользователя при его общении с конкретным сайтом. Для обеспечения целостности и конфиденциальности сведений, передаваемых по Сети, предназначены криптографические средства.

Криптографические средства

Криптографические средства защиты данных отличаются различной степенью сложности, в России их сертификацией занимаются такие ведомства, как ФСБ и ФСТЭК РФ.

Они действуют по одному из двух возможных алгоритмов:

• замена определенных символов или их перемещение (непосредственно шифрование). Объем сведений при использовании таких средств криптографической защиты не меняется;
• сжатие информации, когда определенные блоки сведений заменяются специальными символами, объем сведений при этом уменьшается.

Алгоритмы шифрования должны соответствовать следующим требованиям регуляторов:

• данные должны быть защищены не только от расшифровки, но и от подмены части информации;
• расшифровка должна зависеть только от наличия ключа, знание алгоритма шифрования на ее возможность влиять не должно;
• минимальное изменение как самого текста, так и ключа должно существенно менять зашифрованный текст, производя так называемый эффект «обвала»;
• ключ должен иметь обширную область значений и защиту от взлома методом перебора;
• алгоритм шифрования и дешифрования должен быть максимально быстрым при небольшом объеме затраченных ресурсов;
• стоимость дешифровании при отсутствии ключа должна быть существенно выше стоимости самих данных.

Для шифрования и дешифрования в большинстве систем используются аппаратные и программные средства, устанавливаемые на рабочих станциях входа и выхода информации. Но только работа со всеми возможностями, предоставляемыми современными разработчиками программного обеспечения, позволит гарантировать относительную безопасность трафика.

Защищенные протоколы передачи данных

С конца ХХ века в мире широко используются защищенные протоколы передачи данных. Это не что-то сконструированное специально для безопасной пересылки сообщений, а привычный для большинства пользователей Интернета протокол НТТР, который в целях защиты работает через сертификаты SSL либо же TLS. Его применение не только позволяет с большей степенью безопасности отправлять файлы с собственного ресурса и обеспечивать относительную защиту сведений, передаваемых на этот ресурс, но и снизить риск сетевых атак на него.

Наличие сертификата SSL становится одним из часто используемых технических средств защиты информации, оригинальным типом паспорта сайта, гарантирующим подлинность доменного адреса. Если этот протокол присутствует, то адрес сайта не может быть подменен фишинговым и пароли или номера кредитных карт пользователей не окажутся в руках неизвестных злоумышленников.

Сертификат содержит удостоверенные сведения:

• о наименовании владельца сайта;
• об идентификации региона регистрации владельца – от страны до города;
• о фактическом владельце сервера, домена, на котором размещен сайт.

Сертификат SSL предполагает наличие двух обязательных элементов защиты передаваемых данных:

• аутентификация, осуществляемая посредством специального ресурса;
• шифрование трафика, оно асимметрично и осуществляется при помощи двух ключей. Если трафик передается через промежуточные узлы, сертификаты могут быть расшифрованы.

Существуют и аппаратные средства защиты от перехвата конфиденциальной информации. SSH-туннелинг, осуществляемый через доверенный сервер, обезопасит определенные соединения, например, содержащие финансовую информацию. Ту же задачу выполнит и VPN-соединение. Но следует учитывать, что политика многих стран по обеспечению интернет-безопасности ограничивает возможность использования таких соединений.

Криптопровайдер

В тех случаях, когда политики безопасности данных допускают возможности использования различных программных средств для шифрования, некоторые компании прибегают к услугам криптопровайдеров. Под этим термином понимается независимый модуль, который работает в рамках операционной системы и шифрует трафик при помощи CryptoAPI. Криптопровайдер является посредником между операционной системой и всеми приложениями. В России есть ГОСТы, устанавливающие требования к этому способу защиты информации.

Источник